Insights, technology, people and more

Aanpak Meltdown en Spectre kwetsbaarheden

Aanpak Meltdown en Spectre kwetsbaarheden

4 January 2018 in Nieuws Security

Laatst bijgewerkt: 16 januari

Zoals u misschien heeft gelezen, zijn er ernstige kwetsbaarheden ontdekt in de processoren van verschillende fabrikanten, waaronder Intel, AMD en ARM.

Cyso is volop bezig om een inventaris te doen en de impact te bepalen van deze Meltdown en Spectre kwetsbaarheden voor de verschillende (cloud)omgevingen waar wij gebruik van maken (onze eigen platformen en omgevingen van onze klanten bij externe public cloud providers). Zodra het actieplan is opgesteld en afgerond zullen wij onze klanten op de hoogte stellen van de stappen die voor hen relevant zijn en de impact die dat mogelijk heeft op de beschikbaarheid van hun systemen.

Als Managed Hosting provider voeren wij het beheer uit over een breed scala aan omgevingen. Al deze omgevingen ondervinden op hun eigen manier mogelijke impact van deze kwetsbaarheden en vereisen een andere aanpak om deze op te lossen. U kunt erop vertrouwen dat wij bij het verhelpen van de kwetsbaarheid de impact op de beschikbaarheid van de bewuste omgeving zo klein mogelijk proberen te houden.

Meer informatie over de kwetsbaarheden vindt u op meltdownattack.com.

Aanvulling 5 januari

Inmiddels zijn er verschillende acties ondernomen en nog steeds gaande om de Meltdown en Spectre beveiligingskwetsbaarheden te beperken. Zowel op het niveau van de infrastructuur als individuele servers zijn beveiligingsmaatregelen vereist en zijn wij deze aan het nemen.

Virtuele infrastructuur
  • De infrastructuur van onze VMware platformen wordt sinds gistermiddag doorlopend en gefaseerd voorzien van updates. Door de redundante, hoog beschikbare setup ondervinden onze klanten hier geen overlast van.
  • De infrastructuur van Azure of Amazon Web Services wordt op dit moment door de fabrikant zelf voorzien van de vereiste update. Onze klanten die hier gebruik van maken zijn ofwel inmiddels beschermd of zullen dat snel zijn.
  • De infrastructuur van het Google Cloud Platform is inmiddels door Google zelf geheel voorzien van de vereiste security patch.
  • Bij onze dochteronderneming Fuga worden voorbereidingen getroffen om met zo weinig mogelijk impact op de klantervaring de infrastructuur bij te werken.
Servers

De servers van onze klanten zullen zelf ook nog van updates voorzien moeten worden. Niet voor alle besturingssystemen zijn echter al patches voorhanden. Zodra deze beschikbaar worden, worden deze eerst zorgvuldig getest aangezien de implementatie ervan veelal lastig blijkt en verschillende afhankelijkheden kent die in kaart moeten worden gebracht. Als wij de update voldoende getest hebben, zullen wij extra onderhoudsvensters gaan inplannen om de betreffende servers bij te werken en dit onderhoud communiceren met onze klanten.

Wij blijven uiteraard het nieuws en actuele ontwikkelingen nauwgezet volgen.

Aanvulling 16 januari

Het zal u vermoedelijk niet verbazen dat voor hostingbedrijven zoals Cyso deze eerste weken van 2018 in het teken staan van de Meltdown en Spectre kwetsbaarheden. Deze vulnerabilities betreffen fundamentele problemen in de hardware (CPU’s) en zijn daarom bijzonder moeilijk en vermoedelijk zelfs niet volledig op te lossen. De patches die nu beschikbaar worden gesteld, plakken in feite slechts pleisters op de wond, zonder deze echt te kunnen dichten (met name in het geval van Spectre). De betrouwbaarheid van de patches is helaas ook nogal wisselend; verschillende fabrikanten hebben al patches voor hun patches moeten uitbrengen om eerdere fouten ongedaan te maken.

Het misbruiken maken van de vulnerabilities is gelukkig complex. Dat maakt dat we het risico op misbruik op dit moment niet als heel hoog inschatten. Dat gezegd hebbende: wanneer wel sprake is van misbruik dan kan de impact daarvan wel groot zijn. Daarom pakken we deze problemen wel serieus aan; er is zeker sprake van urgentie.

Om de problemen aan te pakken hebben wij risico- en impactanalyses uitgevoerd op de verschillende omgevingen en aan de hand daarvan ons actieplan bepaald. Omgevingen met een hoog-risico profiel (met name omgevingen die door meerdere gebruikers worden gedeeld) hebben wij als eerste gepatched om de grootste risico’s direct zoveel mogelijk te mitigeren. Dit betreft onder andere ons VMware platform en verschillende shared webservers.

Onze VMware cloud infrastructuur is inmiddels van updates voorzien, evenals externe public cloud omgevingen die door onze klanten wordt gebruikt. Windows servers met een hoog risico profiel zijn ook gepatched, evenals een deel van de Linux systemen met datzelfde profiel.

Van de meeste Linux distributies zijn inmiddels kernel patches beschikbaar gemaakt. Niet alle patches zijn echter betrouwbaar en stabiel genoeg om overhaast op productie omgevingen te installeren. De hoeveelheid problemen die wij daarmee mogelijk veroorzaken, wegen naar onze mening op dit moment in sommige gevallen niet op tegen de risico’s die wij lopen als wij nog iets langer wachten op verbeterde patches. Wij installeren alleen patches die wij uitvoerig hebben getest en waarin wij voldoende vertrouwen hebben.

We verwachten dat de diverse vendors de komende tijd nog diverse malen met updates voor hun patches zullen komen (een aantal heeft dat zelfs al gedaan). We zullen daarom doorlopend inschatten hoe urgent het toepassen van patches op specifieke omgevingen is en of daar extra onderhoudsrondes voor moeten worden ingelast.

Over de impact van de patches op performance bestaat momenteel nog veel onduidelijkheid en spreken berichten elkaar tegen. Wij kunnen daarom vooralsnog niet uitsluiten dat voor specifieke omgevingen het toepassen van patches zal leiden tot performance impact. Uiteraard proberen wij hier bij het testen een inschatting van te kunnen doen, maar de uiteindelijke gevolgen in een productieomgeving zijn bijzonder moeilijk te voorspellen. Wij monitoring natuurlijk wel permanent de belasting van uw servers.



Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider