MR - stock.adobe.com
Patch-Management ist der Schlüssel zu mehr IT-Sicherheit
Sicherheitsvorfällen liegt oftmals eine nicht geschlossene Schwachstelle zugrunde. Richtiges Patch-Management gehört daher zu den wichtigen Säulen der IT-Sicherheit.
Anbieter veröffentlichen Schwachstellen und stellen entsprechende Patches bereit. Und dennoch bleiben diese Sicherheitslücken eine wichtige Ursache für Sicherheitsverletzungen. Warum? Weil Unternehmen zu lange brauchen, um diese Sicherheits-Updates zu installieren – vorausgesetzt sie machen es überhaupt.
Ein gutes Beispiel hierfür war unter anderem die Schadsoftware WannaCry, welche die Windows-Schwachstelle MS17-010 ausgenutzt hat, obwohl Microsoft diese bereits Mitte März 2017 gemeldet, als „kritisch“ bewertet und einen entsprechenden Patch herausgegeben hatte. Zwei Monate später setzten die Angriffe ein und erst dann begannen die meisten betroffenen Unternehmen, den Patch zu installieren. WannaCry konnte so mehr als 300.000 Systeme infizieren und weltweit kritische Abläufe unterbrechen.
Warum wird hier nicht rechtzeitig gehandelt? Wie bei den meisten Herausforderungen rund um IT und Sicherheit hängt auch das Patch-Management-Problem – und seine Lösung – von einer Kombination aus verwendeten Technologien und vorhandenen Prozessen ab.
Tipps und Best Practices für das Patch-Management
1. Prävention integrieren
Das Patch-Management sollte Teil eines integrierten, Cloud-basierten Pakets von Lösungen zur Verhinderung von Sicherheitsverletzungen sein. Dieses Paket sollte auch Asset-Inventarisierung, Schwachstellenmanagement und die Priorisierung der Abhilfemaßnahmen umfassen.
Wenn das Patch-Management isoliert ist, entstehen Probleme. Beispielsweise ist es dann schwierig und zeitaufwendig, Schwachstellen mit Patches zu korrelieren. Bei der Schwachstellenbeseitigung lassen sich zudem nur schwer Prioritäten setzen – entsprechend länger dauert es, bis Sicherheitslücken behoben werden.
2. Das Patch-Management muss proaktiv werden
Unternehmen sollten sich nicht zu oft gezwungen sehen, in den Notfall-Patch-Modus zu gehen, wie es bei WannaCry der Fall war. Stattdessen sollten sie Sicherheitslücken vorausschauend beseitigen, sobald Patches herausgegeben werden, und dabei anhand von Priorisierungsanalysen vorgehen.
Bei einem solchen Programm wird das Patch-Management routinemäßig durchgeführt, und zwar synchron zu den Patch-Zyklen der Hersteller. Es sollte also nicht erst gewartet werden, bis eine Schwachstelle erkannt wurde, und den Patch-Management-Prozess erst dann in Gang bringen.
So können beispielsweise Patch-Jobs für verschiedene Arten von Geräten erstellt werden, die nach bestimmten Zeitplänen ausgeführt werden. Regeln und Workflows können so konfiguriert werden, dass Patches automatisch installiert werden, wenn sie bestimmten Kriterien wie Schweregrad, CVSS-Score oder Produktname entsprechen.
Das ist das Ziel eines Patch-Management-Programms: Wiederholbare Patch-Prozesse. Es versteht sich, dass Unternehmen dabei auch flexibel genug sein müssen, den regulären Patch-Prozess gelegentlich zu durchbrechen und ein außerplanmäßiges Sicherheits-Update zu installieren, falls das erforderlich wird.
3. Vollständige Patch-Transparenz und zentrale Steuerung
Unternehmen müssen wissen, welche Patches eingespielt wurden, welche fehlen und wie der Patch-Prozess ablaufen soll, um optimale Ergebnisse zu erzielen. Andernfalls kommt es beim Patchen zu Verzögerungen und Lücken, was wiederum das Unternehmen gefährdet.
Deshalb ist es unerlässlich, fehlende Patches schnell und umfassend auf allen Assets zu ermitteln: lokal, in Cloud-Umgebungen und auf entfernten Endpunkten. Außerdem müssen Unternehmen in der Lage sein, den Patch-Status über ein zentrales Dashboard zu verfolgen und Berichte zu erstellen, die sich für verschiedene Arten von Empfängern anpassen lassen.
4. Schwachstellen und Patches automatisch korrelieren
Um die Reaktionszeiten bei der Schwachstellenbeseitigung zu verkürzen, müssen Unternehmen von der manuellen zur automatisierten Korrelation von Schwachstellen und Patches übergehen. So können sie schneller feststellen, welche Patches installiert werden müssen, um die gefundenen Sicherheitslücken zu schließen.
Zur Beseitigung einer einzigen CVE-Schwachstelle (Common Vulnerabilities and Exposures) müssen häufig mehrere Patches installiert werden, da dieselbe Lücke in verschiedenen Versionen des gleichen Softwareprodukts vorhanden sein kann.
Muss zuerst manuell herausgefunden werden, welcher Patch zu welcher Schwachstelle gehört, wird der Zeitraum bis zur Beseitigung zwangsläufig groß sein. Um diese Aufgabe zu automatisieren, sollte das Patch-Management-Produkt die Patch-Daten zusammen mit Schwachstelleninformationen indexieren, so dass ein Benutzer bei Eingabe einer CVE-Nummer unverzüglich eine Liste der erforderlichen Patches erhält.
5. Sofort auf Erfolg prüfen
Es empfiehlt sich, die Assets kontinuierlich agentenbasiert zu scannen und auch häufig Scans mit Authentifizierung durchzuführen, damit der Erfolg – oder Misserfolg – der Maßnahmen schnell deutlich wird. Dazu sollten die Patches ad hoc auf einem zentralen Dashboard verfolgt werden können.
„Die Daten zu Schwachstellen und Patches werden idealerweise korreliert, damit das Sicherheitsteam weiß, welche Schwachstellen durch einen bestimmten Patch behoben werden und welche Patches eine bestimmte Schwachstelle beheben.“
Jimmy Graham, Qualys
Viele Patch-Teams müssen auf einen planmäßigen Schwachstellenmanagement-Bericht warten, um zu wissen, ob die zuletzt installierten Patches tatsächlich funktionieren. Manchmal werden diese Berichte nur wöchentlich oder noch seltener ausgegeben. Dies wird vor allem dann zu einem Problem, wenn ein Patch erneut aufgespielt werden muss. Wenn eine Woche vergeht, bis Systeme gescannt werden können, vergeht auch eine Woche, bis bekannt ist, ob alle Schwachstellen erfolgreich beseitigt worden sind.
6. Nicht vergessen: Die Remote-Systeme
Patches auf entfernten Systemen bereitzustellen, die sich nur gelegentlich mit dem Unternehmensnetzwerk verbinden, ist eine Herausforderung. Jedoch eine, die zu bewältigen ist. Diese Systeme sind anfällig; sie werden verwendet, um im Internet zu surfen und E-Commerce-Transaktionen durchzuführen, und sie müssen über die neuesten Patches verfügen. Vereinfachen und optimieren lässt sich dieser Prozess mit einem Patch-Management-Produkt, das Agenten nutzt, die auf jedem Asset installiert sind. Mithilfe dieser Agenten kann das Produkt Patches auf den Remote-Systemen verteilen.
7. Das Patch-Management sollte betriebssystem- und herstellerunabhängig sein
Häufig unterstützen Patch-Management-Tools nur die Produkte eines Herstellers oder nur eine Art von Software. Dies zwingt die Unternehmen, mehrere Patch-Produkte zu verwenden, und führt dazu, dass sie keinen Gesamtüberblick über den Patch-Prozess haben. Werkzeuge sollten daher in der Lage sein, Betriebssysteme und Anwendungen verschiedener Hersteller patchen zu können und herstellerspezifische Patch-Repositories zu verwalten.
Wichtige Faktoren fürs Patch-Management
Ein passendes Tool sollte Unternehmen über fehlende Patches auf dem Laufenden halten. Patches und Schwachstellen sollten Hand in Hand ausgewertet werden und standardmäßig die aktuellste Version eines Patches zur Verfügung stellen. Über konfigurierbare Dashboards und Berichtsfunktionen kann es Unternehmen zudem ermöglicht werden, den Patch-Status leicht zu verfolgen.
Die Daten zu Schwachstellen und Patches werden idealerweise korreliert, damit das Sicherheitsteam weiß, welche Schwachstellen durch einen bestimmten Patch behoben werden und welche Patches eine bestimmte Schwachstelle beheben. Im Bestfall können über eine Lösung interne, mobile und Cloud-basierte Assets gleichermaßen abgedeckt werden. Eine einheitliche Berichterstattung und Sicht sorgt zudem für eine Verfügbarkeit aller Informationen zu Schwachstellen, Patches und dringlichen Problemen an einem Ort.
Schwachstellen müssen in allen IT-Ressourcen erkannt werden, gleich, wo sie sich befinden. Ein ständig aktualisiertes Asset-Inventar vermittelt eine einheitliche Übersicht über die IT- und Sicherheitsdaten. Und neben der Erkennung von Schwachstellen ist es notwendig, auch Echtzeit-Informationen zu Bedrohungen zu bekommen, damit Abhilfemaßnahmen richtig priorisiert werden können.
Über den Autor:
Jimmy Graham ist Senior Director of Product Management, Vulnerability Management bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.