Security patches

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • BrutalDave
  • Registratie: November 2006
  • Laatst online: 15-09-2023
Ik post hier niet zo vaak dus ik weet niet zeker of een topic de juiste weg is of dat ik de optie een vraag stellen had moeten kiezen, maar ik probeer het toch even.

Bij mij op kantoor zijn we steeds meer bezig met security. Recent hebben we Microsoft Endpoint Protection vervangen door F-Secure. Met F-Secure is het nu mogelijk om van alle domain connected devices te inventariseren welke software security patches missen.
Daardoor is de security manager opgevallen dat we een hoop applicaties hebben (van de totaal 300) waarbij er securtiy patches missen. Er is besloten dat we beter en vaker alle software willen bijwerken met security patches.

Nu zitten we met het vraagstuk hoe we dit precies gaan inrichten. We hebben inhouse packagers die alle applicaties en patches klaarmaken voor distributie met SCCM, voordat dit in productie wordt genomen gaat er eerst een testfase aan vooraf. Omdat er applicaties zijn waarbij er maandelijks security patches worden uitgebracht weten we nu nog niet helemaal hoe we dit moeten gaan regelen. We hebben niet de mankrachten om doorlopend security patches te packagen, en we hebben ook maar één tester (dat doe ik) dus het is ook bijna geen doen om doorlopend securty patches te gaan testen naast de standaard maandelijkse Windows updates, en feature updates van de overige applicaties van de totaal meer dan 300.

Nu ben ik benieuwd of er hier mensen zijn waarbij ze op de IT afdeling een goede manier hebben gevonden om de grote hoeveelheid security patches in goede banen te leiden. Hoe vaak worden er bij jullie security patches uitgerold? Hoe lang na release wordt een securty patch beschikbaar gesteld? Heb je misschien nog een tip?

Ik zou het tof vinden als er wat leuke ideeën hier worden gedeeld! :)

Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 11:26
Ik heb goede ervaringen met SCCM en Microsoft gerelateerde patches. SCCM kan dat prima aan. Het nadeel is dat alles wat in níet in Microsoft zit, niet meegenomen wordt in SCCM, en derhalve 'gepatched' moet worden in SCCM.

Ik zou zelf kijken naar Secunia. Sluit aan op SCCM, is nog steeds een !@#*&^-karwei (standaardiseer al je werkplekken!!), maar is beter dan alles met de hand te patchen/scripten. Kost wel wat knaken....

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

BrutalDave schreef op woensdag 31 mei 2017 @ 22:07:

We hebben niet de mankrachten om doorlopend security patches te packagen, en we hebben ook maar één tester (dat doe ik) dus het is ook bijna geen doen om doorlopend securty patches te gaan testen naast de standaard maandelijkse Windows updates, en feature updates van de overige applicaties van de totaal meer dan 300.
1 tester voor 300 applicaties lijkt me ondoenlijk. Ken jij werkelijk 300 applicaties goed genoeg om ze zinvol te testen? Of loop je alleen maar in 5 minuutjes door een draaiboekje heen?

De bedrijven die ik heb meegemaakt hebben functioneel beheerders en/of key users (eindgebruikers met kennis van de software) die dit soort testen in een aparte Test-omgeving doen. Zij zijn de dagelijkse gebruikers en weten (in theorie) het beste hoe het spul moet werken. Daarmee heb je ook de beschikking over een flexibele pool met "testers", die het naast de reguliere werkzaamheden doen, zodat jij geen SPOF wordt.
Nu ben ik benieuwd of er hier mensen zijn waarbij ze op de IT afdeling een goede manier hebben gevonden om de grote hoeveelheid security patches in goede banen te leiden. Hoe vaak worden er bij jullie security patches uitgerold? Hoe lang na release wordt een securty patch beschikbaar gesteld? Heb je misschien nog een tip?
De standaard Microsoft patches moesten bij mijn vorige werkgever na uiterlijk 3 weken uitgerold worden. Maar de zwaarste categorie moest binnen 48 uur uitgerold zijn. Dan werd er ook nauwelijks getest.
De huidige werkgever rolt alle patches meteen (zonder testen) uit en accepteert de risico's. Liever een applicatie plat omdat er niet getest is dan data van klanten op straat. Maar we zitten in de financiele sector en daar weegt security en privacy vrij zwaar.

Mijn eerste tip zou zijn om te achterhalen hoe management (en da's niet alleen de security officer) erin zit. Is security hoogste prioriteit of een nice to have? Moet "de business" testen en akkoord gaan voor je een patch uitrolt, om elk risico uit te sluiten, of is zwijgen instemmen?
Dit is belangrijk. In het ene geval loop je het risico dat patches maanden op de plank blijven liggen omdat "de business" het testen van een patch zelden als prioriteit ziet. In het andere geval zul je vroeg of laat een keer op je gezicht gaan omdat "de business" niet heeft getest en een problematische patch ook niet tegengehouden heeft. In beide gevallen neem je risico en zullen er zaken fout lopen. Dan wil je weten dat management achter die beslissing stond.

Acties:
  • 0 Henk 'm!

  • BrutalDave
  • Registratie: November 2006
  • Laatst online: 15-09-2023
DiedX schreef op woensdag 31 mei 2017 @ 22:16:
Ik heb goede ervaringen met SCCM en Microsoft gerelateerde patches. SCCM kan dat prima aan. Het nadeel is dat alles wat in níet in Microsoft zit, niet meegenomen wordt in SCCM, en derhalve 'gepatched' moet worden in SCCM.

Ik zou zelf kijken naar Secunia. Sluit aan op SCCM, is nog steeds een !@#*&^-karwei (standaardiseer al je werkplekken!!), maar is beter dan alles met de hand te patchen/scripten. Kost wel wat knaken....
Dank voor de tip! We hebben veel niet Microsoft applicaties dus niet standaard met SCCM. Even Secunia bekijken.

Acties:
  • 0 Henk 'm!

  • Vorkie
  • Registratie: September 2001
  • Niet online
PDQ misschien een oplossing voor de overige applicaties? Die hebben (als je enterprise licentie neemt) heel veel default packages qua standaard applicaties.

Acties:
  • 0 Henk 'm!

  • BrutalDave
  • Registratie: November 2006
  • Laatst online: 15-09-2023
downtime schreef op zaterdag 3 juni 2017 @ 17:27:
[...]

1 tester voor 300 applicaties lijkt me ondoenlijk. Ken jij werkelijk 300 applicaties goed genoeg om ze zinvol te testen? Of loop je alleen maar in 5 minuutjes door een draaiboekje heen?

De bedrijven die ik heb meegemaakt hebben functioneel beheerders en/of key users (eindgebruikers met kennis van de software) die dit soort testen in een aparte Test-omgeving doen. Zij zijn de dagelijkse gebruikers en weten (in theorie) het beste hoe het spul moet werken. Daarmee heb je ook de beschikking over een flexibele pool met "testers", die het naast de reguliere werkzaamheden doen, zodat jij geen SPOF wordt.


[...]

De standaard Microsoft patches moesten bij mijn vorige werkgever na uiterlijk 3 weken uitgerold worden. Maar de zwaarste categorie moest binnen 48 uur uitgerold zijn. Dan werd er ook nauwelijks getest.
De huidige werkgever rolt alle patches meteen (zonder testen) uit en accepteert de risico's. Liever een applicatie plat omdat er niet getest is dan data van klanten op straat. Maar we zitten in de financiele sector en daar weegt security en privacy vrij zwaar.

Mijn eerste tip zou zijn om te achterhalen hoe management (en da's niet alleen de security officer) erin zit. Is security hoogste prioriteit of een nice to have? Moet "de business" testen en akkoord gaan voor je een patch uitrolt, om elk risico uit te sluiten, of is zwijgen instemmen?
Dit is belangrijk. In het ene geval loop je het risico dat patches maanden op de plank blijven liggen omdat "de business" het testen van een patch zelden als prioriteit ziet. In het andere geval zul je vroeg of laat een keer op je gezicht gaan omdat "de business" niet heeft getest en een problematische patch ook niet tegengehouden heeft. In beide gevallen neem je risico en zullen er zaken fout lopen. Dan wil je weten dat management achter die beslissing stond.
Misschien had ik iets specifieker moeten zijn. Ik doe de technische test, en er zijn inderdaad functionele beheerders per applicatie die weten hoe het moet werken en die applicaties testen in een virtuele vmware/vsphere omgeving.


En bedankt voor de eigen ervaringen, en je tips en adviezen!

Acties:
  • 0 Henk 'm!

  • BrutalDave
  • Registratie: November 2006
  • Laatst online: 15-09-2023
Vorkie schreef op zaterdag 3 juni 2017 @ 20:16:
PDQ misschien een oplossing voor de overige applicaties? Die hebben (als je enterprise licentie neemt) heel veel default packages qua standaard applicaties.
We hebben recent Advanced Installer aangeschaft om het packagen te vereenvoudigen. Daar zit ook een centrale store in waarvan we de mogelijkheden en kostprijs van de subscription gaan bekijken. Standaard packages en dergelijke schijnen erin te zitten. Maar ik zal ook even kijken naar PDQ, bedankt voor de tip.
Pagina: 1