Google: consument huiverig voor beveiligingsupdates
Doorsnee internetgebruikers zijn huiverig voor beveiligingsupdates en beschouwen dit zelfs ten onrechte als een beveiligingsrisico, zo blijkt uit onderzoek (pdf) van Google. De internetgigant besloot het securitygedrag van 231 beveiligingsexperts en 294 internetgebruikers die geen expert zijn te vergelijken.
Zo werd er onder andere naar de top 5 beveiligingsmaatregelen gekeken die beide groepen nemen. Daaruit blijkt dat doorsnee internetgebruikers het belang van beveiligingsupdates ernstig onderschatten. 35% van de experts noemt het installeren van beveiligingsupdates als beveiligingsmaatregel, terwijl slechts 2% van de gebruikers dit doet. Daardoor is het installeren van patches de beveiligingsmaatregel met het grootste verschil tussen gebruikers en experts.
Verder onderzoek naar dit gedrag wijst uit dat 39% van de experts updates automatisch laat installeren, terwijl dit bij gebruikers 29% is. Daarnaast zegt 25% van de experts dat updates direct worden geïnstalleerd. Bij de gebruikers wordt dit door slechts 9% gedaan. Volgens de onderzoekers heeft het niet tijdig installeren van updates mogelijk te maken met slechte ervaringen uit het verleden of dat gebruikers de effectiviteit ervan niet beseffen.
Wachtwoorden
Het onderzoek laat verder zien dat wachtwoordbeheer belangrijk is voor zowel gebruikers als experts, maar er verschillende aanpakken worden gehanteerd. De experts maken veel gebruik van wachtwoordmanagers. Het verschil tussen experts en gebruikers bedraagt een factor drie. 24% van de gebruikers zegt voor sommige accounts een wachtwoordmanager te gebruiken, terwijl dit bij de experts 73% is. Verder vinden gebruikers anti-virussoftware erg belangrijk, terwijl experts de voorkeur aan andere maatregelen geven.
"Onze resultaten laten zien dat experts en niet-experts verschillende maatregelen nemen om zichzelf op internet te beschermen. De maatregelen van de experts worden door experts als goed advies beschouwd, terwijl de maatregelen van de niet-experts gemengde reacties van experts krijgen", aldus de onderzoekers. Die stellen dat er ruimte voor verbetering is als het gaat om het vaststellen van de belangrijkste beveiligingsmaatregelen en om dit vervolgens aan eindgebruikers duidelijk te maken.
De mensen die dit niet durven of doen zijn ook vaak de mensen (lees windows gebruikers) die altijd problemen met hun computers hebben.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.
En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.
Blijft een droevig getal. Dit zou toch ondertussen 99% moeten zijn?? Anders ben je in mijn ogen geen expert.
"Ik heb een anti-virus programma, dus wat kan mij gebeuren...".
Nee, dan toch liever 3x in de week patchen.
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.
En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.
Je redenatie is een grote drog reden. Ook op een volledig gepatched systeem zijn inderdaad wel lekken te vinden, maar alle bekende lekken, waar de hacking tools die 95% van de wereld gebruiken, gebruik van maken, zijn wel dicht.
Security experts weten dat ze altijd een gevaar lopen, dat niks 100% is.. maar ze weten ook wat de stappen zijn die je zo min mogelijk risico laten lopen. En je systeem patchen is inderdaad nummer 1.
- Is de patch een security fix? Zo ja, dan asap of meteen.
- Is die patch een roll up dan krijgt hij een lagere prioriteit, tenzij functionaliteits-stoornissen bekend zijn die hiermee worden verholpen.
- Een actief misbruikte patch 'in the wild' krijgt voorrang.
- Geen enkele patch gaat automatisch, patches doorvoeren is handwerk en vooral doordacht maatwerk. Dus bijvoorbeeld orca gebruiken om patches aan te passen aan je company policy.
- Er wordt nooit een patch doorgevoerd als de betrokken productie machine geen goede backup status heeft.
- Lezen en nog meer lezen, Vooral alle CVE's.
- Wel gecentraliseerd downloaden maar niet doorvoeren is een prima strategie. Dus een manual aproval, altijd.
Hiermede heb ik veel ellende en frustratie voorkomen. Ja, ik ben dus een grote voorstander van SNEL patchen. Een blooper van een leverancier haal je er in 99% van de gevallen eruit in je test setups.
Mijn 2 centen
- de laptop draait op accu
- de laptop hangt aan een open WiFi
- een ongestoorde werking is op sommige momenten een absolute noodzaak.
Kies daarom je patchwindow bewust
Het is leuk om dat te doen maar eigenlijk lost het niks op en het introduceert ook een risico.
Consumenten die wel eens geconfronteerd zijn met dat risico (dat iets na een update niet meer werkt
of dat er terloops handige mogelijkheden zijn weggehaald omdat het eigenlijk niet alleen een
beveiligingsupdate was maar gewoon een nieuwe versie) gaan een afkeer van deze updates
krijgen. Hetzelfde gebeurt (nog in sterkere mate) als het handige neeftje met dit argument komt.
En voor de experts: de updates fixen over het algemeen problemen die al jaren aanwezig waren
en die nu ineens wat breder gebruikt worden. Echter incidenten zoals met Hacking Team tonen
aan dat je niet veel veiliger bent met al je updates dan zonder, immers in een volledig uptodate
systeem zitten evengoed vele vele lekken waar alleen nog geen update voor is.
"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"
Mijn gegevens staan op een externe HD die ik alleen aansluit als het internet uitstaat en niet aan is geweest, zo nodig start ik de computer opnieuw.
Geen automatische updates en geen realtime (virus)scans.
Veilig? waarschijnlijk niet maar onveiliger dan wel updates en scans en de gegevens op de systeemschijf dat denk ik niet.
Op mijn andere, snellere computer, draai ik Linux met updates en een virtuele Windows zonder updates en scans.
De virtuele Windows start ik altijd vanuit een schoon snapshot en de gegevens haal ik op of schrijf ik weg naar de eerder genoemde externe HD die ik zelfs hier alleen aansluit als het internet uitstaat en niet aan is geweest.
Misschien overdreven maar ik heb hierbij veel meer het gevoel de ellende zelf in de hand te hebben i.p.v. over te laten aan anderen zonder daar enige controle op te hebben.
Als ik windows gebruikte had ik op dezelfde manier gedaan.
Updates zijn erg belangrijk voor je systeem.
"Inbrekers kunnen toch wel binnen komen als ze willen dus ik laat mijn deur altijd open staan"
Voor de bühne geeft de politie het advies om je deur met 3 sloten op slot te doen, maar ze weten ook wel dat de
inbrekers tegenwoordig gewoon de ruiten inslaan.
Dat wil niet zeggen dat het niet slim is om altijd je deur op slot te doen, maar dit artikel heeft de aire dat het installeren
van alle beveiligings updates je op de een of andere manier beschermt, en dat is natuurlijk onzin. Je bent bezig om te
controleren of de rits van je tent wel dicht is, terwijl iedere camping inbreker een mes heeft.
Updates introduceren namelijk ook nieuwe zero days terwijl bij een bekend lek men weet wat de aanvalsvector is; afhankelijk van de impact ga je dan een workaround regelen of de update testen en zelfs zijn gedrag analyseren om het vervolgens al dan niet te installeren in productie. Soms is de update niet eens van toepassing in een specifieke configuratie. Hem wel installeren is dan alleen maar extra risico.
Zeker nu vaak updates defect blijken lijkt het me handig je te verdiepen in updates. Voorbeeld, een update specifiek voor MS office 2010 hoef je echt niet te installeren op een systeem waar alleen office XP op staat, ook al is deze als important aangemerkt. Het is een ander verhaal als het om een gedeeld component van office gaat.
Daarom, eerst onderzoeken en dan pas toepassen, niet gaan roepen dat updaten altijd moet. Het hele update verhaal geeft net als antivirus een vals gevoel van veiligheid. Mensen denken dat ze met updates en AV veilig zijn. Dat is helaas niet zo.
Grote bedrijven willen dat mensen dit geloven; hoe sneller mensen updates installeren, hoe sneller ze wijzigingen in hun software kunnen doorvoeren. Wijzigingen die soms ook nadelig kunnen zijn, bijvoorbeeld de support voor een bestandsformaat verwijderen of een tijdslimiet voor gebruik introduceren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
