Organisaties dienen zich nu voor te bereiden op een aankomende golf van software-updates die tientallen jaren aan technische schulden zullen aanpakken. Technische schuld ontstaat doordat er in het verleden prioriteit werd gegeven aan korte termijn voordelen boven het bouwen van robuuste en veilige producten. Dit geldt voor zowel technologieproducenten als gebruikers en beheerders.

De inzet van kunstmatige intelligentie door deskundigen maakt het mogelijk om deze technische schuld op grote schaal en met hoge snelheid te exploiteren binnen het gehele technologische ecosysteem. Hierdoor verwacht het Britse National Cyber Security Centre (NCSC) een gedwongen correctie waarbij kwetsbaarheden in allerlei soorten software worden aangepakt, waaronder open source, commerciële, propriëtaire software en software as a service.

Het NCSC adviseert organisaties om nu al stappen te zetten om zich voor te bereiden op deze zogenaamde 'patch wave', waarbij een grote hoeveelheid software-updates snel toegepast moet worden om nieuwe kwetsbaarheden te verhelpen. Daarbij is het van belang om eerst de extern zichtbare aanvalsvlakken, zoals internet-facing systemen, te identificeren en te minimaliseren. Door te beginnen bij de perimeter en vervolgens naar binnen toe te werken, bijvoorbeeld naar cloud-omgevingen en on-premises systemen, kan het risico dat latent aanwezige kwetsbaarheden worden misbruikt, worden verkleind.

Als het niet mogelijk is om updates in het gehele IT-landschap door te voeren, moeten externe aanvalsvlakken prioriteit krijgen. Indien er capaciteit overblijft, dienen kritieke beveiligingssystemen als volgende prioriteit te worden bijgewerkt. Het NCSC benadrukt dat alleen patchen niet altijd voldoende is, vooral bij verouderde of niet meer ondersteunde technologieën die geen updates meer ontvangen. In die gevallen is het noodzakelijk om deze technologieën te vervangen of weer binnen de support te brengen, zeker als ze een extern aanvalsvlak vormen.

Organisaties wordt aangeraden om hun processen zo in te richten dat software-updates snel, frequent en op grote schaal kunnen worden uitgerold, ook binnen hun toeleveringsketens. Het NCSC verwacht een toename van updates voor kwetsbaarheden van alle ernstniveaus, waaronder kritieke. Waar mogelijk moet automatische, veilige 'hot patching' worden ingeschakeld, zodat updates kunnen worden toegepast zonder onderbreking van diensten. Ook automatische updates, bijvoorbeeld voor embedded devices, moeten worden geactiveerd om de werkdruk op supportteams te verminderen.

Als automatische patching niet beschikbaar is, moeten organisaties zorgen voor processen en risicobereidheid die frequente en grootschalige updates ondersteunen, met oog voor operationele afwegingen zoals verstoring en veiligheid van kritieke systemen. Een risicogebaseerde aanpak zoals het Stakeholder Specific Vulnerability Categorisation (SSVC) systeem kan helpen bij het prioriteren van updates.

Bij een kritieke kwetsbaarheid die actief wordt misbruikt, vooral als het een internet-facing systeem betreft, is het essentieel om het updateproces te versnellen. Organisaties kunnen hiervoor de nieuwe richtlijnen van het NCSC over reageren op actieve exploitatie van kwetsbaarheden raadplegen.

Samenvattend adviseert het NCSC om een beleid te hanteren van 'update by default', waarbij software-updates zo snel mogelijk en bij voorkeur automatisch worden toegepast. Dit moet de kern vormen van het updatebeheer, hoewel er uitzonderingen kunnen zijn, bijvoorbeeld bij veiligheidkritische systemen.