A patching day in the life of Automox

Recent is Automox aan het portfolio van DTX toegevoegd. Na uitvoerig met Automox getest te hebben zijn we overtuigd geraakt van de kracht van het product. Door middel van deze blog wil ik graag laten zien met welke configuraties Automox werkt en wat dit kan bewerkstelligen. Kort om het geheugen op te frissen, wat kan Automox ook alweer?

Automox is een cloud-based patchmanagement tool, middels een Agent kan je systemen toevoegen aan Automox en zijn deze in beheer genomen. De Agent zelf is slechts een kleine 10 MB groot en een echte lichtgewicht dat het systeem amper belast. Vervolgens kun je, door policies te koppelen, deze systemen automatisch en/of handmatig voorzien van patches. Dit omvat zowel de Windows, Linux als Mac updates maar beperkt zich niet tot de besturingssystemen zelf. Ook software van een grote hoeveelheid derde partijen kan hiermee gemakkelijk up-to-date gehouden worden. Hiermee neem je de kwetsbaarheden weg die mogelijk uitgebuit kunnen worden.

 

Automox sluit hiermee naadloos aan op Rapid7 InsightVM, waar wij vanuit DTX al veel langer mee werken. Waar InsightVM kwetsbaarheden inzichtelijk kan maken en kan ondersteunen in het stellen van de prioriteiten, is Automox in staat deze waarnemingen daadwerkelijk te verhelpen. In de policies die je aan systemen koppelt is op diverse manieren te bepalen wat er gepatcht moet worden.

In de omgeving die ik voor deze blog heb gebruikt is gekozen voor “Patch All, except..”: Feature Updates, Java, Language packs, Preview, Silverlight

 

Dit omvat letterlijk wat het zegt; voor ieder OS wordt alle ondersteunde software gepatcht, behalve de items die uitgezonderd zijn. Voor ieder type systeem is een scenario beschikbaar dat aansluit op functies van het systeem en de eisen die eraan gesteld worden. Zo kan het voor het ene systeem wenselijk zijn om kritieke kwetsbaarheden direct bij waarneming te patchen en overige kwetsbaarheden op een later in te plannen. Dit heeft onder andere te maken met de risk appetite van de organisatie en wat voor machines en functionaliteiten je mee te maken hebt.

A Patching day

Voor iedereen die wel eens gewerkt heeft met InsightVM zullen deze illustraties er bekend uit zien. Dit is de risk score gebaseerd op het aantal, de ernst en de kans op uitbuiting van de door InsightVM waargenomen kwetsbaarheden op de testsystemen. De voorbeelden die hieronder getoond worden zijn van een tweetal geanonimiseerde systemen uit een productie- bedrijfsomgeving. Dit zijn systemen die actief ingezet worden en hiermee zeer representatief zijn voor de situaties waarin Automox dient te functioneren. 



 

Waar InsightVM een verhoogd riskscore ziet door de aanwezigheid van kwetsbaarheden benadert Automox dit vanuit de andere kant. Deze rapporteert juist dat er voor de systemen een aantal security updates en andere updates beschikbaar zijn. We geven Automox hierin de vrije hand en instrueren deze om bijna alle beschikbare patches te installeren, met uitzondering van het eerdergenoemde lijstje. Uiteraard is de verwachting hierbij dat de waargenomen riskscore van InsightVM na het installeren van deze updates significant verminderd is. Het behaalde resultaat is indrukwekkend. Het eerste systeem dat wij met behulp van Automox hebben gepatcht heeft een procentuele afname in riskscore van 84%, dat komt door 76% afname in kwetsbaarheden zoals waargenomen door InsightVM. 


 

Risico score machine na patchen
Aantal kwetsbaarheden na patchen
Risico score machine na patchen
Aantal kwetsbaarheden na patchen

Het tweede systeem dat wij met Automox hebben laten patchen toont een afname in riskscore van 96%, dat komt door 91% mitigatie in kwetsbaarheden. 


 

Zoals hier zichtbaar wordt neemt het aantal kwetsbaarheden op de systemen flink af. Het feit dat je ervoor kunt kiezen wat op welke systeem gepatcht moet worden en met welke regelmaat zorgt ervoor dat veel van het patchproces te automatiseren valt. De combinatie van te definiëren groepen, policies en uitvoerschema’s geven veel meer grip op het patchbeleid en hiermee is het aanvalsoppervlak significant kleiner te maken. Per policyset kan er ook geconfigureerd worden of een systeem automatisch herstart mag worden, wat er dient te gebeuren wanneer een systeem zijn patchmoment gemist heeft en of de reboot eventueel uitgesteld mag worden door een gebruiker. 

 

Mocht onverhoopt een patch niet succesvol geïnstalleerd kunnen worden wordt dit ook duidelijk gerapporteerd zodat hierop actie ondernomen kan worden. 


 

Samengevat: je kan patchmanagement voor een grote hoeveelheid systemen automatiseren. Je pakt hierbij niet alleen het besturingssysteem mee, maar ook meteen de andere software op deze systemen. Vaak staat er nog een oude Java- versie of Adobe Reader- installatie die vraagt om een update, dit wordt nu direct meegenomen. Tenslotte wil ik nogmaals de ondersteuning voor pakketten van derde partijen benoemen. Een compleet overzicht van deze software is hier te vinden.  En inderdaad, Java, Adobe, de verschillende webbrowsers die altijd een paar versies achterlopen, de veelvoorkomende pakketten staan er allemaal bij. 



 

Happy patching everyone!


 

Nick Kragtwijk

Nick Kragtwijk

Security Consultant

Related blogs

SOC Visibility Triad

SOC Visibility Triad

Een robuust programma voor het detecteren van bedreigingen moet tenminste bestaan uit technologie voor het detecteren van dreigingen op het netwerk, servers en werkplekken binnen en buiten de organisatie.

Lees verder ...

DTX.nl gebruikt cookies om inzicht te krijgen in het gebruik van de website en deze zo goed mogelijk te laten werken. Daarnaast maken wij gebruik van Google Analytics om uw gebruik van onze website te analyseren. Wij slaan geen persoonlijke gegevens op. Wanneer u doorgaat met het bezoeken van onze website, gaan wij er van uit dat u hier mee instemt.