Beheer van noodpatches

Systemen met Windows

NICE CXone moet zo snel mogelijk patches toepassen op de CXone-systemen als:

  • Een proof-of-concept code publiekelijke beschikbaar is bij een mogelijk misbruik.

  • Een nieuwe kritieke beveiligingspatch is vrijgegeven.

Het doel van deze patches is om direct kwetsbaarheden in de cloudomgeving van de organisatie te verhelpen. Microsoft Kritieke Updates en overige patches doorlopen een testcyclus en worden regelmatig toegepast. De planning voor patches is standaard 30 dagen en begint op Patch Tuesday van Microsoft. NICE CXone hanteert ook een patchplanning voor Linus met een soortgelijke prioriteitsaanduiding. Kritieke patches moeten direct worden toegepast en niet pas een volgende maand.

In de Change Control Record (CCR) worden patches en upgrades vastgelegd. Deze moeten worden beoordeeld door NICE CXone de raad voor Verandermanagement wat betreft het volgende:

  • Impact.

  • Risicoanalyse.

  • Benodigde genomen acties vóór goedkeuring.

Patches en upgrades moeten ook worden beoordeeld door vakgenoten en technici.

Patches en upgrades worden eerst in het lab van NICE CXone getest, dan in alfa- en betaclusters en dan in productie. NICE CXone hanteert een verandermanagementproces in noodsituaties voor onverwachte kritieke problemen.

Updates worden getest door een Quality Assurance (QA)-afdeling. Deze afdeling werkt conform de richtlijnen van NICE CXone. Deze richtlijnen zijn opgenomen in:

  • Security Development Life Cycle (SDLC).

  • Documentatie over beleid en procedures.

Het team Operations van NICE CXone zorgen voor het updaten en het uitvoeren van patches op alle van toepassing zijnde apparaten van CXone. Patches worden uitgevoerd tijdens een vast onderhoudstijdslot. Dit tijdslot valt normaliter buiten piekuren, is 's nachts en duurt drie uur. Het tijdslot dat wordt gehanteerd wordt vastgelegd in het contract met de klant. Onderhoudswerkzaamheden kunnen een korte onderbreking veroorzaken omdat bijvoorbeeld servers opnieuw moeten worden opgestart, of vanwege een cluster failover.

Systemen en software zonder Windows

Op Linux en overige besturingssystemen en apparaten zonder Windows worden patches uitgevoerd volgens een kalender en op ad hoc-basis. Hiervoor gelden hetzelfde Change Control Board (CCB)-proces en dezelfde cyclus als hierboven is beschreven. Huidige versies worden vergeleken met relevante algemene kwetsbaarheden en blootstellingen (CVE's) en deze worden vervolgens verholpen.

Informatiebeveiliging evalueert software van overige partijen of anders dan Windows-software. Dit vindt plaats door middel van:

  • QA-aangestuurd scannen.

  • Het Beveiligingscenter.

  • Overige detectiemiddelen en rapporten.

Informatiebeveiliging brengt respectieve eigenaren en groepen, zoals SysOps of R&D van deze kwetsbaarheden op de hoogte. Voor kwetsbaarheden aangeduid als "Critical" of "High" moeten binnen 30 tot 90 dagen patches worden uitgevoerd. Bepaalde bedreigingen binnen deze kwetsbaarheden moeten binnen 30 dagen worden verholpen.

Tools

Infra-Tools is een interne tool die in Windows wordt gebruikt. Deze tool voert automatisch herstel van software en hardware uit. Deze tool wordt uitgevoerd door System Operation-groepen. Deze zorgen ervoor dat machines en software zonder patches worden gesignaleerd om daarvoor vervolgens patches uit te voeren.

Firewalls voeren een grondige inspectie tijdens IDS/IPS uit waarbij dreigingsbeveiliging is ingeschakeld.

NICE CXone gebruikt intern overige tools voor bedreigingen op het administratieve vlak. SIEM-logboekregistraties controleren logboeken van de betreffende servers op afwijkingen.

Doelstellingen servicelevel

NICE CXone gebruikt doelstellingen voor servicelevel bij het toepassen van patches. Deze doelstellingen zorgen ervoor dat:

  • Bekende kwetsbaarheden op tijd worden verholpen door middel van patches.

  • Patches voldoen aan:

    • PCI-DSS

    • Overige vereisten voor beveiligingsinfrastructuur die binnen de scope vallen.

Er wordt een schaal gebruikt om patches en gebeurtenisrisico's te beschrijven. De eigenarengroep intern apparaat duidt kwetsbaarheden als volgt aan: "Critical," "High," "Medium," of "Low."

  • Voor kwetsbaarheden die als Criticalworden beschouwd, moet binnen 30 dagen een patch worden uitgevoerd.

  • Voor kwetsbaarheden die als High worden beschouwd, moet binnen 60 dagen een patch worden uitgevoerd.

  • Voor kwetsbaarheden die als Medium worden beschouwd, moet binnen 90 dagen een patch worden uitgevoerd.

  • Voor kwetsbaarheden die als Low worden beschouwd, moet binnen een door de eigenarengroep intern apparaat vastgesteld tijdsbestek een patch worden uitgevoerd.

Informatiebeveiliging geeft informatie over kwetsbaarheden door aan het Beveiligingscenter. Deze informatie wordt gegeven in inspectierapporten kwetsbaarheden.

Herstelcyclus

Wanneer een kritieke bedreiging is ontdekt, wordt onmiddellijk begonnen met het analyseren hiervan. Binnen 72 uur wordt de bedreiging gedefinieerd en een plan van aanpak opgesteld. Het plan wordt vervolgens opgenomen in de herstelcyclus. De herstelcyclus bestaat uit het volgende:

  1. Een oplossing bedenken.

  2. De oplossing maken.

  3. Implementatie in het lab om de oplossing te testen.

  4. De oplossing doorsturen naar QA.

  5. De planning vrijgeven.

  6. Beoordeling door vakgenoten en goedkeuring van de raad voor Verandermanagement.

  7. Implementatie.

De analyse, definitie, het plan van aanpak en de herstelcyclus moeten binnen 30 dagen na ontdekking plaatsvinden. Als dit een impact heeft gehad op een tenant-service, wordt de tenant op de hoogte gehouden van de voortgang. Updates over de voortgang worden bij elke stap van de implementatie van de herstelcyclus gegeven. Afhankelijk van het incident wordt na een succesvol herstel een RCA naar de betreffende tenant's verzonden.

Uitzonderingen

Handmatig herstel en catalogiseren vindt plaats voor servers en apparaten die niet:

  • Communiceren met WSUS-servers.

  • Updates kunnen ophalen.

Rapportages over servers waarvoor geen patch is uitgevoerd worden verzonden naar Informatiebeveiliging zodat deze servers kunnen worden gecontroleerd en getraceerd zodat herstelacties kunnen worden genomen.