Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

 Hendelse? MENY

«Patch Management» - Rutiner for oppdatering og installasjon av sikkerhetsoppdateringer er essensielt for å holde angripere ute!

Angrepene mot Stortinget og TV2 viser hvor viktig det er å holde systemene våre oppdaterte. Alle selskaper må ha gode rutiner for rask og strukturert «patching». Og man må ha kontroll på at patchingen fungerer, at man dekker alle systemer. Man må ha kontroll!

Alle vi som jobber med IT-sikkerhet kjenner til viktigheten med patching. Å sørge for raskest mulig implementering av nye patcher, sørge for patching av tredjepartssystemer og applikasjoner, og sørge for at patchene blir fullstendig installert gjennom reboot.

NSM beskriver det slik i sine Grunnprinsipper for IKT-sikkerhet.

«Etabler et sentralt styrt regime for sikkerhetsoppdatering. Installer sikkerhetsoppdateringer så fort som mulig.

  1. Etabler en prioriteringsliste for oppdateringer. Operativsystem og applikasjoner på de ansattes klienter bør prioriteres. Videre bør man oppdatere servere som inneholder standard applikasjoner og operativsystem, programvaren i skrivere, samt enheter som styrer virksomhetens nettverk (svitsjer, rutere).
  2. Etabler en rutine med klare ansvarsforhold for hvor ofte oppdateringer skal utføres (mye bør kunne automatiseres) og ansvarlig rolle for oppfølging hvis en oppdatering ikke kan gjennomføres eller må utsettes.
  3. Isoler servere og annet som oppleves som vanskelig å holde oppdatert.
  4. Virksomheter bør automatisere og forenkle prosessen for å implementere nye sikkerhetsoppdateringer.»

Kort om Exchange-sårbarhetene som ble utnyttet i mars

2. mars slapp Microsoft sikkerhetsoppdateringer som skulle fikse sju Exchange-sårbarheter, hvor fire av disse ga «Remote Code Execution» mulighet til å kjøre kode på systemet over nett. Det har blitt oppdaget utnyttelse av disse allerede før Microsoft publiserte informasjon og oppdateringer.

En veldig forenkling av angrepet:
Virksomheten blir angrepet ved at Exchange er publisert og tilgjengelig på internett via HTTP og HTTPS. Hvis Exchange-serveren var sårbar kunne angriperne via disse portene trigge flere av sårbarhetene over internett og tilegne seg «shell» på Exchange serveren. Det vil si at de kan kjøre kommandoer på systemet, og de er dermed på innsiden av brannmuren og har tilgang til severen og alle nett og utstyr som denne har tilgang til.

En mer detaljert beskrivelse om de ulike sårbarhetene finner du her:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Les mer om sårbarhetene, angrepene og anbefalinger fra NSM her:
https://nsm.no/aktuelt/varsel-aktiv-utnyttelse-av-sarbarheter-i-microsoft-exchange

Bekrefter behovet for kontinuerlig sårbarhetsadministrasjon og patching

Selv om angrepet mot Stortinget startet før sårbarheten var publisert og bekreftet av Microsoft, bekrefter dette behovet for sårbarhetsadministrasjon. Alle virksomheter trenger i dag å ha etablert gode rutiner. Det betyr veldig forenklet at du trenger et verktøy for å finne sårbarheter eksternt og internt, du trenger kompetanse til å validere disse. Videre trenger man å innarbeide rutiner som sørger for kontinuitet og dokumentasjon av prosessen.

Denne nettsiden benytter cookies for å analysere trafikkmønster. Les personvernerklæringen vår.