A patching day in the life of Automox

Recent is Automox aan het portfolio van DTX toegevoegd. Na uitvoerig met Automox getest te hebben zijn we overtuigd geraakt van de kracht van het product. Door middel van deze blog wil ik graag laten zien met welke configuraties Automox werkt en wat dit kan bewerkstelligen. Kort om het geheugen op te frissen, wat kan Automox ook alweer?

Automox is een cloud-based patchmanagement tool, middels een Agent kan je systemen toevoegen aan Automox en zijn deze in beheer genomen. De Agent zelf is slechts een kleine 10 MB groot en een echte lichtgewicht dat het systeem amper belast. Vervolgens kun je, door policies te koppelen, deze systemen automatisch en/of handmatig voorzien van patches. Dit omvat zowel de Windows, Linux als Mac updates maar beperkt zich niet tot de besturingssystemen zelf. Ook software van een grote hoeveelheid derde partijen kan hiermee gemakkelijk up-to-date gehouden worden. Hiermee neem je de kwetsbaarheden weg die mogelijk uitgebuit kunnen worden.

Automox sluit hiermee naadloos aan op Rapid7 InsightVM, waar wij vanuit DTX al veel langer mee werken. Waar InsightVM kwetsbaarheden inzichtelijk kan maken en kan ondersteunen in het stellen van de prioriteiten, is Automox in staat deze waarnemingen daadwerkelijk te verhelpen. In de policies die je aan systemen koppelt is op diverse manieren te bepalen wat er gepatcht moet worden. In de omgeving die ik voor deze blog heb gebruikt is gekozen voor “Patch All, except..”: Feature Updates, Java, Language packs, Preview, Silverlight

Dit omvat letterlijk wat het zegt; voor ieder OS wordt alle ondersteunde software gepatcht, behalve de items die uitgezonderd zijn. Voor ieder type systeem is een scenario beschikbaar dat aansluit op functies van het systeem en de eisen die eraan gesteld worden. Zo kan het voor het ene systeem wenselijk zijn om kritieke kwetsbaarheden direct bij waarneming te patchen en overige kwetsbaarheden op een later in te plannen. Dit heeft onder andere te maken met de risk appetite van de organisatie en wat voor machines en functionaliteiten je mee te maken hebt.

Tijdslijn InsightIDR Investigation.

Voor iedereen die wel eens gewerkt heeft met InsightVM zullen deze illustraties er bekend uit zien. Dit is de risk score gebaseerd op het aantal, de ernst en de kans op uitbuiting van de door InsightVM waargenomen kwetsbaarheden op de testsystemen. De voorbeelden die hieronder getoond worden zijn van een tweetal geanonimiseerde systemen uit een productie- bedrijfsomgeving. Dit zijn systemen die actief ingezet worden en hiermee zeer representatief zijn voor de situaties waarin Automox dient te functioneren.

Waar InsightVM een verhoogd riskscore ziet door de aanwezigheid van kwetsbaarheden benadert Automox dit vanuit de andere kant. Deze rapporteert juist dat er voor de systemen een aantal security updates en andere updates beschikbaar zijn. We geven Automox hierin de vrije hand en instrueren deze om bijna alle beschikbare patches te installeren, met uitzondering van het eerdergenoemde lijstje. Uiteraard is de verwachting hierbij dat de waargenomen riskscore van InsightVM na het installeren van deze updates significant verminderd is. Het behaalde resultaat is indrukwekkend. Het eerste systeem dat wij met behulp van Automox hebben gepatcht heeft een procentuele afname in riskscore van 84%, dat komt door 76% afname in kwetsbaarheden zoals waargenomen door InsightVM.

Additionele informatie Enhanced Endpoint Telemetry.
Additionele informatie Enhanced Endpoint Telemetry.
Custom alert op basis van Enhanced Endpoint Telemetry inzichten.
Custom alert op basis van Enhanced Endpoint Telemetry inzichten.

Het tweede systeem dat wij met Automox hebben laten patchen toont een afname in riskscore van 96%, dat komt door 91% mitigatie in kwetsbaarheden.

Zoals hier zichtbaar wordt neemt het aantal kwetsbaarheden op de systemen flink af. Het feit dat je ervoor kunt kiezen wat op welke systeem gepatcht moet worden en met welke regelmaat zorgt ervoor dat veel van het patchproces te automatiseren valt. De combinatie van te definiëren groepen, policies en uitvoerschema’s geven veel meer grip op het patchbeleid en hiermee is het aanvalsoppervlak significant kleiner te maken. Per policyset kan er ook geconfigureerd worden of een systeem automatisch herstart mag worden, wat er dient te gebeuren wanneer een systeem zijn patchmoment gemist heeft en of de reboot eventueel uitgesteld mag worden door een gebruiker.

Mocht onverhoopt een patch niet succesvol geïnstalleerd kunnen worden wordt dit ook duidelijk gerapporteerd zodat hierop actie ondernomen kan worden.

Samengevat

Je kan patchmanagement voor een grote hoeveelheid systemen automatiseren. Je pakt hierbij niet alleen het besturingssysteem mee, maar ook meteen de andere software op deze systemen. Vaak staat er nog een oude Java- versie of Adobe Reader- installatie die vraagt om een update, dit wordt nu direct meegenomen. Tenslotte wil ik nogmaals de ondersteuning voor pakketten van derde partijen benoemen. Een compleet overzicht van deze software is hier te vinden. En inderdaad, Java, Adobe, de verschillende webbrowsers die altijd een paar versies achterlopen, de veelvoorkomende pakketten staan er allemaal bij.

Happy patching everyone!

Dit artikel werd geschreven door Nick Kragtwijk, Security Consultant bij DTX uit Alkmaar, We make IT.

Nick Kragtwijk

Security Consultant

We make IT

Wilt u een IT partner die met u mee denkt en het beste uit uw IT omgeving haalt?
Dan bent u bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak

We make IT

Wil jij een IT partner die met je mee denkt en het beste uit jouw IT omgeving haalt?
Dan ben je bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak