Voordat ik uitleg wat patch management inhoudt, is het handig om te weten dat een patch een oplossing is voor een fout of een kwetsbaarheid in software. De patch werkt de software bij, zodat je beter tegen mogelijk gevonden kwetsbaarheden bent beschermd. Jammer genoeg heeft een patch zelf ook weleens een onbedoelde fout of kwetsbaarheid in de code. Dat is trouwens niet zo raar, als je bedenkt dat een softwareprogramma is opgebouwd uit bijzonder complexe software. Maar tegelijk is het de reden dat er keer op keer nieuwe patches worden ontwikkeld.

Basismaatregel

Patch management is een basismaatregel voor het op orde brengen en houden van je cybersecurity. Het is een gestructureerde manier om kwetsbaarheden te identificeren. Dergelijke zwakke plekken worden dan met patches versterkt. Hoewel organisaties steeds bewuster zijn van het belang van patch management, zijn kwetsbaarheden in besturingssystemen en verouderde software nog steeds het startsein voor cybercriminelen om een aanval in te zetten.

‘Ook je netwerkapparatuur bijwerken met beveiligingspatches…’

Met patch management moet je je niet beperken tot het up-to-date houden, upgraden en beveiligen van bestaande software, servers en computers. Het is net zo belangrijk om je netwerkapparatuur – zoals firewalls, routers, switches en access points – bij te werken met beveiligingspatches. Maar hoe zet je patch management nu het meest effectief in? Dat leg ik je in drie stappen uit.

Stap 1: Asset Management

De eerste stap is ‘weten wat je hebt’. Het is echt heel belangrijk om precies te weten welke apparaten zich in jouw netwerk bevinden. Dat noemen we ‘Asset Management’. Daarvoor kun je IT-oplossingen gebruiken die geautomatiseerd inzicht geven in je assets. Vervolgens moet je een proces hebben ingericht waarin Asset Management is geborgd en de procesverantwoordelijke(n) is (of zijn) benoemd.

Stap 2: Threat & Vulnerability Management

Wanneer je inzicht in je assets hebt, ga je die apparaten met Threat & Vulnerability Management monitoren op kwetsbaarheden en patches. Dat kan met een kwetsbaarhedenscanner in het netwerk en via een agent – een autonoom computerprogramma – op het betreffende apparaat. Een agent, zoals Kaseya VSA, laat zien welke updates van het besturingssysteem of de software nog niet zijn geïnstalleerd. Daarnaast is het belangrijk om als beheerder regelmatig contact te houden met het cybersecurityteam over kwetsbaarheden die gepubliceerd zijn. Vanuit het cybersecurityteam is het belangrijk om het beheerteam regelmatig te updaten over gevonden kwetsbaarheden.

Stap 3: Patch Management (beleid)

Je hebt inzicht in je apparaten, je hebt een proces ingericht om op de hoogte te blijven van de kwetsbaarheden op je apparaten en welke updates nog niet zijn geïnstalleerd. Dan is het de hoogste tijd om patch management daadwerkelijk in te richten. Bedenk daarbij dat het niet genoeg is om alleen het besturingssysteem te updaten. Ook de geïnstalleerde software moet geüpdatet worden. Zo brengt Microsoft elke eerste dinsdag van de maand – Patch Tuesday – nieuwe updates uit. Ik raad je daarom aan om jouw Microsoftproducten (denk aan Windows) minimaal één keer in de 30 dagen automatisch te laten updaten. Daarnaast is het verstandig om tegelijk de softwareapplicaties van derde partijen te updaten, zoals Adobe Reader en andere niet-Microsoftproducten.

Waarom is patch management zo belangrijk?

Wanneer een cybercrimineel een ingang naar jouw netwerk weet te vinden – dat noemen we een ‘foothold’- volgt een fase van verkenning (reconnaissance). De aanvaller gaat dan onder meer op zoek naar kwetsbaarheden die misbruikt kunnen worden om zichzelf verhoogde rechten toe te kennen (privilege escalation). Met gedegen patch management zorg je ervoor dat de aanvaller meer in het oog lopende methodes moet gebruiken om dat voor elkaar te krijgen. Daardoor kan de aanvaller sneller worden ontdekt. En hoe eerder je in de gaten krijgt dat er iets vreemds in je IT-omgeving gebeurt, hoe beter je daarop kunt reageren om onnodige schade te voorkomen.

Wat kun je zelf bijdragen aan patch management?

Patch management hoort gewoon bij je werk. De pc of laptop waarop je werkt, is van de zaak of wordt zakelijk gebruikt. Dus moet je zorgen dat het betreffende apparaat optimaal functioneert. Dat betekent onder meer dat je regelmatig updates moet uitvoeren. Krijg je daar een melding van? Doe het dan bij voorkeur direct en stel het alleen uit als het echt niet anders kan, maar doe het wel zo snel mogelijk. In de tijd dat de update niet is uitgevoerd, ben je namelijk extra kwetsbaar.

Nog een belangrijk aspect: installeer niet zomaar van alles op je werkplek, maar installeer alleen software die door de IT-afdeling is goedgekeurd. Dat is software die de IT-afdeling beheert en dus ook voorziet van de nieuwste updates.

Conclusie

Elke organisatie moet patch management op orde hebben. Patch managementbeleid is onmisbaar, net als een gedegen uitvoering van dat beleid. Het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid noemt patch management als een van de acht basismaatregelen op het gebied van cybersecurity. Wanneer je patch management niet op orde hebt, loopt jouw organisatie meer risico om digitaal aangevallen te worden. En de verantwoordelijkheid voor patch management ligt niet alleen bij de IT-afdeling. Die ligt ook bij de IT-gebruiker voor wie de belangrijkste tip is: ga zorgvuldig om met de software die je installeert en gebruikt.

Wil je meer praktische cybersecurity tips? Die vind je op deze pagina. Daar kun je je ook meteen inschrijven voor een gratis abonnement op nóg meer handige tips.

Martien van Dijk

Digitale veiligheid is vooral een mensenkwestie.

    de Maand van Avantage

    Maandelijkse updates over security, productiviteit en thuiswerken