[KRÖNIKA] Arbetet med att uppdatera mjukvaror så att de är säkra är en mardröm för många organisationer.
Mängden uppdateringar är så stor att det helt enkelt inte hinns med.
Och det är väldigt svårt att prioritera vilka uppdateringar som verkligen behövs, när inte alla hinns med. Lösningen är att anamma en strategi för riskbaserad hantering av säkerhetsuppdateringar, skriver Jonas Gyllenhammar på Ivanti.
Ett av de största problemen med cybersäkerhet är att få till effektiv säkerhetsuppdatering, så kallad patchning. Det handlar om att det ständigt släpps uppdateringar till i stort sett alla mjukvaror som används på myndigheter, i kommuner och på företag, kort sagt i alla moderna organisationer. Det görs för att täppa till de säkerhetshål som återkommande upptäcks i mjukvarorna.
Utan säkerhetsuppdateringar får man snabbt en mer osäker IT-miljö än vad som är nödvändigt. Det handlar i många fall om att en dags, eller några dagars, försening av uppdateringar lämnar en organisation vidöppen för intrång. Problemet är att volymen av nödvändiga säkerhetsuppdateringar är så stor att de helt enkelt inte hinns med. Det leder till nästa problem: det är svårt eller omöjligt att prioritera vilka säkerhetsuppdateringar som ska göras först.
Lösningen är att anamma en riskbaserad hantering av säkerhetsuppdateringar (risk-based patch management, RBPM). Här är tre goda råd, samt några bonusråd, för att lyckas med det.
- Börja med en inventering
Det går inte att skydda resurser om man inte vet om att de finns. Det behövs en inventering av skyddsvärda IT-resurser, vilket kalla ”asset discovery” på engelska. Att genomföra en sådan, och fortlöpande uppdatera informationen, är det första steget i en hållbar strategi för säkerhetsuppdateringar.
Det kan till exempel handla om att ta reda på vilka resurser (mjukvaror, enheter med tillhörande mjukvaror, etcetera) som finns i ett nätverk och vilka användarprofiler som har tillgång till dem. Numera måste man även göra inventeringen utanför det egna nätverket, eftersom många jobbar på distans.
- Skapa en samsyn
Driftpersonal och säkerhetsteam har ofta motstridiga mål, av naturliga skäl. Driftpersonalen prioriterar ofta en smidig drift, medan säkerhetsexperterna är mest intresserade av en säker IT-miljö. Om de kan enas om en strategi för riskbaserad hantering av säkerhetsuppdateringar är mycket vunnet. För att lyckas med det behöver de tillgång till samma information och de behöver göra en gemensam riskanalys.
Om samsyn skapas behöver inte säkerhetsteamet hantera alla sina aktiviteter som akuta, utan kan prioritera de sårbarheter som medför störst risk.
Driftpersonalen kan sköta om uppdateringarna i, en större grad av, lugn och ro.
- Fastställ servicenivåavtal
Ett sätt att komma ifrån panikstämning kring säkerhetsuppdateringar är att formulera ett servicenivåavtal (service-level agreement, SLA) för hur de ska hanteras. Med ett sådant får både driftpersonal och säkerhetsexperter svart på vitt om vad som gäller. Ett sådant avtal bör innefatta mål på både avdelnings- och företagsnivå, samt ta upp eftersträvansvärda arbetssätt (best practices). På en praktisk nivå bör avtalet ta upp under vilka tidpunkter uppdateringar är lämpliga.
Det finns fler saker att tänka på, men de tre punkterna ovan är en bra början. Utöver dem är det till exempel lämpligt med pilotprojekt för att testa strategin för säkerhetsuppdateringar innan den implementeras fullt ut. Numera är det också självklart att automatisera hanteringen så mycket det går. Och självklart finns det ingen strategi som passar alla organisationer, det behövs anpassning till den egna organisationen.
