Virtual patching

Virtual patching is het snel ontwikkelen en op korte termijn implementeren van een beveiligingsbeleid bedoeld om te voorkomen dat er een exploit kan plaatsvinden als gevolg van een nieuw ontdekte kwetsbaarheid. Een virtuele patch wordt ook wel een Web application firewall (WAF) genoemd.

Een patch is een snelle reparatie van een stuk programmering. Typisch wordt een patch ontwikkeld en verspreid als vervanging van, of tussenvoeging in, gecompileerde code. Een applicatie-firewall is een verbeterde firewall die de toegang tot het OS (besturingssysteem) van een computer beperkt door specifieke applicatieprogramma's.

Een virtuele patch analyseert transacties met behulp van de beveiligingshandhavingslaag om te voorkomen dat kwaadaardig verkeer de kwetsbare applicatie bereikt. Als de virtuele patch effectief is, voorkomt hij dat het misbruik plaatsvindt zonder dat de broncode van de toepassing hoeft te worden gewijzigd. Deze aanpak biedt diverse voordelen ten opzichte van conventionele patching:

  • Een virtuele patch beschermt missiekritische componenten die online moeten blijven, zodat de activiteiten niet worden onderbroken zoals vaak het geval is met een conventionele patch in een noodsituatie.
  • Een virtuele patch beperkt het risico van een exploit snel, totdat een effectieve, permanente patch kan worden getest en vrijgegeven door de applicatieverkoper.
  • Een virtuele patch laat een organisatie zijn normale patchingcyclus handhaven zonder de bedrijfsvoering te onderbreken als er halverwege tussen geplande patchreleases een kwetsbaarheid ontstaat.
  • Een virtuele patch hoeft slechts op enkele locaties te worden geïnstalleerd, in plaats van op alle hosts in een netwerk.
  • Omdat de bibliotheken en ondersteunende code niet worden gewijzigd, is het onwaarschijnlijk dat een virtuele patch conflicten in het systeem veroorzaakt.

De nadelen of risico's van virtuele patching zijn onder meer:

  • Het is mogelijk dat niet alle mogelijke manieren, of alle mogelijke locaties, worden aangepakt waarop een exploit als gevolg van een bepaalde kwetsbaarheid kan optreden.
  • Als een virtuele patch eenmaal is geïmplementeerd en effectief is gebleken, zou een organisatie minder motivatie kunnen voelen om een permanente patch te produceren.
  • Terwijl een virtuele patch een onmiddellijke crisis kan afwenden, zal deze op de lange termijn waarschijnlijk niet zoveel voordeel bieden als een permanente patch zou doen, omdat de virtuele patch de inherente defecten in een applicatieprogramma niet kan elimineren.