Patch management

Patch management er den disciplin der holder jeres software og operativsystemer opdateret med de seneste rettelser. Det lyder som en triviel opgave, men i praksis er det en af de mest undervurderede sikkerhedsdiscipliner i danske virksomheder. Et flertal af de cyberangreb der lykkes, udnytter sårbarheder hvor patchen har været tilgængelig i månedsvis, men aldrig blev installeret.

Et patch management-system løser tre problemer på én gang. Det skaber overblik over hvilke maskiner der har hvilke versioner installeret, det automatiserer selve udrulningen så det ikke kræver manuel indsats per maskine, og det dokumenterer hvad der er gjort hvornår, hvilket er nødvendigt for compliance og fejlsøgning. Uden et sådant system er patching i praksis baseret på håb og hukommelse, og det er en dårlig kombination i et sikkerhedsmæssigt perspektiv.

Værktøjerne falder i tre hovedkategorier. Microsoft Intune (en del af Entra ID-økosystemet) er den åbenlyse løsning for virksomheder der allerede er dybt i Microsoft 365 og bruger Windows og iOS/Android. ManageEngine Patch Manager Plus og Action1 er platformsuafhængige løsninger der dækker Windows, macOS, Linux og tredjepartsprogrammer. Endelig findes der RMM-platforme som NinjaOne, Atera og N-able, der typisk kombinerer patch management med fjernsupport, monitoring og scripting i samme værktøj.

En velfungerende patch management-proces har fire faser. Identifikation finder ud af hvad der er installeret og hvilke patches der mangler. Test verificerer at en given patch ikke skaber problemer i jeres specifikke miljø, typisk på en mindre testgruppe. Udrulning installerer patchen på alle relevante maskiner i bølger så driftsforstyrrelser begrænses. Verifikation kontrollerer at installationen faktisk lykkedes og maskinerne er rapporteret tilbage som opdaterede.

Tredjepartsprogrammer er ofte den svageste del af patching. Microsoft Update håndterer Windows og Microsoft-produkter automatisk, men Adobe Reader, Java, Chrome, Firefox, Zoom, Notepad++ og hundredevis af andre programmer kræver separate processer. Det er præcis i disse programmer mange angreb finder vej, fordi de kører på næsten alle maskiner og opdateres sjældent. Et patch management-system der ikke dækker tredjepartsprogrammer løser kun halvdelen af problemet.

Vedligeholdelsesvinduer er afgørende for at patching ikke generer den daglige drift. De fleste virksomheder lægger genstart efter installation til natten eller weekender, og bruger gradvis udrulning til at fange problemer før de rammer hele organisationen. På servere kræver det ofte mere planlægning, fordi nogle systemer skal opdateres i klynger eller med specifikke afhængigheder mellem komponenter.

For virksomheder med under 25 medarbejdere kan patch management ofte håndteres med standard Windows Update for Business plus en simpel browser- og Java-opdateringsstrategi. Mellem 25 og 100 medarbejdere bliver et dedikeret værktøj nødvendigt for at have overblikket. Over 100 medarbejdere er det reelt ikke længere et valg, men en forretningskritisk disciplin der bør være formelt tildelt en ansvarlig, enten internt eller hos en managed services-leverandør.

Compliance og forsikring er to områder hvor patch management hurtigt får økonomisk betydning. Cyberforsikringer stiller stadigt skrappere krav til dokumentation af opdateringsrutiner, og ved et indbrud kan manglende patching være grund til afslag på dækning. NIS2-direktivet, som rammer en lang række danske virksomheder fra 2025, kræver dokumenterede processer for sårbarhedshåndtering. Et patch management-system leverer den dokumentation automatisk, mens manuel patching efterlader jer i en svag position over for både revisorer og forsikringsselskab.

Sårbarhedsscanning er den disciplin der ligger tæt op ad patch management uden at være det samme. Hvor patch management handler om at installere kendte rettelser, identificerer sårbarhedsscanning aktivt hvilke huller der findes i jeres miljø lige nu, både dem der har en patch, og dem der endnu ikke har. Værktøjer som Tenable Nessus, Qualys og Rapid7 bruges til denne opgave. For mindre virksomheder er den direkte sårbarhedsscanning ofte overkill, men for virksomheder med eksternt eksponerede systemer eller skærpede krav er det den naturlige overbygning til patch management.

Patching af servere kræver en anden tilgang end patching af medarbejdercomputere. Servere har ofte specifikke vedligeholdelsesvinduer, kører tjenester som ikke bør genstartes vilkårligt, og har afhængigheder der gør at rækkefølgen er kritisk. En domænecontroller skal ikke patches samtidig med backup-serveren, og databaseserveren skal være oppe igen før applikationsserveren genstartes. Erfarne IT-leverandører har playbooks for disse afhængigheder, og det er en af de tekniske kompetencer der adskiller en moden leverandør fra en uerfaren.

De typiske fejl ved patch management i danske SMV'er falder i tre kategorier. Den første er manglende dækning af tredjepartsprogrammer, hvor kun Windows opdateres. Den anden er manglende test, hvor patches rulles direkte ud til alle maskiner og forårsager produktivitetstab når noget bryder. Den tredje er manglende dokumentation, hvor der ikke kan svares på hvornår en bestemt sårbarhed blev lukket, hvilket er kritisk hvis der senere opstår mistanke om brud. Et velvalgt patch management-system løser alle tre problemer i én bevægelse, og det er den vigtigste investering i sikkerhed efter MFA og backup.

Mobile enheder og hjemmearbejdspladser er den næste store udfordring efter de stationære maskiner. En medarbejder der arbejder hjemmefra, kun forbinder sig til kontornettet via VPN nogle gange om ugen, og mest tilgår SaaS-applikationer direkte fra hjemmenettet, kan i praksis være måneder bagud med opdateringer uden at IT bemærker det. Moderne patch management-løsninger arbejder cloud-baseret og opdaterer maskiner uanset hvor de befinder sig, så længe de har internetforbindelse. Det er en afgørende egenskab i en tid hvor hybridarbejde er blevet normen, og hvor det gamle setup med en intern WSUS-server bag firewallen ikke længere giver fuld dækning.