kromkrathog - stock.adobe.com
Sicherheit und Patchen: Fünf gute Vorsätze für 2019
Das kontinuierliche Einspielen von Sicherheitsupdates gehört zu den großen Herausforderungen für die IT. Bei der Umsetzung hilft die Anwendung von bewährten Vorgehensweisen.
Jahr für Jahr gibt es mehr Sicherheitsprobleme, die bewältigt werden müssen, und mehr Softwareschwachstellen, die ausgenutzt werden können. Schwachstellen zu patchen ist ein wirksames Mittel, um Risiken zu vermeiden. Aber die Umsetzung ist schwieriger, als oftmals gedacht.
Die erste große Hürde ist das Volumen. Die Zahl der eingesetzten IT-Ressourcen in den Unternehmen steigt stetig – es gibt immer mehr Endgeräte, Server und Anwendungen, die allesamt auf dem neuesten Stand gehalten werden müssen. Gleichzeitig nimmt auch die Zahl der bekannten Schwachstellen weiter zu und verfügbare Patches müssen immer schneller eingespielt werden. Die Zeitspanne zwischen der Bekanntgabe von Sicherheitslücken und der Verfügbarkeit von Exploits wird zusehends kürzer. Dieses immer kleinere Zeitfenster erschwert es, die Systeme auf dem neuesten Stand zu halten, wenn Hunderte, Tausende oder gar Millionen von Assets zu berücksichtigen sind.
Das zweite Problem ist die Fehlersicherung. Patches können andere Anwendungen stören oder neue Fehler verursachen, die dann weitere Sicherheitsprobleme nach sich ziehen. Manchmal funktionieren Patches auch nicht oder führen zum Ausfall der Geräte, auf denen sie installiert werden. In jedem Fall kann ein schlecht angewandter Patch zusätzlichen Schaden anrichten. Um Probleme zu vermeiden, muss deshalb vorab getestet werden, ob solche Fehler auftreten könnten.
Das dritte Problem ist die Priorisierung. Wenn Teams diese Masse an Assets und Anwendungen betreuen und testen müssen, wissen sie oft kaum mehr, wo ihnen der Kopf steht. Und in der Tat ist es nicht immer leicht zu erkennen, wo die Ressourcen zur Problemlösung konzentriert werden sollten und wo Probleme warten oder ignoriert werden können.
Das Patch- und Schwachstellenmanagement in den Griff bekommen
Es gibt jedoch Wege, diese Schwierigkeiten zu überwinden – durch eine intelligentere Anwendung von Security Best Practices und ein besseres Verständnis des menschlichen Verhaltens. Welche Vorsätze für mehr Sicherheit sollten also für das Jahr 2019 gefasst werden?
1. Einen Überblick über Assets gewinnen. Es ist schwer, ans Ziel zu gelangen, wenn der aktuelle Stand nicht bekannt ist. Ohne eine vollständige, aktuelle und präzise Übersicht über alle IT-Ressourcen wird es mühsam sein, herauszufinden, von welchen Problemen eine Organisation aktuell betroffen ist und welche auf einen zukommen könnten. Die manuelle Erstellung einer solchen Übersicht kann allerdings schwierig sein, sofern ein Unternehmen nicht nur über eine Handvoll Assets verfügt. Tools für IT-Asset-Management können helfen, eine Asset-Liste zu erstellen und diese stets auf dem neuesten Stand zu halten.
Dieses Verfahren kann auch über das interne Netzwerk hinaus auf andere Standorte ausgedehnt werden, an denen sich IT- und Softwareressourcen befinden. Bei Anwendungen, die auf öffentlichen oder hybriden Cloud-Diensten basieren, ist die Wahrscheinlichkeit von Mängeln ebenfalls groß, weshalb auch diese Anwendungen stets up to date gehalten werden müssen. Wenn die Übersicht über alle Assets zentral an einer Stelle konzentriert ist, kann leichter erkannt werden, wo potenzielle Schwachstellen bestehen könnten.
2. Probleme ermitteln und Prioritäten setzen. Es kursieren so viele Spekulationen über die nächste große Bedrohung, die allen bevorstehen könnte, dass es schwer werden kann, sich auf das Wesentliche zu konzentrieren. Bei dieser Menge an möglichen Problemen, lohnt es sich zu prüfen, wie Prioritäten gesetzt werden können – anhand der tatsächlichen Risiken und der Frage, inwiefern diese Risiken speziell das eigene Unternehmen betreffen könnten.
Manche Schwachstellen wirken sich auf jedes Unternehmen aus, weil sie sich in gängigen Anwendungen oder Betriebssystemen befinden – zum Beispiel Sicherheitslücken in Microsoft Windows, in Office-Anwendungen oder gängigen Webbrowsern. Es wird aber immer auch Schwachstellen geben, die nur bestimmte, stark spezialisierte oder weniger relevante Anwendungen betreffen. Diese letztgenannten Probleme können für die Nutzer dieser spezifischen Anwendungen wichtig sein, während sie für andere irrelevant sind.
Solche Nischenanwendungen können schon deswegen nicht ignoriert oder vernachlässigt werden, weil sie als Einfallstore für potenziell umfassendere Netzwerkeinbrüche dienen können – ein gutes Beispiel sind hier die NotPetya-Angriffe in 2017. Es ist wichtig, herauszufinden, welche Themen wirklich dringlich sind, welche warten können und welche Patches in welcher Reihenfolge angewendet werden müssen. Die Priorisierung ist der effektivste Weg, um den Sicherheitsprozess für Unternehmen jeder Größe einfacher zu gestalten.
3. Testen, testen, testen. Es ist wichtig, Patches schnell und zuverlässig zu testen. Die Automatisierung des Patch-Prozesses kann dem Team allerhand Routinearbeiten abnehmen, wie zum Beispiel die Installation unkritischer Updates im Rahmen der monatlichen Microsoft Sicherheitsupdate-Releases. Um den Prozess für besondere Sicherheitsrisiken zu beschleunigen, können entsprechende Schwerpunkte gesetzt und die Implementierung und die Ergebnisse manuell getestet werden. Umgekehrt können Updates, die weniger wichtig sind oder sich eventuell in größere Patch-Zyklen aufnehmen lassen, anderen zum Testen überlassen werden.
Wenn bestimmten Patches Vorrang gegeben wird, um diese schneller zu verteilen, können auch leichter Prioritäten im Prüfplan gesetzt werden – abhängig davon, wo besondere Vorsicht geboten sein muss und welche Punkte weniger dringend sind.
4. Bestmöglich automatisieren. Das Ausmaß der Sicherheitsprobleme ist heute so groß, dass es sich nur noch durch Automatisierung bewältigen lässt. Wenn die Erkennung der IT-Assets automatisiert wird, so dass alle IT-Assets automatisch registriert und auf dem neuesten Stand gehalten werden, kann dies dazu beitragen, die Arbeitsbelastung zu reduzieren.
Auch die Automatisierung des Schwachstellenmanagements und der Scans kann hier hilfreich sein. Wenn die extern zugänglichen Webanwendungen und die Assets bei Cloud-Diensten mit einbezogen werden, können die Daten leichter an einem Ort zusammengeführt und Tools bereitgestellt werden, die die einheitliche Verwaltung sämtlicher Updates erleichtern.
„Jedes Unternehmen kann dafür sorgen, dass Schwachstellen innerhalb der eigenen Systeme effizient beseitigt werden: durch Erfassung präziser Daten zu allen IT-Assets in der gesamten IT-Infrastruktur, Priorisierung der Patches anhand von Risikoprofilen und eine automatisierte Patch-Verteilung.“
Darron Gibbard, Qualys
5. Änderungsmanagement optimieren. Wenn Änderungen an IT-Systemen durchgeführt werden, müssen sie möglicherweise einen formalen Prüfprozess durchlaufen. Change Management Boards können helfen, eine formale Struktur rund um Updates zu schaffen und sicherzustellen, dass keine Kurven geschnitten werden. Allerdings kann dieser Prüfprozess auch dazu führen, dass Patches nicht zeitnah installiert werden.
Es lohnt sich daher zu überlegen, wie der Update-Prozess optimiert werden kann. Wenn Problemen in kritischen Anwendungen, die ein ernsthaftes Sicherheitsrisiko darstellen, Vorrang gegeben wird, kann dies dazu beitragen, dass Änderungen schneller akzeptiert werden. Bei weniger wichtigen Anwendungen oder wenn nötige Tests bereits erfolgreich abgeschlossen wurden, sollte die Genehmigung eine Formalität sein. Ganz gleich, wie Änderungen innerhalb eines Unternehmens auch verwaltet werden – es lohnt sich zu prüfen, ob das Verfahren noch zweckdienlich ist.
Patchen ist kein Kinderspiel
Einen einzigen Patch auf einem einzelnen System zu installieren dürfte eher unproblematisch sein. Dieses Update auf mehreren Rechnern zu verteilen mag auch machbar sein. Wenn aber mehrere Patches auf mehreren Systemen bereitgestellt und getestet werden müssen, ob mit dem Netzwerk verbunden oder nicht, dann ist das eine enorme Aufgabe. Man muss sich von der Vorstellung, dass Patchen eine simple Sache ist, verabschieden – im Gegenteil, es kann ein komplexes und immer neu zu justierendes Verfahren sein.
Ein gutes Patch-Management kann die Sicherheitsmaßnahmen jedoch im Laufe der Zeit vereinfachen und damit eines der größten Risiken ausräumen, mit denen Unternehmen konfrontiert sind. Jedes Unternehmen kann dafür sorgen, dass Schwachstellen innerhalb der eigenen Systeme effizient beseitigt werden: durch Erfassung präziser Daten zu allen IT-Assets in der gesamten IT-Infrastruktur, Priorisierung der Patches anhand von Risikoprofilen und eine automatisierte Patch-Verteilung.
Über den Autor:
Darron Gibbard ist Chief Technical Security Officer, Northern EMEA, bei Qualys. Er ist verantwortlich für die Zusammenarbeit mit den Kunden, wenn es darum geht, effektive Cloud-Sicherheits- und Compliance-Programme zu definieren. Bevor Gibbard als CTSO zu Qualys kam, arbeitete er mehr als 25 Jahre für verschiedene Zahlungsdienste, Medien- und Telekommunikationsunternehmen.
