Effizientes Patch-Management mit Automatisierung
Regelmäßiges Patchen gehört zu den Security-Basics, sorgt in vielen Firmen aber für erheblichen Aufwand. Automatisierte Abläufe können IT-Teams entlasten und Risiken reduzieren.
Cyberkriminelle lieben Softwareschwachstellen, weil sie es einfach machen, Endpunkte zu infiltrieren und sich von dort weiter ins Unternehmensnetzwerk vorzuarbeiten. Zu den grundlegenden Aufgaben von IT-Abteilungen gehört es daher, alle Systeme auf dem neuesten Stand zu halten und verfügbare Patches zügig einzuspielen.
Insbesondere Anwendungen von Drittanbietern stellen dabei jedoch aufgrund ihrer großen Anzahl eine enorme Herausforderung dar. Nicht selten kommen in Unternehmen Dutzende oder sogar Hunderte verschiedene Softwareapplikationen zum Einsatz, deren Hersteller ihre Sicherheitsaktualisierungen meist nicht zu festen Terminen, sondern in unregelmäßigen Abständen veröffentlichen.
Für IT-Abteilungen heißt das, dass sie kontinuierlich Patches herunterladen, priorisieren, testen und schrittweise an die betroffenen Systeme verteilen und installieren müssen. Der Prozess umfasst viele manuelle Tätigkeiten und skaliert mehr oder weniger linear – mehr Patches, mehr Arbeit. Oft haben IT-Abteilungen keine andere Wahl, als einzelne Patches auszulassen oder auf umfangreiche Tests zu verzichten.
Abhilfe versprechen Lösungen für die Automatisierung des Patch-Managements. Allerdings bringen diese recht unterschiedliche Fähigkeiten mit und automatisieren teilweise nur einige Schritte des Prozesses, so dass Administratoren weiterhin an vielen Stellen aktiv werden müssen. Bisweilen läuft bereits die Bereitstellung von Patch-Metadaten und deren Integration in den Microsoft Endpoint Manager via Plug-in unter Automatisierung.
Echte Automatisierung sollte sich jedoch von einem gut gepflegten Metadaten-Stream bis zur Rückmeldung über die erfolgreiche Installation der Updates auf allen betroffenen Systemen erstrecken und dabei maximale Flexibilität bei der Behandlung der einzelnen Patches bietet. Nur so lassen sich individuelle Testszenarien und Rollout-Strategien abbilden, damit Unternehmen gezielt bestimmte Endpunkttypen, Benutzergruppen und Abteilungen oder verschiedene Anwendungen und Anwendungskategorien aktualisieren können.
Automatisierung spart Zeit und reduziert Risiken
Idealerweise sind für das Erstellen automatisierter Patch-Abläufe keine speziellen Skriptsprachen- und Programmierkenntnisse notwendig, denn für die Einarbeitung fehlt in IT-Abteilungen oft die Zeit. Leichter machen es Tools mit grafischen Oberflächen, auf denen sich Workflows aus vorgegebenen und selbst angelegten Elementen wie Gruppen von Endpoints oder Benachrichtigungen zusammenbauen lassen.
Es mag eine Weile dauern, bis für sämtliche Szenarien ein passendes Template angelegt ist, doch der initiale Aufwand lohnt und spart IT-Abteilungen langfristig viel Zeit. Sobald ein Patch verfügbar ist, läuft künftig beispielsweise basierend auf der betroffenen Anwendung oder der Kritikalität der Schwachstelle der richtige Workflow an. So kann etwa automatisch ein Ticket angelegt und das Update auf geeigneten Testsystemen installiert werden, so dass Administratoren es nur noch abschließend freigeben müssen. Anschließend erfolgt der Rollout in vordefinierten Phasen.
IT-Abteilungen haben mit solchen Lösungen alle Freiheiten und sind unter anderem in der Lage, Patches zu sammeln und zu festen Terminen in einem Rutsch auszurollen, um Anwender im Tagesgeschäft möglichst wenig zu stören. Ebenso lassen sich kritische Updates mit Priorität verteilen, etwa mit weniger Tests, Freigaben und Phasen beim Rollout, so dass alle Endpoints die Aktualisierungen schnellstmöglich erhalten.
Unternehmen können schwerwiegende Sicherheitslücken damit ohne große Verzögerungen schließen und ihre Cyberrisiken minimieren. Mit manuellen Abläufen dauert das Patchen hingegen häufig mehrere Tage – zu lange, wenn man bedenkt, wie schnell Cyberkriminelle bekannte Schwachstellen heutzutage ausnutzen.
Ohne Gerätesichtbarkeit geht es nicht
Die Patch-Automatisierung steht und fällt mit der Sichtbarkeit der Geräte. Nur wenn die Automatisierungslösung zuverlässig sämtliche Endpunkte ansprechen kann, kann sie auch deren Update-Status prüfen und die Geräte mit Sicherheitsaktualisierungen versorgen. Manche Tools scheitern hier, wenn sich die Systeme an Remote-Standorten wie Heimarbeitsplätzen befinden und nicht via VPN mit dem Firmennetzwerk verbunden sind. Erhalten nicht alle Endpunkte die Patches, bleibt das Unternehmen allerdings gefährdet – im Prinzip macht schon ein einziger Rechner die gesamte Infrastruktur angreifbar.
„Es klingt vielleicht ambitioniert, doch das Ziel einer Patch-Automatisierung sollten nicht weniger, sondern keine menschlichen Eingriffe sein.“
Andy McDonald, Adaptiva
Um Sichtbarkeit herzustellen, haben sich P2P-Infrastrukturen für die Vernetzung der Endpoints untereinander und Cloud-Relays für die Kommunikation mit dem Patch beziehungsweise Endpoint Management bewährt. Sie sorgen dafür, dass kein System durchs Raster fällt und sich dem Patchen entzieht. Zugleich liefern sie detaillierte Einblicke in die Geräte- und Anwendungslandschaft, und das in Echtzeit. Über Dashboards können Administratoren dann zum Beispiel nachvollziehen, welche Systeme veraltete Softwarestände aufweisen, welche Anwendungen das größte Sicherheitsrisiko darstellen und wie die Verteilung der Patches läuft.
Das Ziel: Set and Forget
Es klingt vielleicht ambitioniert, doch das Ziel einer Patch-Automatisierung sollten nicht weniger, sondern keine menschlichen Eingriffe sein. Dafür muss die Automatisierungslösung vor allem Flexibilität bieten, sodass IT-Abteilungen einmalig automatisierte Abläufe für jede Art von Patch oder Anwendung und für jede gewünschte Rollout-Strategie erstellen können, die die Software dann autonom ausführt. Administratoren kümmern sich in erster Linie um die Kontrolle und Verbesserung der Abläufe und haben dadurch mehr Zeit für andere IT-Aufgaben.
Über den Autor:
Andy McDonald ist Director of Support & Solutions (EMEA & APAC) bei Adaptiva.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.