Das Patchen gefährdeter Software und Systeme ist wichtiger und anspruchsvoller denn je. So können IT-Experten ihren Patch Management Prozess umkrempeln, damit er effizienter wird und sie weniger eingreifen müssen, um für die Sicherheit ihrer Netzwerke zu sorgen.
Die Themen dieses Beitrags:
- Weshalb effizientes Patch Management immer relevanter wird
- Wie ein effizienter Patch Management Prozess aussehen sollte [Beispiel-Workflow in 10 Schritten]
- 3 Best Practices und Grundregeln für IT-Experten im Jahr 2021
Weshalb ist Patch Management so wichtig?
Patching sorgt nicht nur dafür, dass Systeme und Anwendungen reibungslos laufen, sondern ist auch eine der wichtigsten Maßnahmen, um die Sicherheit moderner Unternehmen zu gewährleisten. Wenn Computer nicht gepatcht werden, sind sie anfällig für Cyberangriffe. Dieses Risiko ist alles andere als theoretisch. So zeigt diese englischsprachige Studie des Ponemon Institute auf, dass die Mehrzahl aller erfolgreichen Cyberangriffe (57%) direkt darauf zurückzuführen sind, dass die Angreifer eine bekannte Sicherheitslücke ausnutzten, die nicht ordnungsgemäß durch entsprechende Patches beseitigt wurde.
57% aller Sicherheitsverletzungen lassen sich auf schlechtes Patch Management zurückführen.
Quelle: Ponemon
Man braucht nur die Überschriften zum Thema Cybersicherheit zu überfliegen, um schnell auf eine Reihe von Beispielen zu stoßen: Von Equifax (Ursache: Eine zwei Monate alte, nicht gepatchte Sicherheitslücke bei Apache Struts) bis zu SingHealth (1,5 Millionen abgegriffene Patientendaten über eine veraltete Outlook-Version)).
Diese Vorfälle führten zu öffentlichkeitswirksamen Verletzungen der Sicherheit und des Datenschutzes, die mit Hilfe eines konsequenteren und effizienteren Patch Managements hätten vermieden werden können.
Als in der Corona-Pandemie plötzlich nach Lösungen gesucht werden musste, um Mitarbeitern die Arbeit im Home-Office zu ermöglichen, haben sich die Angreifer auf diesen Trend eingestellt. Sie suchen inzwischen routinemäßig nach Sicherheitslücken in den meistgenutzten Lösungen für private Netzwerke (VPNs). Dazu gehören:
- Citrix (CVE-2019-19781)
- Palo Alto (CVE-2020-2021)
- Pulse Secure (CVE-2019-11510)
- SonicWall (CVE-2020-5135).
Besondere Herausforderungen für kleine und mittelständische Unternehmen (KMUs)
Wenn sogar einige der größten und profitabelsten Unternehmen der Welt sich mit dem Patch Management schwertun, wie stehen die Chancen dann erst für kleine und mittelständische Unternehmen, die nur begrenzt auf Ressourcen für den IT-Support zurückgreifen können?
Mehr als 18.000 CVEs (Häufige Schwachstellen und Anfälligkeiten) wurden im Jahr 2020 veröffentlicht.
Quelle: InfoSecurity Magazine
Eine der größten Schwierigkeiten beim Patching besteht im Zeitaufwand, den man für den Prozess aufwenden muss. Patch Management ist kompliziert und kann für die Endbenutzer einen Störfaktor darstellen. Infolgedessen wird das Patchen gerne aufgeschoben oder wichtige Updates werden nicht installiert. Bei mehr als 18.000 im Jahr 2020 veröffentlichten CVEs (häufige Schwachstellen und Anfälligkeiten), überrascht es wenig, dass einige Unternehmen Schwierigkeiten haben, Aktualisierungen zeitnah zu übernehmen.
Die durchschnittlich zum Patchen benötigte Zeit beträgt 102 Tage.
Quelle: Ponemon
Leider steigt das Sicherheitsrisiko an, welches ungepatchte Systeme für ein Unternehmen darstellen. Sobald eine Sicherheitslücke bekannt gegeben und ein Patch dafür veröffentlicht wurde, beginnt ein Wettkampf zwischen Unternehmen und Kriminellen. Es gilt dann die eigenen Geräte schnell zu patchen, sodass den Angreifern nicht genügend Zeit bleibt, einen Weg zum Ausnutzen der öffentlich gewordenen Sicherheitslücke zu finden. Dieses Zeitfenster wird deutlich kleiner. Einige jüngere Beispiele zeigen, wie Angreifer zunehmend in der Lage sind Cyberangriffe auf Schwachstellen durchzuführen, bevor diese bekannt gemacht wurden oder innerhalb weniger Tage nach ihrer Veröffentlichung.
Sobald funktionierende Exploits entwickelt werden, werden Sie schnell in größerem Umfang eingesetzt. Scan-Werkzeuge wie „Shodan”, „nmap“ und „masscan“ machen es den Angreifern leicht, anfällige Systeme zu identifizieren und zielgenaue Kampagnen zu entwickeln.
Viele kleine Unternehmen holen sich Hilfe von Managed Service Providern (MSPs), um die Patching-Zyklen erfolgreich meistern zu können. Aber wie lösen die erfolgreichsten MSPs ihrerseits das Problem?
Wie sieht ein effektiver Patch-Prozess aus?
Untenstehend finden Sie den Entwurf eines 10-Schritte-Plans, der die fundamentalen Überlegungen hervorhebt, die der Umsetzung eines jeden Patch Management Plans vorausgehen müssen.
Bevor Sie sich an die Entwicklung eines detaillierten Workflows machen, sollten Sie die verschiedenen Rollen und Verantwortungsbereiche für jeden einzelnen Schritt klar definieren und sicherstellen, dass alle relevanten Akteure mit im Boot sitzen.
Schritt 1: Aufstellung aller Assets
Zuerst müssen Sie sichergehen, dass Ihre Inventarliste Ihr Netzwerk komplett abbildet. Für den Einstieg beinhaltet dies mindestens einen Überblick über die eingesetzten Gerätetypen, Betriebssysteme (und Versionen) sowie Anwendungen von Drittanbietern. Zahlreiche Sicherheitsverletzungen entstehen durch unbeachtete oder in Vergessenheit geratene Systeme, die niemand mehr wartet. MSPs sollten Werkzeuge zum Scannen von Kundenumgebungen einsetzen, um vollständige Momentaufnahmen aller im Netzwerk verwendeten Assets zu erhalten.
Schritt 2: Kategorisierung
Ordnen Sie verwaltete Systeme und/oder Benutzer nach Risiko und Priorität. Beispiele könnten Gerätetyp (Server, Laptop, etc.), Betriebssystem, Version des Betriebssystems, Benutzerrolle usw. sein. Auf diese Weise können Sie detailliertere Patching-Richtlinien erstellen, anstatt zu versuchen, mit nur einer Richtlinie alles abzudecken.
Schritt 3: Richtlinien für das Patch Management erstellen
Erstellen Sie Patching-Kriterien, indem Sie festlegen, was, wann und unter welchen Bedingungen gepatcht werden soll. Sie können zum Beispiel sicherstellen, dass einige Systeme/Benutzer häufiger Patches erhalten als andere. So kann der Patch-Zeitplan für Laptop-Endbenutzer wöchentliche Patches vorsehen, während das Patchen von Servern weniger häufig und manueller erfolgt. Sie können auch verschiedene Arten von Patches unterschiedlich behandeln, wobei einige einen schnelleren oder umfangreicheren Rollout-Prozess haben (z. B. Browser-Updates vs. Betriebssystem-Updates; kritische vs. unkritische Updates). Schließlich sollten Sie Wartungsfenster festlegen, um Arbeitsunterbrechungen zu vermeiden (berücksichtigen Sie Zeitzonen für Patches, die außerhalb von Bürozeiten vorgenommen werden sollen) und legen Sie Ausnahmen fest.
Schritt 4: Auf Veröffentlichungen neuer Patches und Sicherheitslücken achten
Machen Sie sich mit den üblichen Veröffentlichungszyklen für Patches der Anbieter vertraut und identifizieren Sie zuverlässige Quellen, über die Sie zeitnah von Sicherheitsrisiken erfahren können.