Hoe AI de risico’s op inbreuken helpt verminderen met patchbeheer

Als het gaat om het patchen van eindpunten, systemen en sensoren in een onderneming, is zelfgenoegzaamheid dodelijk.

Voor veel IT- en beveiligingsteams is het een langzame periode van maanden van zeven dagen proberen te herstellen van een inbreuk die voorkomen had kunnen worden.

Voor CISO’s en CIO’s is het een geloofwaardigheidsaantasting voor hun carrière omdat zij een inbreuk op hun toezicht hebben toegestaan ​​die vermeden had kunnen worden. En voor het bestuur en de CEO is er de verantwoordelijkheid die zij moeten dragen voor een inbreuk, vooral als het een beursgenoteerd Amerikaans bedrijf betreft.

Het arsenaal van aanvallers wordt steeds beter in het vinden van niet-gepatchte systemen

Er is een bloeiende markt op het dark web voor de nieuwste kits en tools om systemen en eindpunten te identificeren die niet correct zijn gepatcht en al lang bestaande Common Vulnerabilities and Exposures (CVE’s) hebben.

IP-scanners en exploitkits die zijn ontworpen om zich te richten op specifieke CVE’s die verband houden met veelgebruikte software in bedrijven, worden door cybercriminelen op het dark web verkocht. Exploitkits worden voortdurend bijgewerkt met nieuwe kwetsbaarheden, een belangrijk verkoopargument voor aanvallers die op zoek zijn naar systemen zonder actuele patches om beschermd te blijven.

CYFIRMA bevestigt dat het exploitkits heeft gevonden voor populaire software, waaronder Citrix ADC, Microsoft Streaming Service Proxy en PaperCut. Uit onderzoek blijkt echter ook dat het aanbieden van patches na een grote CVE-inbreuk dat wel is slechts enigszins effectief.

Aanvallers blijven al lang bekende misbruiken kwetsbaarheden in CVE’swetende dat de kans groot is dat organisaties met kwetsbare CVE’s deze al een jaar of langer niet hebben gepatcht. Een recente rapport constateert dat 76% van de kwetsbaarheden die momenteel door ransomwaregroepen worden uitgebuit, voor het eerst tussen 2010 en 2019 zijn ontdekt.

Niet-gepatchte systemen zijn open toegangspoorten tot verwoestende cyberaanvallen

VentureBeat heeft vernomen dat bij kleine en middelgrote fabrikanten uit het Midden-Westen van de VS hun systemen zijn gehackt omdat er nooit beveiligingspatches zijn geïnstalleerd. Bij één daarvan werden de crediteurensystemen gehackt, waarbij aanvallers de crediteurengegevens van ACH omleidden om alle betalingen naar malafide, niet-traceerbare buitenlandse rekeningen te leiden.

Het zijn niet alleen fabrikanten die zwaar worden getroffen door cyberaanvallen die beginnen met het verouderd of helemaal niet installeren van patches. Op 13 mei heeft de stad Helsinki, Finlandliep een datalek op omdat aanvallers misbruik maakten van een niet-gepatchte kwetsbaarheid in een RAS-server.

De beruchte Colonial Pipeline-ransomware-aanval werd ook toegeschreven aan een niet-gepatcht VPN-systeem had geen meervoudige authenticatie ingeschakeld. Aanvallers gebruikten een gecompromitteerd wachtwoord om toegang te krijgen tot het netwerk van de pijpleiding via een niet-gepatcht systeem.

Aanvallers van natiestaten hebben de extra motivatie om ‘laag en langzaam’ aanvallen onontdekt te houden, zodat ze hun spionagedoelen kunnen bereiken, waaronder het bespioneren van e-mails van senior managers zoals Russische aanvallers binnen deden Microsofthet stelen van nieuwe technologieën of broncode dat maanden of jaren kan duren, is gebruikelijk.

Een snelle eerste overwinning: breng IT en beveiliging op één lijn met dezelfde urgentie

Van Ivanti meest recente staat van cyberveiligheid rapport constateert dat 27% van de beveiligings- en IT-afdelingen het niet eens zijn over hun patchstrategieën en dat 24% het niet eens is over de patchcycli. Wanneer beveiliging en IT niet op dezelfde lijn liggen, wordt het voor overwerkte IT- en beveiligingsteams nog uitdagender om van patchbeheer een prioriteit te maken.

Zes op de tien inbreuken zijn gekoppeld aan niet-gepatchte kwetsbaarheden. De meerderheid van de IT-leiders reageert op een Enquête van het Ponemon Instituut60% zegt dat een of meer van de inbreuken mogelijk hebben plaatsgevonden doordat er een patch beschikbaar was voor een bekende kwetsbaarheid, maar deze niet op tijd was aangebracht.

IT- en beveiligingsteams stellen patchbeheer uit totdat er een inbraak- of inbreukpoging plaatsvindt. Eenenzestig procent Vaak activeert een externe gebeurtenis patchbeheeractiviteiten in een onderneming. Omdat ze zich in de reactiemodus bevinden, duwen IT-teams die al overweldigd zijn door prioriteiten, andere projecten die mogelijk omzetpotentieel hebben, terug. Achtenvijftig procent Tegenwoordig is het een kwetsbaarheid die actief wordt uitgebuit en die IT opnieuw in een reactieve modus dwingt om patches te repareren. Eenenzeventig procent van de IT- en beveiligingsteams zegt dat het te complex, omslachtig en tijdrovend is.

Zevenenvijftig procent van diezelfde IT- en cybersecurityprofessionals zegt dat werken op afstand en gedecentraliseerde werkruimtes patchbeheer nog uitdagender maken.

Leveranciers van patchbeheer die AI/ML en risicogebaseerd beheer versnellen

Door AI/machine learning (ML) aangestuurd patchbeheer levert realtime risicobeoordelingen op, waardoor IT- en beveiligingsteams de meest kritieke patches als eerste kunnen prioriteren.

De GigaOm Radar voor Patch Management Solutions-rapportmet dank aan Taniumbenadrukt de unieke sterke en zwakke punten van de toonaangevende leveranciers van patchbeheer. De actualiteit en diepgang van het inzicht maken het tot een opmerkelijk rapport. In het rapport zijn 19 verschillende aanbieders opgenomen.

“CISO’s en beveiligingsleiders moeten begrijpen hoe al hun systemen en processen hun proactieve beveiligingsprogramma beïnvloeden”, vertelde Eric Nost, senior analist bij Forrester, aan VentureBeat. “Dus mijn advies is om te beginnen met zichtbaarheid: kent u uw omgeving, de assets die zich daarin bevinden, de controleomgeving en de impact als deze in gevaar komen? Van daaruit kunnen CISO’s beginnen met het implementeren van een alomvattende strategie voor het stellen van prioriteiten – met patchbeheer en het reageren op deze risico’s als laatste stap.”

“Goede patchbeheerpraktijken in de huidige mondiale omgeving vereisen het identificeren en beperken van de grondoorzaken die verantwoordelijk zijn voor cyberaanvallen”, gezegd GigaOm-analist Ron Williams. “Patchbeheer vereist ook de juiste tools, processen en methoden om beveiligingsrisico’s te minimaliseren en de functionaliteit van de onderliggende hardware of software te ondersteunen. Patchprioriteitstelling, testen, implementatietracking en verificatie maken allemaal deel uit van robuust patchbeheer.”

Toonaangevende leveranciers zijn onder meer Automox, ConnectWise, Flexera, Ivanti, Kaseya, SecPod en Tanium.

“Ons doel is om Patch Tuesdays te elimineren. In wezen blijft u uw bedreigingen en kwetsbaarheden altijd een stap voor door daarvoor gebruik te maken van Taniums Autonomous Endpoint Management”, vertelde Dan Streetman, CEO van Tanium. CRN eind vorig jaar.

Ivanti’s Neurons for Patch Management weerspiegelt de toekomstige richting van risicobeheer door IT en beveiliging te voorzien van een gedeeld platform dat prioriteit geeft aan patchen op basis van kwetsbaarheid en interne compliancerichtlijnen, samen met een gecentraliseerd patchbeheersysteem dat IT- en beveiligingsteams inzicht geeft in bedreigingen en kwetsbaarheden.

Tijdens een recent interview met VentureBeat zei Srinivas Mukkamala, chief product officer bij Ivanti, dat “het zich bewust zijn van potentiële bedreigingen die voortkomen uit kwetsbaarheden, waaronder de bedreigingen die momenteel worden uitgebuit bij cyberaanvallen, organisaties helpt bij het hanteren van een proactieve in plaats van reactieve benadering van patchbeheer. ”

De GigaOm Radar brengt oplossingen van leveranciers in kaart over een reeks concentrische ringen, waarbij de oplossingen die zich dichter bij het centrum bevinden, als algemene waarde worden beschouwd. Het diagram karakteriseert elke leverancier op twee assen – de balans tussen volwassenheid versus innovatie en feature play versus platform play – en biedt een pijl die de evolutie van elke oplossing in de komende twaalf tot achttien maanden projecteert. Bron: GigaOm Radar voor Patch Management Solutions-rapport.

Het vijfpuntenplan van Cunningham dat elk bedrijf kan gebruiken om het patchbeheer te verbeteren

VentureBeat heeft onlangs de gelegenheid gehad om (virtueel) te praten met Chase Cunningham, een gerenommeerd cybersecurity-expert die momenteel fungeert als vice-president van beveiligingsmarktonderzoek bij G2 en vaak Dr. Zero Trust wordt genoemd.

Cunningham heeft meer dan twintig jaar ervaring in cyberdefensie en is een leidende stem die pleit voor sterkere patchbeheerpraktijken. Hij is ook actief betrokken bij het assisteren van diverse overheidsinstanties en organisaties uit de particuliere sector bij het invoeren van zero-trust-beveiligingskaders. Eerdere spraakmakende functies waren onder meer Chief Strategy Officer bij Ericom Software en hoofdanalist bij Forrester Research, waar hij een belangrijke rol speelde bij het vormgeven van het begrip van de Zero Trust-principes binnen de sector.

Toen hem werd gevraagd naar een voorbeeld van waar AI-gestuurd patchbeheer resultaten oplevert, zei Cunningham tegen VentureBeat: “Een opmerkelijk voorbeeld is het gebruik van AI door Microsoft om zijn patchbeheerprocessen te verbeteren. Door gebruik te maken van machine learning-algoritmen heeft Microsoft kunnen voorspellen welke kwetsbaarheden het meest waarschijnlijk zullen worden uitgebuit binnen 30 dagen na hun openbaarmaking, waardoor ze de juiste prioriteit kunnen geven aan patches.” Hij voegde eraan toe: “Deze aanpak heeft het risico op succesvolle cyberaanvallen op hun systemen aanzienlijk verminderd.”

Hier is het vijfpuntenplan van Cunningham dat hij onlangs tijdens ons interview met VentureBeat deelde:

• Maak gebruik van AI/ML-tools: Om te voorkomen dat ze achterlopen op het gebied van patchbeheer, moeten CISO’s investeren in AI/ML-aangedreven tools die kunnen helpen het patchingproces te automatiseren en kwetsbaarheden te prioriteren op basis van realtime risicobeoordelingen.

• Kies voor een risicogebaseerde aanpak: In plaats van alle patches gelijk te behandelen, moet u een op risico’s gebaseerde benadering van patchbeheer hanteren. AI/ML kan u helpen de potentiële impact van niet-gepatchte kwetsbaarheden op de kritieke bedrijfsmiddelen van uw organisatie te beoordelen, zodat u uw inspanningen kunt richten op de gebieden die er het meest toe doen. Kwetsbaarheden die tot datalekken kunnen leiden of kritieke activiteiten kunnen verstoren, moeten bijvoorbeeld prioriteit krijgen boven kwetsbaarheden met een kleinere impact.

• Verbeter de zichtbaarheid en verantwoordelijkheid: Een van de grootste uitdagingen bij patchbeheer is het behouden van zichtbaarheid over alle eindpunten en systemen, vooral in grote, gedecentraliseerde organisaties. AI/ML-tools kunnen continue monitoring en zichtbaarheid bieden, zodat geen enkel systeem of eindpunt ongepatcht blijft. Bovendien kan het vaststellen van een duidelijke verantwoordelijkheid binnen uw IT- en beveiligingsteams voor patches ervoor zorgen dat patches snel worden toegepast.

• Automatiseer waar mogelijk: Handmatig patchen is tijdrovend en foutgevoelig. CISO’s moeten ernaar streven om een ​​zo groot mogelijk deel van het patchbeheerproces te automatiseren. Dit versnelt niet alleen het proces, maar verkleint ook de kans op menselijke fouten, wat kan leiden tot gemiste patches of verkeerd toegepaste updates.

• Regelmatig patches testen en valideren: Zelfs met AI/ML-tools is het van cruciaal belang om patches regelmatig te testen en valideren voordat ze in de hele organisatie worden geïmplementeerd. Dit helpt verstoringen veroorzaakt door defecte patches te voorkomen en zorgt ervoor dat de patches de beoogde kwetsbaarheden effectief mitigeren.

Als het op patchen aankomt, is de beste aanval een goede verdediging

Het beperken van risico’s begint met een sterke verdediging tegen patchbeheer, een verdediging die zich kan aanpassen als een bedrijf verandert.

Het is bemoedigend om te zien dat CISO’s zichzelf zien als strategen die zich richten op de manier waarop zij kunnen helpen inkomstenstromen te beschermen en infrastructuurondersteuning te bieden aan nieuwe. CISO’s beginnen te zoeken naar meer manieren waarop ze de omzet kunnen vergroten, wat een geweldige strategie is om hun carrière vooruit te helpen.

Het komt erop neer dat het risico voor de omzet nog nooit zo groot is geweest en dat het aan CIO’s, CISO’s en hun teams is om het patchbeheer goed te regelen om elke bestaande en nieuwe inkomstenstroom te beschermen.