Vedlikeholdsvinduet
Før hadde vi god tid. I Norman sendte vi på 90-tallet ut oppdatering av virusdefinisjoner pr post, på diskett. Vi produserte en konstant strøm av disketter som ble sendt til brukerne først kvartalsvis, senere en gang i måneden.
Microsoft slapp Windows XP 25. oktober 2001. Oppdateringer kom som «service packs». Novell opererte på samme måte med sitt nettverks OS, NetWare. Et par år gikk gjerne imellom hver slik oppdateringspakke. Etter at en ble tilgjengelig, tok bedriftenes «dataavdeling» seg god tid til å teste oppdateringen lokalt for å minimere risikoen for at denne ikke skulle påvirke driften. Rimelig trygge på dette, la de en plan for utrulling og så gjennomførte de denne i ett eller flere annonserte vedlikeholdsvindu. Det var helt vanlig at det kunne gå måneder fra en oppdatering ble tilgjengelig til den var fullt utrullet i organisasjonen.
Dagens virkelighet
Fra den gang til nå er den største forandringen i måten vi kommuniserer digitalt på. Det var en lokal affære, lagring av filer og utskrift av dokumenter, kanskje epost innen kontoret. Med omverden gikk det for de aller mest fremoverlente, via modem til internettaksessnoder som Bergen By Byte. Nå er «alt» er på det samme nettet til enhver tid.
I for mange organisasjoner driftes systemene fortsatt for mye etter den gamle vedlikeholdsvindu tankegangen; «If it ain’t broke, don’t fix it». Konflikten er klassisk, sikkerhet og brukervennlighet er motsetninger. IT-folk skal holde nettet oppe, sikkerhetsfolk skal holde nettet sikkert. Brukerne vil bare gjøre jobben sin, der IT er et av flere verktøy. Når det kommer i veien for de egentlige oppgavene blir det bråk og «noen» må fikse det som lugger eller la være å gjøre endringer som kan påvirke tilgjengeligheten.
Det er ikke uvanlig at systemer i dag har muligheten til å oppdatere seg selv automatisk. Patcher blir konsumert når de blir tilgjengelig. For de konservative innen IT-drift vinner ofte vent-og-se-holdningen og slike vederstyggeligheter settes til «off». Drift skal bestemme, ikke ha noen driftsforstyrrelser og vi vil for all del unngå «early adopter issues». Noen ganger kan denne holdningen gjøre at problemer unngås. I tilfellet Solarwinds ble skadevare installert via den automatiske oppdateringsfunksjonen i systemet. I en noe mindre synlig sak klarte en feil i en oppdatering til Microsoft Defender ATP i begynnelsen av februar 2021 å flagge et par oppdateringer til Google Chrome som skadevare. Disse og lignende episoder er selvsagt kjedelige, kritiske i Solarwinds tilfelle. De forsvarer likevel ikke å takke nei til automatiske oppdateringer. Automatiske oppdateringer løser langt flere problemer enn de forårsaker.
For flertallet av trusselaktører er drivkraften rask økonomisk vinning. Offensive cyber-operasjoner drevet av statlige aktører, eller organisasjoner støttet av disse har ofte andre mål. Ikke alltid, men oftest bedriver de etterretningsvirksomhet eller industrispionasje heller enn forsøk på økonomisk svindel. Vi ser spesialisering på ferdigheter der noen grupperinger skaffer tilgang til ofrenes systemer. Denne selges til noen som utnytter den for å spre skadevare de har leiet av en tredjepart som tar seg av innkreving av løsepenger. En svart økonomi på det mørke nettet. Trusselaktørene har god tid. Det er minimal risiko for å bli tatt og det er en potensielt en betydelig oppside om angrepet lykkes. Det er umulig å vite nøyaktig, men det er anslått at det i 2020 ble «omsatt» for 350 millioner US dollar i denne industrien. En drøy tredobling fra 2019.
I løpet av 2020 ble 18.300 sårbarheter tildelt CVE-nummer. En økning på 6% fra året før. Av disse stod Microsoft for 1.248 hvor av 187 ble regnet som kritiske. Microsoft er på ingen måte alene. Oracle, VMWare, Citrix, Adobe, WordPress, Google, Apple, Linux, og mange andre publiserte kritiske sårbarheter i 2020.
Tiden fra en sårbarhet blir funnet, til informasjon om den publiseres varierer. Tidsrommet mellom offentliggjøringen av en sårbarhet og observasjon av forsøk på å utnytte denne minker stadig. Trenden er tydelig og har vært det over tid. Vi ser at såkalt «proof of concept kode publiseres fra noen dager, helt ned i timer etter offentliggjøring. Jakten på offer starter umiddelbart. Hvem som er sårbare er ofte bare et søk på Shodan unna. Det som skal til for å utnytte en ny sårbarhet legges til i trusselaktørenes arsenal og brukes om og om igjen i søken etter sårbare systemer. Selv om en sårbarhet ikke er eksponert på en IP-addresse i dag, betyr ikke det at den er fjernet for godt. Det koster dem ikke noe å prøve også gamle sårbarheter og de gjør det. De vet av erfaring at tiden det tar fra en patch er tilgjengelig til den installeres ofte er lang, om systemet i det hele tatt oppdateres. Dette utnytter trusselaktørene.
Vi ser også at sårbarheter settes sammen i kjeder. Ved å sette enkeltsårbarheter sammen bygger trusselaktøren opp et avansert angrep som er kraftigere enn det som lar seg oppnå med hvert enkelt element i kjeden.
Hva må til?
Enhver driftsorganisasjon må tilpasse seg den virkeligheten vi lever i. En del av dette er å innse at det må planlegges for at det oftere enn en gang i måneden vil komme kritiske patcher som må legges på umiddelbart. Dette vil være disruptivt og den eneste måten å håndtere det på er å gjøre det en del av planene.
Systemer uten oppdateringer har ingen ting i produksjon å gjøre. Dette gjelder ikke bare det vi tradisjonelt tenker på som programvare. En datamaskin eller appliance uten firmware er bare skrapjern. Firmware er programvare og må også oppdateres når sårbarheter oppdages. Vedlikeholdsavtaler på maskin- og programvare er essensielt. Å la en boks stå koblet til internett uten at den blir holdt oppdatert, er russisk rulett med flere enn én patron i tønnen.
Bruce Schneier uttalte i juli 2009: «Attacks always get better; they never get worse». Dette har vist seg å stemme godt. Skal vi ha en sjanse til å forsvare oss, må vi ta dette inn over oss og endre måten vi drifter systemer på. Enten dette er hjemme- eller bedriftsnettet. IT-sikkerhet må bli en del av hverdagen og måten vi bruker verktøyene på må tilpasses fremtidens virkelighet.
Selv om Bergen By Byte og andre oppringte tjenester som CompuServe var bra for sin tid er det ikke slik at jeg ønsker meg tilbake dit. Jeg trives godt i en sammenkoblet verden.
Patch alt, alltid!