NCSC: patchen op basis van alleen CVSS-score niet ideaal
Organisaties moeten zich bij het prioriteren van beveiligingsupdates niet blindstaren op alleen de CVSS-score van de kwetsbaarheid, zo stelt het Nationaal Cyber Security Centrum (NCSC). Om de impact van een kwetsbaarheid inzichtelijk te maken kwam het Amerikaanse National Infrastructure Advisory Council (NIAC) in 2004 met het Common Vulnerability Scoring System (CVSS). CVSS biedt een gestandaardiseerde manier om de impact van een kwetsbaarheid te berekenen. Vanwege het grote aantal kwetsbaarheden geven organisaties vooral prioriteit van het patchen van kwetsbaarheden met een hoge CVSS-score.
"Uit onderzoek van de TU Eindhoven weten we al een aantal jaren dat het simpelweg patchen van alles dat volgens het CVSS-scoringsmodel een 9 of hoger heeft niet ideaal is", aldus het NCSC. "Het is een aanslag op je budget en maakt je organisatie niet per se veiliger." Volgens de overheidsinstantie hebben veel kwetsbaarheden met hoge CVSS-scores geen bijbehorende exploit, terwijl een flinke groep minder ernstige kwetsbaarheden dit wel heeft en dus gemakkelijker te misbruiken is.
Als tegenhanger van CVSS werd in 2017 het SSVC-model gepresenteerd, dat uit een beslisboom van negen kenmerken bestaat. Zo wordt er onder andere gekeken naar de blootstelling van het systeem, de volwassenheid van exploitcode en het belang van het te patchen systeem. Vorige maand kwam het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) met een SSVC Calculator dat op basis van het SSVC-model met advies komt.
Daarnaast werkt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, aan het Common Security Advisory Framework (CSAF). Dit is een framework voor het automatisch uitwisselen van beveiligingsadviezen. Het NCSC onderzoekt hoe beveiligingsadviezen in de toekomst via CSAF kunnen worden gedeeld. Daarnaast zal de overheidsinstantie naar eigen zeggen beter inspelen op de informatiebehoefte die vanuit SSVC voortkomt. "Op die manier ondersteunen we afnemers beter in het maken van weloverwogen beslissingen in het eigen patchmanagementproces."
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
ha ha ha dit soort antwoorden van bange buraucratische mensen altijd weer. niet verder kijken dan de neus lang is....
0) misschien hebben we wel geen 'applicaties' die belly up gaan als de DB server even 1s down lijkt [btw aan applicatie die niet tegen een 10s time out kan, hoor je eigenlijk niet te willen gebruiken in business kritieke omgevingen. netwerk kan soms een latency hebben van 1s omdat een dns lookup oid wat langer duurt en de cache flushed is].
1) reboot is alleen nodig bij kernel patch die relevant is [hangt af van patch en van situatie waar server zich in bevind in organisatie => reboot niet altijd / vaak eigenlijk niet meteen nodig en kan gescheduled worden en je hebt ook nog eens de live patching als optie voor RHEL].
2) change process is eenvoudig : in automatische updates van RH we trust na 20j ERVARING ipv vlug op een enveloppe een theoretisch angst argumentje te poneren van een [wanna be] manager met pseudo imposante woorden.
3) OTAP opzetten is eenvoudig: heb een lokale mirror van de updates waar je kritieke servers hun update vandaan halen. die lokale mirror sync je dan pas nadat updates getest zijn [staggered]. of als je wilt los je het zelf op met een ansible pull die na testen van updates van minder kritiek servers via een git commit de kritieke servers de update laten uitvoeren.
maargoed ik ben van de bewezen inhoud en niet de 'er moeten processen zijn want angst' blaat aperij :).
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
de meeste VMs [aka the cloud en back end voor vele apps bij klanten] op azure zijn linux.
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
Wel bijzonder dat bijna alle bedrijven dit ook altijd gebruiken.
nee hoor.... back-end in cloud (azure bijv) draait overduidelijk in de meerderheid iets anders. alleen op de schermen op het bureaus van mensen die excel tijgers zijn, daar zie 'een bekend consumenten OS' veel terug. zoals de beschrijving ook al aangeeft, bij 'consumenten'.
Maar er draait ook voldoende andere infrastructuur.
En daar is ook niets mee.
Is Windows perfect, zeker niet. Maar het draait vaak wel alle applicaties die gebruikers nodig hebben om hun werkzaamheden te doen.
Oh en kom niet met dat geleuter over OTAP enzv [dan zet je je eigen locale mirror repo op die je staggered update na je een dagje heb kunnen testen op zooi], maar, en nu kot de clue, RedHat updates zijn al meer dat 20j stabiel en hebben [in de praktijk] mij nog nooit een probleem geleverd.
't is maar wat je gebruikt...
Maar wel eens van een Change Process gehoord?
En leuk dat RH alle patches altijd goed heeft, zegt niet dat alle applicaties ook altijd er goed mee werken.
Dit soort jargon, laat eigenlijk zien => Ongeschikt.
Helaas het zijn zeer veel systemen met onderlinge afhankelijkheden. Het leunen op externe leveranciers die alles zouden ontzorgen is niet bepaald de oplossing.
als het 100% de top500 dicteert, CERN, NASA, google en tegenwoordig een groot deel zelfs van MS draaiende houdt, dan praat jij met prutsers en dat is een probleem van jouw.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.