Beheer van noodpatches

Windows Systemen

NICE moet zo snel mogelijk patches toepassen op de CXone-systemen als:

• Een proof-of-concept code publiekelijke beschikbaar is bij een mogelijk misbruik.

• Een nieuwe kritieke beveiligingspatch is vrijgegeven.

Het doel van deze patches is om direct kwetsbaarheden in de cloudomgeving van de organisatie te verhelpen. Microsoft Kritieke updates en andere patches worden getest en volgens een vast schema toegepast. Dit schema is doorgaans een patchcyclus van 30 dagen, beginnend met de Patch Tuesday van Microsoft. NICE hanteert ook een patchplanning voor Linus met een soortgelijke prioriteitsaanduiding. Kritieke patches moeten direct worden toegepast en niet pas een volgende maand.

In de Change Control Record (CCR) worden patches en upgrades vastgelegd. Deze moeten worden beoordeeld door NICE de raad voor Verandermanagement wat betreft het volgende:

• Impact.

• Risicoanalyse.

• Benodigde genomen acties vóór goedkeuring.

Patches en upgrades moeten ook worden beoordeeld door vakgenoten en technici.

Patches en upgrades worden eerst in het lab van CXone getest, dan in alfa- en betaclusters en dan in productie. NICE hanteert een verandermanagementproces in noodsituaties voor onverwachte kritieke problemen.

Updates worden getest door een Quality Assurance (QA)-afdeling. Deze afdeling werkt conform de richtlijnen van NICE. Deze richtlijnen zijn opgenomen in:

• Security Development Life Cycle (SDLC).

• Documentatie over beleid en procedures.

Het team Operations van NICE zorgen voor het updaten en het uitvoeren van patches op alle van toepassing zijnde apparaten van CXone. Patches worden uitgevoerd tijdens een vast onderhoudstijdslot. Dit tijdslot valt normaliter buiten piekuren, is 's nachts en duurt drie uur. Het tijdslot dat wordt gehanteerd wordt vastgelegd in het contract met de klant. Onderhoudswerkzaamheden kunnen een korte onderbreking veroorzaken omdat bijvoorbeeld servers opnieuw moeten worden opgestart, of vanwege een cluster failover.

Niet-Windows systemen en software

Linux en andere niet-Windows besturingssystemen en apparaten worden op een kalender- en ad-hocbasis gepatcht. Hiervoor gelden hetzelfde Change Control Board (CCB)-proces en dezelfde cyclus als hierboven is beschreven. Huidige versies worden vergeleken met relevante algemene kwetsbaarheden en blootstellingen (CVE's) en deze worden vervolgens verholpen.

Informatiebeveiliging evalueert software van derden of niet-Windows. Dit vindt plaats door middel van:

• QA-aangestuurd scannen.

• Het Beveiligingscenter.

• Overige detectiemiddelen en rapporten.

Informatiebeveiliging brengt respectieve eigenaren en groepen, zoals SysOps of R&D van deze kwetsbaarheden op de hoogte. Voor kwetsbaarheden aangeduid als "Critical" of "High" moeten binnen 30 tot 90 dagen patches worden uitgevoerd. Bepaalde bedreigingen binnen deze kwetsbaarheden moeten binnen 30 dagen worden verholpen.

Tools

Infra-Tools is een interne tool die gebruikt wordt in Windows. Deze tool voert automatisch herstel van software en hardware uit. Deze tool wordt uitgevoerd door System Operation-groepen. Deze zorgen ervoor dat machines en software zonder patches worden gesignaleerd om daarvoor vervolgens patches uit te voeren.

Firewalls voeren een grondige inspectie tijdens IDS/IPS uit waarbij dreigingsbeveiliging is ingeschakeld.

NICE gebruikt intern overige tools voor bedreigingen op het administratieve vlak. SIEM-logboekregistraties controleren logboeken van de betreffende servers op afwijkingen.

Doelstellingen servicelevel

NICE gebruikt doelstellingen voor servicelevel bij het toepassen van patches. Deze doelstellingen zorgen ervoor dat:

• Bekende kwetsbaarheden worden tijdig gepatcht.

• Patches zijn compatibel met:

  • PCI-DSS

  • Overige vereisten voor beveiligingsinfrastructuur die binnen de scope vallen.

Er wordt een schaal gebruikt om patches en gebeurtenisrisico's te beschrijven. De eigenarengroep intern apparaat duidt kwetsbaarheden als volgt aan: "Critical," "High," "Medium," of "Low."

• Voor kwetsbaarheden die als Criticalworden beschouwd, moet binnen 30 dagen een patch worden uitgevoerd.

• Voor kwetsbaarheden die als High worden beschouwd, moet binnen 60 dagen een patch worden uitgevoerd.

• Voor kwetsbaarheden die als Medium worden beschouwd, moet binnen 90 dagen een patch worden uitgevoerd.

• Voor kwetsbaarheden die als Low worden beschouwd, moet binnen een door de eigenarengroep intern apparaat vastgesteld tijdsbestek een patch worden uitgevoerd.

Informatiebeveiliging geeft informatie over kwetsbaarheden door aan het Beveiligingscenter. Deze informatie wordt gegeven in inspectierapporten kwetsbaarheden.

Herstelcyclus

Wanneer een kritieke bedreiging is ontdekt, wordt onmiddellijk begonnen met het analyseren hiervan. Binnen 72 uur wordt de bedreiging gedefinieerd en een plan van aanpak opgesteld. Het plan wordt vervolgens opgenomen in de herstelcyclus. De herstelcyclus bestaat uit het volgende:

1. Een oplossing bedenken.

2. De oplossing maken.

3. Implementatie in het lab om de oplossing te testen.

4. De oplossing doorsturen naar QA.

5. De planning vrijgeven.

6. Beoordeling door vakgenoten en goedkeuring van de raad voor Verandermanagement.

7. Implementatie.

De analyse, definitie, het plan van aanpak en de herstelcyclus moeten binnen 30 dagen na ontdekking plaatsvinden. Als dit een impact heeft gehad op een bedrijfseenheid -service, wordt de bedrijfseenheid op de hoogte gehouden van de voortgang. Updates over de voortgang worden bij elke stap van de implementatie van de herstelcyclus gegeven. Afhankelijk van het incident wordt na een succesvol herstel een RCA naar de betreffende bedrijfseenheid 's verzonden.

Uitzonderingen

Handmatig herstel en catalogiseren vindt plaats voor servers en apparaten die niet:

• Communiceren met WSUS-servers.

• Updates kunnen ophalen.

Rapportages over servers waarvoor geen patch is uitgevoerd worden verzonden naar Informatiebeveiliging zodat deze servers kunnen worden gecontroleerd en getraceerd zodat herstelacties kunnen worden genomen.