Når en hacker bryder ind i et virksomhedsnetværk, er den mest sandsynlige forklaring ikke et avanceret zero-day-angreb. Det er en opdatering, som ingen fik installeret. Kendte sikkerhedshuller, som leverandøren har rettet for måneder siden, bliver stadig udnyttet i stor stil — fordi virksomheder ikke holder deres systemer opdateret.

Hvad er et patch og hvad er patch management?

Et patch er en rettelse fra softwareproducenten — det lukker et hul i koden, som ellers kan udnyttes. Tænk på det som at reparere en sprukken vinduesrude i din butik. Så længe revnen er der, er det et potentielt indgangspunkt.

Patch management er processen med systematisk at holde styr på, hvilke opdateringer der er tilgængelige for jeres systemer, teste dem og installere dem inden for en acceptabel tidsramme. Det lyder simpelt — og er det i princippet. Det kræver dog disciplin, for det er den slags opgave, der altid kan udskydes til i morgen.

Hvorfor uoprettede systemer er farlige

Når en sikkerhedsforsker eller leverandør offentliggør en sårbarhed, sker der to ting på én gang: rettelsen frigives, og angriberne begynder at lede efter systemer, der endnu ikke er opdateret. Vinduet fra offentliggørelse til aktivt angreb er i mange tilfælde under 72 timer.

Statistisk set sker et flertal af vellykkede angreb via sårbarheder, der allerede har en tilgængelig rettelse. Problemet er ikke mangel på løsninger — det er mangel på handling.

WannaCry-angrebet i 2017 ramte over 200.000 systemer i 150 lande og kostede sundhedsvæsener, banker og logistikvirksomheder milliarder. Sårbarheden, det udnyttede, var rettet af Microsoft to måneder tidligere. Virksomheder, der ikke havde installeret opdateringen, var forsvarbare.

Hvad skal patches på?

De fleste tænker kun på Windows-opdateringer. Men dit angrebsflade er langt bredere:

  • Operativsystemer — Windows, macOS, Linux-servere
  • Browsere — Chrome, Edge, Firefox opdateres hyppigt med sikkerhedsrettelser
  • Tredjepartssoftware — Adobe Reader, PDF-læsere, Zoom, Teams, Java
  • Firmware — routere, switches, printere, NAS-enheder
  • Servere og cloud-infrastruktur — applikationsservere, webservere, databaser

Firmware-opdateringer er dem, der oftest overses. En router, der ikke er opdateret i tre år, kan indeholde kritiske sårbarheder — og den sidder direkte mod internettet.

Sådan sætter du det op i praksis

Automatiske opdateringer til arbejdsstationer

For normale Windows-computere er den nemmeste løsning at slå automatiske opdateringer til og sikre, at de faktisk gennemføres. Windows Update kan konfigureres til at installere opdateringer uden for arbejdstiden, så det ikke forstyrrer produktiviteten.

Test før udrulning på servere

Servere kræver lidt mere forsigtighed — en opdatering, der bryder et forretningskritisk system, er kostbar. Den bedste praksis er at teste opdateringer i et staging-miljø, inden de rulles ud i produktion. Kan du ikke det, så prioritér kritiske sikkerhedsopdateringer og installér dem inden for 72 timer — og acceptér risikoen for kompatibilitetsproblemer.

Hold styr på hvad du har

Du kan ikke opdatere det, du ikke ved eksisterer. Et simpelt inventar over jeres systemer og software — hvad I har, hvilken version, og hvornår det sidst blev opdateret — er grundlaget for god patch management.

En god tommelfingerregel: kritiske sikkerhedsopdateringer bør installeres inden for 72 timer, øvrige opdateringer inden for 30 dage. Sæt det i jeres IT-sikkerhedspolitik og hold fast i det.