Volgens het Kaseya State of the MSP-rapport uit 2026 biedt 69% van de MSP’s patch- en updatemanagement als dienst aan, waardoor dit een van de meest aangeboden diensten binnen managed services is managed services een van de belangrijkste voor het waarborgen van de veiligheid van de omgevingen van klanten.
Patchbeheer is het proces waarbij software-updates binnen de IT-omgeving van een organisatie worden geïdentificeerd, verkregen, getest en geïnstalleerd. Deze updates, die door softwareleveranciers worden uitgebracht om beveiligingslekken te dichten, functionele fouten te verhelpen en de stabiliteit te verbeteren, vormen het belangrijkste middel om het bekende aanvalsoppervlak te verkleinen. Zonder een consistent patchbeheerprogramma stapelen kwetsbaarheden zich sneller op dan dat ze worden verholpen.
De meeste IT-teams brengen patches aan. Maar slechts weinig teams doen dat consequent genoeg, snel genoeg en op voldoende brede schaal om de kwetsbaarheden te dichten die aanvallers daadwerkelijk misbruiken. Juist in de kloof tussen het hebben van een patchbeheerproces en het hebben van een effectief patchbeheerproces doen zich de meeste vermijdbare inbreuken voor.
De gegevens op dit punt komen in alle onderzoeken naar datalekken door de jaren heen overeen: niet-gepatchte kwetsbaarheden blijven een van de belangrijkste oorzaken van succesvolle cyberaanvallen. Bij veel van de ernstigste ransomware- en datalekincidenten van de afgelopen jaren werd misbruik gemaakt van kwetsbaarheden waarvoor al maanden patches beschikbaar waren. Het probleem ligt zelden bij de beschikbaarheid van patches. Het gaat om de snelheid, consistentie en volledigheid waarmee ze worden geïnstalleerd.
In deze handleiding wordt uitgelegd hoe u een programma voor patchbeheer kunt opzetten dat de tekortkomingen in de huidige aanpak van de meeste organisaties aanpakt.
Belangrijkste punten
- Patchbeheer is het proces waarbij software-updates worden geïdentificeerd, verkregen, getest en geïnstalleerd om bekende kwetsbaarheden te verhelpen. De meeste problemen hebben te maken met de reikwijdte, de snelheid en handmatige processen die niet schaalbaar zijn.
- Een volledig programma omvat niet alleen besturingssysteemupdates, maar ook applicaties van derden, browsers, firmware, cloudinfrastructuur en apparaten die niet op het netwerk zijn aangesloten.
- Bij het stellen van prioriteiten moet rekening worden gehouden met de ernst van de kwetsbaarheid, de mogelijkheid om deze actief te misbruiken via CISA KEV en het belang van de betreffende systemen — en niet alleen met de CVSS-score of de releasedatum.
- Geautomatiseerde, op beleid gebaseerde patching is de enige haalbare aanpak op grote schaal. Kaseya Intelligence nog een stap verder: van geautomatiseerde planning naar autonome uitvoering en validatie.
- Voor MSP’s zijn een consistent basisbeleid, nalevingsrapportages per klant en op SLA’s afgestemde planningen de operationele vereisten voor het leveren van patchbeheer als managed service.
Waarom Patch Management in de praktijk Patch Management
Problemen met het installeren van patches hebben bijna nooit te maken met een gebrek aan besef dat patches belangrijk zijn. Ze hebben te maken met operationele wrijving, hiaten in de reikwijdte en fouten bij het stellen van prioriteiten.
Lacunes in de dekking vormen het grootste gevaar. Patches die wel Windows-besturingssysteemupdates dekken, maar waarbij browserpatches, updates voor applicaties van derden en firmware buiten beschouwing blijven, laten een aanzienlijk aanvalsoppervlak onbeschermd. Het misbruik in 2021 van een vier jaar oud beveiligingslek in Microsoft Office is hiervan een duidelijk voorbeeld: een patch die al sinds 2017 beschikbaar was, door de meeste organisaties op hun besturingssysteem was geïnstalleerd, maar bij de dekking van applicaties van derden over het hoofd was gezien.
Er is sprake van een te trage reactie wanneer het proces van het uitbrengen van een patch tot het daadwerkelijk toepassen ervan weken in plaats van dagen in beslag neemt. Aanvallers handelen snel nadat een kwetsbaarheid bekend is gemaakt: bij kwetsbaarheden met een hoge ernstgraad verschijnen er binnen enkele uren of dagen al tools om deze te misbruiken. Een patchcyclus van 30 dagen, die vijf jaar geleden nog als redelijk werd beschouwd, volstaat niet meer gezien het huidige tempo waarin exploits worden ontwikkeld.
Prioritering zonder gegevens leidt ertoe dat teams patches toepassen op basis van de volgorde van de release in plaats van op basis van het risico, waardoor problemen met een lage ernstgraad op stabiele systemen worden verholpen, terwijl kritieke kwetsbaarheden op systemen die in contact staan met het internet blijven bestaan.
Handmatige processen kunnen op grote schaal simpelweg geen gelijke tred houden. Het handmatig beheren van patches op honderden of duizenden eindpunten is inherent foutgevoelig en stuit al snel op capaciteitsbeperkingen. Automatisering is op enige schaal geen luxe, maar de enige haalbare aanpak.
Wat een effectief Patch Management omvat
Een compleet programma omvat alle softwarecategorieën, niet alleen updates voor het besturingssysteem.
Besturingssystemen
Windows, macOS en Linux, inclusief alle actieve versies in de omgeving, met regelmatige updatecycli die zijn afgestemd op de release-schema’s.
Applicaties van derden
Webbrowsers (Chrome, Firefox, Edge), productiviteitspakketten (Microsoft 365, Adobe), communicatietools (Teams, Slack, Zoom) en alle andere veelgebruikte applicaties. Kwetsbaarheden in software van derden behoren steevast tot de meest misbruikte, omdat ze minder in het oog springen dan patches voor besturingssystemen, wat ze tot aantrekkelijke doelwitten maakt.
Specifiek browsers
Browsers zijn zeer aantrekkelijke doelwitten omdat ze rechtstreeks worden blootgesteld aan onbetrouwbare internetinhoud. Browserfabrikanten brengen regelmatig beveiligingspatches uit. Deze moeten met dezelfde urgentie worden geïnstalleerd als patches voor het besturingssysteem.
Firmware
Hardwarefirmware (BIOS/UEFI, firmware van netwerkapparaten, opslagcontrollers) wordt vaak volledig buiten patchprogramma’s gehouden. Kwetsbaarheden in firmware zijn moeilijker te misbruiken, maar kunnen na een inbreuk erg lastig te detecteren en te verhelpen zijn.
Apparaten op afstand en buiten het netwerk
Apparaten die op afstand of thuis worden gebruikt, moeten net zo goed worden gepatcht als apparaten op kantoor. Een RMM-oplossing met de mogelijkheid om patches buiten het netwerk om te installeren – waarbij patches worden toegepast zodra apparaten verbinding maken met het internet, ongeacht of ze zich op het bedrijfsnetwerk bevinden – is essentieel voor hybride omgevingen.
Cloudinfrastructuur
Cloudinstances en containers moeten net zo snel worden gepatcht als lokale systemen, maar de processen lopen vaak anders. Voor patchbeheer in de cloud is een duidelijke procesomschrijving nodig; men mag er niet zomaar vanuit gaan dat de cloudprovider dit wel regelt.
Prioritering van patches: hoe bepaal je wat er als eerste wordt verholpen?
Niet alle patches zijn even urgent. Wanneer de middelen beperkt zijn, moet de prioriteit worden bepaald op basis van het risico, niet op basis van de releasedatum.
De meest betrouwbare kaders voor prioritering combineren twee dimensies: de ernst van de kwetsbaarheid (CVSS-score, waarbij ‘kritiek’ en ‘hoog’ voorrang krijgen) en de uitbuitbaarheid (is er een bekende exploit in omloop? Wordt deze actief gebruikt?). De KEV-catalogus (Known Exploited Vulnerabilities) van CISA is de meest gezaghebbende openbare bron voor dit laatste. Hierin staan kwetsbaarheden vermeld die momenteel actief worden uitgebuit en die, ongeacht de CVSS-score, als spoedpatches moeten worden behandeld.
De kriticiteit van de systemen voegt een derde dimensie toe. Een kwetsbaarheid met een gemiddelde ernst op een server die in verbinding staat met het internet of op een domeincontroller heeft een hogere prioriteit dan een kwetsbaarheid met een hoge ernst op een geïsoleerd ontwikkelingswerkstation.
Een praktisch kader voor het stellen van prioriteiten:
- CISA KEV-meldingen — binnen 24 uur patchen, ongeacht de CVSS-score
- Kritieke kwetsbaarheden in systemen die in verbinding staan met het internet of over uitgebreide rechten beschikken — binnen 24 tot 72 uur patchen
- Kwetsbaarheden met een hoge ernstgraad op standaard-eindpunten — binnen 7 dagen patchen
- Beveiligingsrisico’s met een gemiddelde ernst — binnen 30 dagen verhelpen
- Kwetsbaarheden met een lage ernstgraad — opnemen in de reguliere onderhoudscycli
Automatisering: de enige manier om op grote schaal patches toe te passen
Het handmatig installeren van patches bij een aanzienlijk aantal eindpunten is geen haalbare oplossing. Gezien de hoeveelheid patches die voor alle softwarecategorieën wordt uitgebracht, de frequentie van kritieke beveiligingsupdates en het tempo waarin nieuwe exploits worden ontwikkeld, is een geautomatiseerde, op beleid gebaseerde implementatie van patches noodzakelijk.
Automatiseer het installeren van patches op alle eindpunten
Kaseya VSA biedt beleidsgestuurd patchbeheer voor Windows, macOS, Linux en meer dan 300 applicaties van derden, inclusief rapportage over naleving, goedkeuringsworkflows en ondersteuning voor apparaten buiten het netwerk.
Effectief geautomatiseerd patchbeheer omvat:
Continu scannen om ontbrekende patches op alle beheerde eindpunten op te sporen, waarbij de gegevens in realtime worden vergeleken met de patchcatalogi van leveranciers.
Op beleid gebaseerde implementatie waarbij goedgekeurde patches automatisch worden toegepast volgens vastgestelde schema’s, op basis van de ernst van het probleem, binnen onderhoudsvensters en volgens gefaseerde implementatiebeleidsregels die de impact beperken als een patch compatibiliteitsproblemen met applicaties veroorzaakt.
Goedkeuringsprocessen voor patches die moeten worden beoordeeld, zoals grote versie-upgrades of patches die van invloed zijn op kritieke applicaties, waarbij standaardbeveiligingspatches automatisch kunnen worden geïmplementeerd zonder dat bij elke stap handmatig ingegrepen hoeft te worden.
Testomgevingen voor risicovolle patches, waarmee deze kunnen worden getest op een representatieve steekproef van eindpunten voordat ze op grote schaal worden geïmplementeerd.
Compliance-rapportage die de patchstatus in de hele omgeving weergeeft op basis van ernst, leeftijd en activagroep, waardoor managers inzicht krijgen in de huidige risico’s en over bewijsmateriaal beschikken voor audit- en compliance-eisen.
Kaseya VSA biedt geautomatiseerd patchbeheer voor Windows-, macOS- en Linux-eindpunten, inclusief het patchen van applicaties van derden, met configureerbare beleidsregels voor de timing van de implementatie, goedkeuringsworkflows en rapportage over naleving. Apparaten die niet op het netwerk zijn aangesloten, worden gepatcht zodra ze verbinding maken met het internet, ongeacht of ze zich op het bedrijfsnetwerk bevinden. Vraag een demo aan om te zien hoe het werkt.
Kaseya Intelligence: Automatische patch-installatie
Automatisering zorgt voor de planning en implementatie van patches. Wat het systeem echter niet zelfstandig kan doen, is de cirkel rond maken: het opsporen van de kwetsbaarheid, het inschatten van het risico binnen de specifieke omgeving, het uitvoeren van de patch en het controleren of de patch correct is toegepast en geen storingen verderop in het systeem heeft veroorzaakt.
Kaseya Intelligence, de AI-engine achter het Kaseya 365 , tilt patchbeheer naar een hoger niveau: van geautomatiseerde planning naar autonome uitvoering en validatie. Het systeem is getraind op basis van gegevens van 17 miljoen beheerde eindpunten en meer dan 1 miljard echte helpdesktickets, en houdt rekening met context die generieke automatisering niet kan bieden: welke systemen zijn werkelijk cruciaal, welke patches hebben in het verleden compatibiliteitsproblemen veroorzaakt in vergelijkbare omgevingen, en welke openstaande kwetsbaarheden vormen op dit moment het grootste daadwerkelijke risico.
Voor MSP’s die het patchbeheer voor tientallen of honderden klantomgevingen verzorgen, is het juist die context die het verschil maakt tussen een patchprogramma dat gewoon werkt en een programma dat schaalbaar is zonder dat dit leidt tot een evenredige toename van het aantal reparatieverzoeken. Ontdek Kaseya Intelligence.
Patch Management MSP’s: consistentie in alle klantomgevingen
Voor MSP’s heeft patchbeheer een tweeledig doel: het beschermen van de omgevingen van klanten tegen kwetsbaarheden, en het aantonen van die bescherming aan de hand van gedocumenteerde nalevingsgegevens die voldoen aan de rapportage- en auditvereisten van klanten.
Voor MSP-patchbeheer is het volgende vereist:
Er worden gestandaardiseerde basisbeleidsregels toegepast die in alle klantomgevingen consistent worden nageleefd, met aanpassingen per klant waar beperkingen dit vereisen (onderhoudsvensters, bedrijfskritische applicaties die voorafgaand aan het installeren van patches moeten worden getest).
Rapportage per client waarin de patchstatus, openstaande kwetsbaarheden en herstelmaatregelen voor elke client afzonderlijk worden weergegeven.
SLA-conforme onderhoudsschema’s waarin specifieke termijnen voor het verhelpen van problemen worden vastgelegd en waarin wordt aangetoond dat deze termijnen worden nageleefd.
Escalatieprocedures voor situaties waarin voorafgaand aan het installeren van patches goedkeuring van de klant vereist is en die goedkeuring vertraging oploopt, om te voorkomen dat openstaande kwetsbaarheden over het hoofd worden gezien terwijl er op de goedkeuring van de klant wordt gewacht.
Het meten van de naleving van patches
De effectiviteit van patchbeheer is meetbaar, en het loont de moeite om de statistieken regelmatig bij te houden:
Gemiddelde tijd tot patch (MTTP) — de gemiddelde tijd tussen de release van een patch en het moment waarop deze wordt geïnstalleerd, uitgesplitst naar ernstcategorie. De trends in de MTTP laten zien of het programma in de loop van de tijd verbetert of verslechtert.
Patch-nalevingspercentage — het percentage van de relevante patches dat binnen de vastgestelde SLA-termijnen is geïnstalleerd. Houd dit bij op basis van ernst en per activagroep om vast te stellen waar de tekortkomingen zich daadwerkelijk bevinden.
De gemiddelde duur van kritieke kwetsbaarheden — de periode waarin kritieke kwetsbaarheden onopgelost blijven. Elke kritieke kwetsbaarheid die ouder is dan 7 dagen en niet onder een goedgekeurd uitzonderingsproces valt, vormt een risico dat moet worden geëscaleerd.
Uitzonderingspercentage en veroudering — uitzonderingen (die vertraging oplopen door compatibiliteitstests, bedrijfsmatige beperkingen of goedkeuringsprocessen bij de klant) moeten worden bijgehouden met behulp van waarschuwingen voor veroudering. Een oude uitzondering is ofwel een beheerst risico met bijbehorende documentatie, ofwel een vergeten lacune.
