Automatisiertes Patching: Was Unternehmen dabei beachten sollten

Lösungen, die automatisiert Patches einspielen, versprechen mehr Sicherheit. Aber dabei muss die Stabilität der gepatchten Systeme gewährleistet sein.

Auf der Hacker-Konferenz DEF CON 24 in 2016 wurde auch die DARPA Cyber Grand Challenge abgehalten, bei der sieben Automated-Security-Systems-Teams in einer Art Capture-the-Flag-Spiel gegeneinander antraten. Das Ziel war, Systeme zu entwickeln, die automatisch Schwachstellen erkennen, sich selbst aktualisieren und dann Angriffe abwehren können.

Dabei handelt es sich um eine faszinierende Technik, die die Sicherheit in Unternehmen auf viele Arten verbessern kann. Aber ist sie den Aufwand wirklich wert? Welche unbeabsichtigten Nebeneffekte und Risiken treten beim automatisierten Einspielen von Patches auf? Bislang gibt es nur wenige dieser Systeme und sie sind auch noch nicht sehr weit verbreitet. Unternehmen sollten die neue Technik jedoch in ihre Überlegungen mit einbeziehen, wenn sie auf dem aktuellsten Stand bleiben wollen.

Es gibt viele Organisationen, die von einem automatisierten Patching-System profitieren würden. Dadurch könnten sie Fehler in der eingesetzten Software früher erkennen, aktuelle Patches schneller einspielen und ihre Systeme wären geschützt vor künftigen Angriffen – und das alles bei vergleichsweise minimalem Aufwand. Theoretisch klingt das alles sehr gut und gefällt sicher auch vielen Prüfern und Managern. Das Problem ist jedoch, dass die dabei verwendeten Abläufe oft noch nicht in jedem Fall ausgereift genug sind. Damit alles sauber und fehlerfrei funktioniert, müssen die Lösungen, Mitarbeiter und Prozesse perfekt zusammenarbeiten. Nur auf diese Weise lässt sich die Sicherheit verbessern und gleichzeitig die Stabilität der Systeme weiter garantieren.

Der letzte Punkt – Stabilität – ist mit Sicherheit einer der wichtigsten Aspekte für den Großteil der Sicherheitsverantwortlichen, die sich mit automatisierten Patches befassen. Wie wir alle wissen, genügt ein einziger fehlerhafter Patch, um ein ansonsten stabil laufendes System zum Absturz zu bringen. Das kann zu einer Situation führen, die für ein Unternehmen schlimmere Auswirkungen hat, als die Schwachstellen, die der Patch eigentlich hätte schließen sollen.

Auswahlkriterien für automatisiertes Patchen

Viele Security-Abteilungen sind überlastet und deswegen auf der Suche nach Möglichkeiten, um die Sicherheit im Netzwerk mit einem automatisierten Patching-System zu gewährleisten. Dabei sollten Sie jedoch mehrere Aspekte mit in Betracht ziehen:

  • Wie legen Sie oder die Lösung fest, welche Systeme zuerst gepatcht werden?
  • Wie können Sie sicherstellen, dass unternehmenskritische Systeme nicht automatisch gepatcht werden, wenn das Risiko dafür zu groß ist, sie zugleich aber sicher sein müssen?
  • Wie lassen sich Hersteller von Drittsoftware mit in die Prozesse einbeziehen, die automatisiertes Patching bislang noch nicht unterstützen? Das Risiko bleibt in diesen Fällen komplett bei Ihnen.
  • Welche Notfallpläne haben Sie bereit, wenn es zu Fehlern aufgrund der Updates kommt?

Fortschritte bei der Qualität vieler eingesetzter Anwendungen und Betriebssysteme haben dafür gesorgt, dass Patches heutzutage meist in einem halbautomatisierten Prozess eingespielt werden können – zumindest auf der Ebene der einzelnen Workstations. Gerade dort sollte der Fokus ja auch oft liegen, vor allem wenn man an Anwendungen wie Java oder von Adobe denkt, in denen immer wieder Sicherheitslücken gefunden werden. Aber was ist mit den Servern, Anwendungen und Datenbanken sowie der Netzwerkinfrastruktur, die verwundbar bleiben? Wie lassen sich Software- und Firmware-Updates automatisiert bei diesen Systemen einspielen?

Sind die Kosten eines automatischen Patching-Systems also überhaupt gerechtfertigt? Es ist gut möglich, dass die Vorteile die Nachteile überwiegen. Es ist aber wichtig, an dieser Stelle anzumerken, dass bei der DARPA Challenge ein Testfeld aus Computern mit spezieller Software genutzt wurde, die niemals vorher analysiert worden waren. Überhaupt wurde die Challenge in dieser Form so noch nie durchgeführt. Den teilnehmenden Teams gelang es in nur etwa zehn Stunden Schwachstellen zu finden und zu patchen. Normalerweise dauern diese Prozesse Wochen oder sogar länger. Daraus lässt sich also nicht schließen, wie sich automatisierte Patching-Systeme in einem heterogenen Umfeld aus kommerzieller Software und im Angesicht vieler komplexer Legacy-Systeme verhalten.

Automatisierung nutzen

Jede Situation ist anders. Man muss aber auch zugestehen, dass in Anbetracht der begrenzten Ressourcen vieler IT-Security-Teams und dem real bestehenden Risiko menschlicher Fehler, die IT-Sicherheit automatisiert werden sollte, wo immer dies möglich ist. Die Zeit ist gekommen, um festzulegen, wie die notwendigen Patch-Prozesse in der Zukunft abgewickelt werden können. Wenn es gelingt, diese IT-Security-Funktion zu automatisieren, dann ist dies in Zukunft auch bei anderen Prozessen möglich. Die Entwicklung kann sich dann äußerst positiv auf künftige IT-Sicherheitsinitiativen auswirken.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wieviel Zeitaufwand ist fürs Patchen und Updaten gerechtfertigt?

Patch-Management – Tipps für die richtige Strategie.

Wie lässt sich das Patch-Management optimieren?

Windows-Security: Einfache Sicherheitslücken beseitigen.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close