Saturday, January 19, 2008

Thoughts on Oracle Non-Patching

Thanks to SANS Newsbites (probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best weekly security round-up around) for pointing me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Two-thirds of Oracle DBAs don't apply security patches. They are all citing this Sentrigo press release, which I will quote directly:

Sentrigo, Inc., an innovator in database security software, today announced survey results indicating that most Oracle database administrators do not apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Critical Patch Updates (CPUs) that Oracle issues on a quarterly basis...

When asked: “Have you installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Oracle CPU?” – Just 31 people, or ten percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 305 respondents, reported that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y applied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recently issued Oracle CPU.

When asked: “Have you ever installed an Oracle CPU?” – 206 out of 305 OUG attendees surveyed, or 67.5 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had never applied any Oracle CPU.


Of course, Sentrigo has a business reason for reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se figures:

Sentrigo created Hedgehog, a host-based database activity monitoring and protection software solution, to detect and prevent unauthorized database use by hackers and company insiders. Hedgehog’s unique virtual patching ability immediately protects databases against vulnerabilities that have been discovered, but not yet patched, as well as against zero-day exploits of certain types.

Hedgehog installs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database server itself, unlike a product such as BlueLane which is network-based.

When I read a story like this, it shows me that Oracle servers in such a configuration have effectively decided to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resistance phase of security operations. (Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs call this "protection" or "prevention," but since all such measures are ultimately doomed I prefer using "resistance.") All that's left is detection and response. Somehow I don't think companies that have never installed an Oracle CPU are devoting extra resources to detection and response.

However, I consider it a valid strategy to spend more time on detection and response if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of resisting is considered to be too high. (I am probably being generous here.) Detection and response is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only viable strategy when confronting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most advanced and persistent threats, because no degree of resistance will prevent compromise.

In shops where patching is never done, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only event which could possibly convince a database administrator and his/her management to apply patches would be a severe incident. If, however, you don't bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devoting resources to detection, you may never know you were compromised. It's disappointing how that works. At some point your breach may make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 papers, but right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's still a pervasive attitude that "it won't happen to us."

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day I remain convinced that building visibility in (BVI), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using that visibility to build rapid and skilled detection and response capabilities, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best we can do. Of course I would like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and commercial building security in (BSI) initiatives make progress, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success means less work on more routine intrusions for CSIRTs. However, BSI without BVI leaves us in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same state we find ourselves now, except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion methodologies will have moved "up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value chain."

3 comments:

Unknown said...

Also, Oracle patches are much more difficult to get ahold of than, say Microsoft patches. One must have an Oracle Tech Net / Metalink account, and I could find no direct / easy way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Oracle site to navigate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU download page. There have been times that, in order to download a patch, I had to input cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Oracle installation that I was running. In large bureacratic organizations, this information may not be immediately available. And finally, it is often difficult to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch you need -- 9i vs 10g? 9iAS vs 9i? SPARC or Intel? Is my 9i database still supported? Do I need to drop thousands on an upgrade in order to be secure?

Also I think that buck-passing has a lot to do with this problem. The "it's not my job" mentality is pervasive; a lot of DBAs that I've spoken to want to do nothing more than to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir database / application up and running.

Which brings me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next point that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mentality that "if it ain't broke don't fix it". If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application or database is working fine without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slightest chance that applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch could cause problems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DBA will not apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DBAs I've met just don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-depth knowledge required to troubleshoot problems that could come up. They know how to add users, create tables, change permissions, perform backups and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r maintenance. But if you get outside those lines, you're asking for trouble.

Joe said...

Patching Oracle can be dangerous if you are patching a production database server. No one should be patching a production server though. Patch Oracle QA and test test test.

Patching Oracle is a much slower and meticulous process though.

Mark McKinnon said...

There is alot more that needs to be taken into consideration when patching Oracle Databases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database. If you happen to be running Oracle Apps, SAP, Baan or one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r behemoth Application suites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might be full system testing in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch in. Now that can take quite a bit of not only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DBA's time but also Application support and Business process Testing. I certainly will not say that not applying security patches is not important but when you have to get Application Support and Business users involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to shy away from doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel this Patch does not effect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This can bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morale of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DBA down as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re stuff is not deemed critical and takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back burner. How many DBA's out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have wanted to upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re databases only to be shot down becuase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app people and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business does not want to test. The DBA can do only so much testing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re end to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of patching. This also apply's to DB2 and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Databases as well.