So gelingt es Ihnen, Patches zu verwalten und dabei gesund zu bleiben

Patch Management ist der Ofenfilter der IT-Welt. Sie wissen, dass Sie es aktualisieren müssen, und Sie wissen, dass Sie es regelmäßig tun sollten. Aber Sie schieben es so lange auf, bis Sie plötzlich mehrere Monate zu spät sind und von Hackern und Malware heimgesucht werden. Der gesamte Prozess wird dadurch verschlimmert, dass Sie nicht nur wenig Zeit für die Verwaltung Ihrer verschiedenen Patch-Aufgaben haben, sondern diese Patches auch mit der Software und den Betriebssystemen vergleichen sollten, die Sie haben so gut wie einander installiert. Und all das sollten Sie zwischen einer unaufhörlichen Flut von Benutzeranforderungen, Verwaltungsprioritäten und der täglichen Arbeit, Ihr Netzwerk und Ihre Server am Laufen zu halten, tun. Aber diejenigen, die beim Patchen sparen, landen oft am Ende einer massiven Datenverletzung, die landesweite Nachrichten verbreitet und in der Regel dazu führt, dass sie einen rosaroten Slip erhalten. Also, wie willst du das ganze Zeug flicken?

Die kurze Antwort lautet, dass Sie wahrscheinlich nicht alles flicken können, es sei denn, Sie haben das Glück, ein ungewöhnlich großes Personal und einen Chief Financial Officer (CFO) zu haben, der großzügig genug ist, um all diese Leute zusammen mit allem, was Sie kaufen müssen, zu bezahlen ein Rechenzentrum zum Laufen bringen. Es gibt Netzwerküberwachungs-Softwarepakete mit Patch-Funktionen, die jedoch in der Regel nicht alles abdecken, was Sie zum Patchen aus einer Hand benötigen. Geräteverwaltungslösungen verfügen häufig auch über Patch-Funktionen. Bei Infrastrukturen, selbst bei kritischen Infrastrukturen wie Routern, Switches und ähnlichen Geräten, können Sie jedoch mehrere Patch-Tools für einzelne Marken verwenden.

Und denken Sie nicht, dass Sie entkommen können, indem Sie vollständig cloudbasiert werden. Erstens ist heutzutage fast niemand mehr zu 100 Prozent Cloud-basiert, sodass Sie mit ziemlicher Sicherheit über eine Rechenzentrumsinfrastruktur vor Ort verfügen. Darüber hinaus können Sie sich niemals der ständig wachsenden Liste von Client-Geräten entziehen, für die Betriebssystem- und Firmware-Patches sowie "intelligente" lokale Ressourcen wie Kameras, NAS-Geräte (Network Attached Storage), Drucker usw. erforderlich sind. All das muss noch auf dem neuesten Stand gehalten werden, damit der Patch-Teufel dich findet, egal was passiert.

Wenn Sie wie viele Manager sind, dann bringen Sie Ihre Mitarbeiter dazu, an den wichtigsten Aktualisierungen zu arbeiten. Sie laden sie herunter, testen sie möglicherweise, führen sie in die Produktion ein und hoffen dann auf das Beste. Wie Sie sich für die Wichtigkeit entscheiden, hängt in der Regel von einer Vielzahl von Faktoren oder sogar von persönlichen Vorlieben ab. Häufig hängt es jedoch davon ab, welche Exploits am bedrohlichsten klingen. Das mag das wirkliche Leben sein, aber das ist wirklich nicht der beste Weg, dies zu tun.

Die wichtigsten Aufgaben für Cybersecurity-Experten im Jahr 2018

Priorisieren, klassifizieren und scannen

Zunächst priorisieren Sie, sagt Ed Bellis, Mitbegründer und Chief Technology Officer (CTO) von Kenna Security. "Es gibt bestimmte kleine Untergruppen, die Sie unbedingt priorisieren müssen", sagte Bellis. Sie bestimmen, was diese Teilmenge von Patches ist, indem Sie sich die Funktionen ansehen, die für Ihr Unternehmen am wichtigsten sind, und dann die Patches, die für diese Funktionen den größten Unterschied ausmachen.

"E-Mails können beispielsweise kritisch sein und sich aus kritischen Geräten zusammensetzen", erklärte Sean Blenkhorn, CTO im Außendienst und VP für Worldwide Sales Engineering bei eSentire. Er sagte, es sei notwendig, zu entscheiden, wie wichtig verschiedene Systeme für Ihr Unternehmen sind, und sich zuerst auf diese zu konzentrieren. Teilen Sie sie in ihre "patchbaren" Elemente auf und bauen Sie von dort aus Ihre Strategie auf. In diesem Fall kann es sich um Server-Firmware, Speicher-Firmware, das Betriebssystem des Servers und die E-Mail-Server-Software sowie die zugehörige serverseitige Anti-Malware- / Anti-Spam-Software handeln, sofern vorhanden. Client-orientierte Endpoint Protection-Software ist normalerweise kein wichtiger Bestandteil manueller Patching-Strategien, da diese Art von Software sich selbst aktualisiert, sofern die IT-Abteilung nichts anderes vorgibt.

Blenkhorn sagte, dass ein Fehler, den viele Unternehmen begehen, darin besteht, zuerst einen Schwachstellenscanner zu starten, aber er sagte, dass Sie, ohne zuerst zu klassifizieren, welche Systeme am wichtigsten sind, am Ende Seiten mit Schwachstellenergebnissen erhalten und nicht wissen, wann oder ob Korrekturen erforderlich sind.

"Führen Sie zuerst die Klassifizierung und dann das Scannen durch", sagte Blenkhorn. Er sagte, dass drei Schwachstellenscanner, die er am häufigsten verwendet sieht, von Qualys oder Tenable stammen, merkt jedoch an, dass es mehrere andere gibt.

Er sagte, der Grund, warum Sie Ihre Systeme vor dem Scannen klassifizieren, sei, dass Sie eine intelligente Entscheidung treffen können, welche Priorität sie haben sollen. Wenn Sie beispielsweise eine ernsthafte Sicherheitslücke in einem System finden, das nur selten verwendet wird oder nichts wirklich Wichtiges tut, ist es möglicherweise am besten, dieses System einfach zu beseitigen oder es zumindest auszuschalten, bis Sie Zeit haben um es zu flicken.

Der unmögliche Traum: Beheben Sie alle Sicherheitslücken

Wenn Sie zuerst die Klassifizierung durchführen, erfahren Sie auch, wann eine Sicherheitsanfälligkeit sofort behoben werden muss, möglicherweise, weil sie für Ihr Unternehmen und auch für das Internet von entscheidender Bedeutung ist. Vielleicht können Sie auch das Patchen eines Systems verzögern, das Schwachstellen aufweist, die keine Exploits aufweisen, nicht mit dem Internet verbunden sind oder beides. Er sagte, es sei wichtig, nicht nur festzustellen, ob eine Sicherheitsanfälligkeit vorliegt, sondern auch, ob ein Exploit vorliegt und ob der Exploit verwendet wird.

In vielen Fällen, so Blenkhorn, gebe es in der realen Welt keine Exploits, so dass es möglicherweise sinnvoller sei, sich auf andere Aktionen zu konzentrieren. Eine Möglichkeit, Schwachstellen in den Griff zu bekommen, besteht darin, professionelle Berichte zur Bewertung der Cybersicherheit von Anbietern wie Kenna Security zu lesen. Diese Berichte analysieren verschiedene Bedrohungsdatenbanken und berichten über ihre Ergebnisse. Abhängig davon, wie der Anbieter des Berichts auf das Thema reagiert, werden die Schwachstellen anhand verschiedener Faktoren gemessen.

"Unser erster Bericht, der im letzten Frühjahr veröffentlicht wurde", sagte Bellis, "wir haben alle Schwachstellen in der Datenbank untersucht." Er sagte, ihr zweiter Bericht sei erst im Januar 2019 erschienen. Laut Bellis konzentriert sich die Analyse auf die Tatsache, dass nur sehr wenige Schwachstellen tatsächlich bekannte Exploits aufweisen, was bedeutet, dass es sinnvoller ist, sich auf diese Schwachstellen zu konzentrieren, als auf Schwachstellen, die es jemals geben dürften angegriffen werden. Der Bericht hilft IT-Experten dabei, diese Entscheidung für die von ihnen installierte Infrastruktur zu treffen.

"Wir haben diese Sicherheitslücken nach Technologiequellen aufgeschlüsselt", erklärte Bellis. Er sagte, dass die wichtigsten Sicherheitslücken von Oracle für seinen enormen Datenbank-Footprint, Adobe für seinen weitverbreiteten und ständig aktualisierten Reader-Client, Microsoft für Microsoft Windows 10 und ähnlich großen Softwareanbietern ausgehen können. Er merkte jedoch an, dass es große Unterschiede im Umgang mit diesen Schwachstellen geben kann.

"Es gibt einen großen Unterschied in der Sanierungsrate", sagte Bellis. "Es wurde deutlich, dass Microsoft es Kunden sehr einfach und betriebsbereit gemacht hat, ihre Schwachstellen zu korrigieren. Oracle und Java befinden sich am anderen Ende dieser Skala."

Nehmen Sie den automatisierten Ansatz

Ein weiterer Ansatz ist die Anschaffung einer speziellen Software, die einen Großteil des Analyse- und Planungsgewichts des Patch-Managements von Ihren Schultern nimmt. Dies ist der automatisierte Ansatz.

"IT-Administratoren können nicht alle fehlenden Patches in ihrem Netzwerk manuell erfassen", sagte Giridhara Raam M, Product Evangelist bei ManageEngine (ein Geschäftsbereich der Zoho Corporation), beim E-Mail-Austausch. "Daher benötigen sie ein automatisiertes System, um das Netzwerk zu scannen, die fehlenden Patches zu identifizieren, diese Patches von der Website des Herstellers herunterzuladen, Patches zu testen und rechtzeitig auf den Zielcomputern bereitzustellen", fuhr er fort. "IT-Administratoren sollten in der Lage sein, diese Bereitstellungen außerhalb der Geschäftszeiten zu planen, um Ärger für die Mitarbeiter zu vermeiden."

ManageEngine verfügt über Tools, die ebenso wie andere Anbieter, einschließlich LogicMonitor und Microsoft, hilfreich sein können. Es ist jedoch weiterhin erforderlich, Ihre Netzwerkressourcen zu klassifizieren, damit Sie wissen, auf welche Schwachstellen Sie sich konzentrieren müssen.

Die Klassifizierung ist der Schlüssel. Sie müssen sich nicht auf jede Sicherheitsanfälligkeit gleichzeitig konzentrieren. Sie müssen nur mit denjenigen beginnen, die am ehesten Probleme verursachen, und dann von dort aus aufbauen.