Patch Tuesday op Tweakers

Waar ik persoonlijk naar kijk zijn hoge impact CVE's (m.n. RCE) en of deze al actief misbruikt worden. Maakt voor mij het verschil tussen lichte paniek en gewoon patchen.

Daarnaast is voor mij Tweakers niet mijn primaire bron voor deze informatie.

[Voor 19% gewijzigd door oak3 op 10-11-2022 12:05]

Tegen de tijd dat jouw informatie verzameld, geconsolideerd en tot artikel verwerkt is, @Tijs Hofmans, ben ik al bijna klaar met patchen op basis van onze (interne) vulnerability / patch teams en op basis van wat mijn klanten ondertussen in mijn mailbox uitstorten over "hoe erg is dit voor ons?".

Inhoudelijk vind ik de artikelen op de Frontpage te summier. Het is niet onbekend (sic) dat een groot aantal lezers vaak al niet doorklikt en zich dus automatisch zal verbazen over termen als CNG of stopt met lezen. Als je zou uitleggen, in dit voorbeeld, wat CNG doet in 1 of 2 zinnen, dan loopt de hele alinea een stuk beter.

Daarnaast, en puur op basis van nieuws: Microsoft repareert 68 bugs inclusief zes zerodays tijdens Patch Tuesday is de laatste alinea een opsomming van URL's waar je als geinteresseerde nog eens 4x verder moet klikken voordat je de exacte uitleg / PoC / etc kan terugvinden. Ook hiervoor geldt; als je het kan vinden, dan heeft het meer nut om naar het versimpelde(re) uitleg-artikel te linken; de "zware pro's" hebben allang de technische uitleg & patches op hun machines klaar staan.

Hetzelfde geldt een beetje voor nieuws: Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC e... want op Publicatie-datum 09-11-2022 • 10:28, had ik de patch al binnen, de klant geinformeerd over welke zaken we wel/niet hebben, de acceptatie-omgeving al geupdate, changes ingediend binnen mijn teams voor de vastlegging, etc. Ik snap dat Tweakers of @Tijs Hofmans geen Citrix powerhouse is maar ook hier weer leidt de laatste alinea af van de boodschap; "we" gaan terug in de tijd naar 2020 voor volledig ongerelateerde waarschuwingen/constateringen.


Voor goede duiding van vulnerabilities: direct & to the point.

Voor mij is tweakers ook niet de bron voor informatie over vulnerabilities en te patchen systemen. Volgens mij is dat ook niet het doel van tweakers.

Heel misschien is een live feed/integratie met bijv. Ncsc rss feed een optie, vergelijkbaar met de feed voor software releases.

Toegevoegde waarde zit hem misschien in het schrijven van uitgebreidere artikelen die een groot probleem (log4j, etc.) kunnen uitleggen aan het bredere publiek dat nog niet thuis is in deze materie maar het wel interessant vind.

Voor mij zou een toegevoegde waarde ook zijn om toe te lichten wat de impact van een kwetsbaarheid is, hoe die te misbruiken is etc. Context geven. Soms is een CVE van 10/10 minder gevaarlijk dan een combinatie twee lagere CVE's. Het zou juist voor tweakers wat zijn om uit te leggen waarom dat is en hoe dat misbruikt kan worden.

Bij ons hebben we de rss-feeds of mailinglists van het NCSC en Ubuntu Security Notices die we elke dag controleren of er voor ons belangrijke tussen zitten. Hiermee kijken we voornamelijk naar de ernst, kans en impact om te bepalen of we deze ad-hoc patchen of gewoon mee laten komen met de maandelijkse updates.

Voordat we dit hadden was mijn voornaamstelijke bron van deze informatie tweakers of reddit. Maar met deze rss-feeds en mailinglists zijn we nu veel sneller op de hoogte.

Ik zou het high-level houden tbh, ik denk dat dat het beste bij Tweakers past. Als je dieper gaat dan kom je toch op ietwat ander terrein, en (sorry) dat kunnen anderen beter en doen dat al langer. Genoeg resources online, zoals uiteraard Microsof zelf maar ook veel andere professionele SecOps/InfoSec/whatever resources die bovenop Patch Tuesday zitten.

Wat hebben jullie als je doelgroep gedefinieerd voor de frontpage? IT professionals die zakelijk bezig zijn met IT? Hobbyisten/prosumers? Bep en Gerda die op zoek zijn naar de laatste Samsung? Ik denk dat dat in grote mate sturend moet zijn in de keuze over deze artikelen.

Is het de eerste categorie? Dan wellicht een uitgebreidere focus op de patches voor Windows Server OS'es, patches met impact op 'enterprise' services als LDAP, SCCM/MECM, WSUS, etc.

Is het de tweede categorie? Dan juist de focus op Desktop OS'es, mogelijke problemen bij patches met dingen als Wifi-verbindingen, bluetooth, veranderingen in de UI?

Is het allebei? Wellicht dan een subtiele uitsplitsing proberen te maken en twee artikelen plaatsen, beide met net een andere focus en wellicht verwijzingen naar elkaar?

Voor mij als CISO zijn de huidige overzichten genoeg. Ik heb teams voor me werken die de informatie al hebben (en ook al vaak opgepakt hebben), voor mij is dit een mooie samenvatting. Ik heb geen behoefte aan details, die ontvang ik in rapportages van mijn team, maar hoog over even alles langsgaan helpt mij om eventueel wat te controleren, de status na te gaan, of bekijken hoe onze processen hier om mee gaan.

Ook voor mij is Tweakers niet de eerste bron voor patches en vergelijkbaar security nieuws.
Bij belangrijke zaken is vooraf meestal ook wel bekend dat er iets aan zit te komen.
Er is ook veel te veel software in de wereld om te vertrouwen op nieuwsartikelen, dan mis je te veel.

Waar ik de artikelen op Tweakers wel voor gebruik is om ze aan mijn collega's te laten lezen die zelf wat minder met security bezig zijn. Voor hen is het voor belangrijk dat de impact van de belangrijkste lekken/patches duidelijk is en er een /gepast/ gevoel voor urgentie is (dus soms grote paniek, soms niks aan de hand). Begrijpelijkerwijs zal er niet vaak nieuws zijn over "niks aan de hand" patches.

CAPSLOCK2000 schreef op maandag 14 november 2022 @ 17:59:
Waar ik de artikelen op Tweakers wel voor gebruik is om ze aan mijn collega's te laten lezen die zelf wat minder met security bezig zijn. Voor hen is het voor belangrijk dat de impact van de belangrijkste lekken/patches duidelijk is en er een /gepast/ gevoel voor urgentie is (dus soms grote paniek, soms niks aan de hand). Begrijpelijkerwijs zal er niet vaak nieuws zijn over "niks aan de hand" patches.

Dit is wel een belangrijke doelgroep. Degene waarbij het niet tot hun werk behoort, maar die er wel indirect mee te maken hebben.

Ten eerste; top dat je om feedback vraagt

Naast de zaken die je noemt vind ik het ook interessant of er known issues zijn en of, mits bekent, er kwetsbaarheden worden misbruikt "in the wild".

Yup en yup

Voor de doelgroep: 'breaking news alerts' zijn m.i. geen breaking news-alerts waar als ze meer dan eens per maand of tenminste week voorkomen (ik kijk naar jou, NYTimes-app). Als doelgroep beheerders dan is het of sneller en dieper zijn dan anderen (incl. de bronnen waar naar wordt verwezen), of voor die ene uitzondering de diepte ingaan beter. Anders is ook IMHO een andere insteek handiger voor een andere doelgroep: management en eindgebruikers.

Wat is de impact van de huidige set patches? Heeft het haast? Risico's / known issues bij nu snel doorvoeren? Waarom, kan het een paar weken wachten om te zien of er wat omvalt zodat het volk met die rare kleren en rare afkortingen-praat nu andere dingen kan doen? Zoals nu bespreken dat een deel in het wild voorkomt is dan heel goed.