Neu entdeckte Zero-Day-Lücken und ausgefeilte Angriffsszenarien bestimmen die Berichterstattung über Sicherheitslücken in den Medien. In der Praxis ist der Großteil der erfolgreichen Angriffe aber einfach darauf zurückzuführen, dass längst verfügbare Sicherheitspatches nicht eingespielt wurden. Intelligente Patchmanagement-Software schafft hier Abhilfe.

Beim menschlichen Körper unterstützen Vitamine, Folsäure, Eisen, Kupfer, Selen und Zink die Funktion des Immunsystems. Zusätzlich helfen Bewegung an der frischen Luft, ausreichend Schlaf und Zurückhaltung bei Alkohol- und Tabakkonsum. Eigentlich wissen wir das alle. Dennoch gelingt es uns nicht immer, uns auch entsprechend zu verhalten. Gerade im Herbst lässt der nächste Schupfen dann nicht lange auf sich warten.

In der IT ist das ähnlich: Grundsätzlich ist bekannt, wie sich PCs, Server und Infrastruktur absichern lassen. Aber sich regelmäßig, kontinuierlich und umfassend um alle Aspekte zu kümmern, gelingt den zuständigen Abteilungen nicht. Ein Grund dafür ist die große Anzahl der Patches für neu entdeckte Schwachstellen und Sicherheitslücken. Ein anderer, dass es bei jedem davon eine gewisse Zeit dauert, um ihn zu prüfen und zu implementieren. Teilweise führt das dazu, dass eine Patch-Runde noch gar nicht abgeschlossen ist, wenn schon die nächste ansteht.

Hersteller weitverbreiteter Software ─ wie Microsoft, Adobe und Oracle ─ liefern ihre Patches bereits seit Jahren gesammelt zu festen Terminen aus. Einer davon ist der Patch-Tuesday, zu dem Ivanti regelmäßig informiert und eine Bewertung vornimmt. In diesen Lieferungen sind jedoch immer Fehlerbehebungen für mehrere Produkte enthalten. Daher müssen insbesondere Firmen umfangreich prüfen, dass keiner dieser Patches Kompatibilitätsprobleme verursacht, bevor sie eine Aktualisierung anstoßen.

Außerdem sind noch zahlreiche andere Produkte im Einsatz. Dafür werden Patches auf vielfältige Weise ausgeliefert. Für Windows und für die Microsoft-Office-Produkte gibt es zum Beispiel die Windows-Update-Funktion. Für andere Produkte stehen Updates lediglich auf den Herstellerseiten bereit oder müssen innerhalb des Programms manuell gesucht und installiert werden. Zudem haben viele dieser Hersteller eigene Termine für neue Updates. In vielen Unternehmen übersteigt der erforderliche Aufwand die Möglichkeiten der personell knapp besetzten IT-Abteilung: Das Know-how ist zwar da, es fehlt aber die Zeit.

Glücklicherweise schließen die meisten Patches Sicherheitslücken, die der Hersteller selbst oder vertrauenswürdige Stellen – IT-Security-Experten, IT-Security-Anbieter oder sogenannte Bug-Hunter – entdeckt haben. In diesen Fällen besteht also bis zur Veröffentlichung des Patches keine Gefahr.

Unglücklicherweise wird jedoch spätestens mit der Veröffentlichung des Patches auch die Lücke bekannt. Ab dann lässt sich aus dem Patch durch Reverse Engineering – also die Untersuchung, was sich durch den Patch in der Software verändert hat – auch ermitteln, wie sich die Lücke durch einen Exploit ausnutzen lässt. Bis ein Exploit verfügbar ist, dauert es derzeit durchschnittlich 22 Tage. Die Hälfte der derzeit bekannten Exploits wird erstmals 14 bis 28 Tage nach der Verfügbarkeit eines Patches eingesetzt. Manche jedoch schon nach wenigen Tagen.

Patchen als Wettrennen zwischen Angreifern und Verteidigern

Noch dringlicher ist die Lage in den Fällen, in denen ein Patch eine schon zuvor bekannte oder ausgenutzte Schwachstelle schließt. Dann ist die Veröffentlichung des Patches gleichzusetzen mit dem Ruf „last orders“ in einem britischen Pub. Da die Angreifer wissen, dass ihr Exploit wahrscheinlich bald wirkungslos ist, gilt es nun, ihn noch so oft wie möglich erfolgreich einzusetzen.

Bedenklich ist, dass die Angreifer in der Regel deutlich schneller sind als die Verteidiger. Je nachdem, auf welche Zahlen man sich beruft, vergehen in Firmen aus den bereits genannten Gründen 100 bis 120 Tage zwischen der Verfügbarkeit eines Patches und dem Tag, an dem er installiert wird. Damit haben Angreifer also drei bis vier Monate Zeit, um Lücken auszunutzen. Nicht jede dieser Lücken ist als „kritisch“ eingestuft und ermöglicht Angreifern kompletten Zugriff auf angegriffene Systeme. Dennoch zeigen diese Zahlen deutlich, dass viele Unternehmen zu lange über bekannte und bereits geschlossene Sicherheitslücken angreifbar bleiben.

Diese Lage hat sich durch die Verlagerung zahlreicher Arbeitsplätze ins Homeoffice noch verschärft. Erstens laufen die heimischen Rechner meist in einem schwach oder gar nicht gesicherten Netzwerk. Zweitens erhalten Nutzer oft umfangreichere Rechte, als sie tatsächlich benötigen ─ teilweise sogar Admin-Rechte. Sie müssen sich dann selbst um Patches kümmern. Das funktioniert in der Regel jedoch nicht und eröffnet Angreifern unnötigerweise zusätzliche Möglichkeiten.

Die richtige Patchmanagement-Strategie für Firmen

Eine erfolgreiche Strategie für das Patchmanagement setzt heute daher auf eine Lösung, die weitgehend automatisiert arbeitet und Kompatibilitätsprobleme durch eine kontinuierliche Konfigurationskontrolle minimiert. Außerdem sollte die eingesetzte Patchmanagement-Lösung die verwendeten Systeme kennen, damit Updates oder Patches nicht an eigentlich trivialen Aspekten wie fehlendem Plattenplatz oder ungenügendem Arbeitsspeicher scheitern.

Allerdings kann man nur schützen, was man auch kennt. Es kommt immer wieder vor, dass Nutzer zum Beispiel eine kostenlose Bildbearbeitungssoftware oder einen freien Video-Player installieren, weil sie diese praktischer finden als von der Firma ausgewählte Software. Allerdings kümmern sie sich anschließend nicht darum, diese Software regelmäßig zu aktualisieren. Wenn die IT-Abteilung von diesen Programmen nichts weiß, übernimmt auch sie diese Aufgabe nicht. Schnell läuft dann eine zwei oder drei Jahre alte Version auf dem Rechner – samt der inzwischen vom Entwickler geschlossenen, aber gut dokumentierten und daher einfach auszunutzenden Sicherheitslücken.

Die eingesetzte Patchmanagement-Lösung sollte zudem Systeme erkennen können, die nicht regelmäßig neu gestartet werden (was zur Anwendung eines Patches oft erforderlich ist). Auch Redistributable-Versionen von C++, Java, Adobe Reader und ähnlicher Software sollte sie erkennen. Diese Programme kommen bei der Installation anderer Software mit auf die Rechner, laufen aber dann „unter dem Radar“ der IT-Abteilung. Meist weiß niemand, welche Versionen tatsächlich benötigt werden und auf welchem Patch-Level sie sind. Cyberkriminelle greife daher immer wieder erfolgreich mit längst bekannten Exploits sehr alte Versionen dieser Programme an.

Alle diese Aspekte deckt Ivanti Security Controls ab. Die Lösung vereint Patchmanagement, Rechteverwaltung und Whitelisting in einer Lösung. Damit können Geräte über eine kostenlose Cloud-Komponente auch dann gepatcht werden, wenn sie sich außerhalb des Firmennetzwerks befinden. Dennoch behält die IT-Abteilung die Kontrolle über den Prozess.

Der Implementierungsaufwand beträgt einmalig etwa zwei Stunden. Danach kommen die passenden Agenten auf die Endgeräte, die Patches entsprechend den Unternehmensvorgaben installieren. Änderungen an der Netzwerk-Firewall sind dazu nicht nötig. Ivanti Security Controls scannt alle Client-Systeme dann regelmäßig auf fehlende Patches, lädt erforderliche Patches von den Anbietern herunter, speichert sie in einem zentralen Repository und verteilt sie per Push auf die Rechner oder Gruppen von Rechnern, die sie benötigen. Damit ist sichergestellt, dass alle Rechner immer auf dem aktuellen Stand sind.

Eine besonders interessante Ergänzung eines Patchmanagements ist die jüngst veröffentlichte Komponente Ivanti Neurons for Patch Intelligence. Das Modul sammelt zusätzliche Informationen, die bei der Verteilung von neuen Patches eine entscheidende Rolle spielen: Aus Tausenden von Fachforen, der medialen Berichterstattung und über Crowdsourcing werden Informationen über die Zuverlässigkeit neuer Updates sowie Informationen zur Problembehebung gesammelt und aggregiert dargestellt. So können Administratoren schneller entscheiden, welche Patches sie einer tiefergehenden Prüfung unterziehen wollen und welche direkt verteilt werden können.

Durch die Anbindung an Ivanti Patchmanagement-Lösungen – wie etwa Ivanti Security Controls – ist Ivanti Neurons for Patch Intelligence auch in der Lage, Informationen über den Status und die Geschwindigkeit der Verteilung zu ermitteln. Auf diese Weise gibt ein leicht verständliches Dashboard jederzeit Auskunft über den aktuellen Compliance-Status und die Einhaltung von SLAs zur Bereitstellung von Patches.

Weitere Routineaufgaben der IT automatisieren

Wer mit Patchmanagement die eingesetzte Software stets aktuell hält, erhöht die Sicherheit bereits deutlich. Zusätzlich lassen sich jedoch auch weitere Routineaufgaben automatisieren. Hier setzt Ivanti Neurons für Discovery an. Damit erhalten Sie binnen weniger Minuten exakte Informationen über die Assets in Ihrem Firmennetzwerk. Wie das funktioniert, zeigt dieses Video.

Die einmalige Erfassung ist aber nur die halbe Miete. Moderne IT-Umgebungen verändern sich laufend. Deshalb sorgt Ivanti Neurons für Discovery durch aktives und passives Scannen, Netzwerk-Scanning und Konnektoren von Drittanbietern in Echtzeit für kontinuierliche Transparenz. Damit erhalten Sie nicht nur ein stets aktuelles, einheitlich strukturiertes Hardware- und Softwareinventar, sondern auch Einblick in die Softwarenutzung und die Daten zur Pflege Ihrer CMDB (Configuration Management Database) und Ihrer AMDB (Asset Management Database).

Auf dieser Grundlage lassen sich dann mit Ivanti Neurons for Healing auch weitere, zeitaufwändige Aufgaben automatisieren. Ivanti Neurons for Healing deckt dabei die vier Bereiche Compliance, User Productivity, Business Continuity und Resource Organisation ab. Es erkennt und löst IT-Probleme oft schon, bevor die Nutzer sie bemerken. Zudem trägt der Einsatz von intelligenten Bots zur Bearbeitung von Anfragen und Beschwerden wesentlich zur schnelleren Diagnose und Behebung von Problemen bei, die nicht schon im Vorfeld gelöst werden konnten. Von der Funktion der Ivanti Neurons for Healing können Sie sich in diesem Video überzeugen.

Patchmanagement + Automatisierung = IT-Management der Zukunft

Was für den Menschen eine gesunde Ernährung und Lebensweise, ist für die IT die Aktualität der eingesetzten Software und das Wissen um die Komponenten im Netzwerk und deren Zustand. Beides ist notwendig, damit der jeweilige Organismus weitgehend störungsfrei funktioniert. Eine Grund-Fitness vermeidet bereits viele Ursachen für Probleme. Regelmäßige Prüfungen helfen, sich dennoch anbahnende Probleme zu erkennen, bevor sie ernsthaften Schaden verursachen.

Für seinen Körper ist jeder selbst verantwortlich. In der IT obliegen Früherkennung, Vorsorge, Impfungen und Behandlungen den Administratoren. Da sie sich um Hunderte oder gar Tausende von Geräten kümmern müssen, ist eine individuelle Diagnose und Behandlung nicht möglich. Schnell, effektiv und sicher stärkt man das IT-Immunsystem mit einer Automatisierungslösung, die Probleme und Besonderheiten nicht nur identifiziert, sondern auch registriert und bei künftigen Änderungen berücksichtigt – und diese Aufgaben kontinuierlich und selbständig wiederholt.

Auf dieser Grundlage können Unternehmen dann für Anwender proaktiv, vorhersagbar und automatisiert Self-Healing, Self-Security für Geräte sowie Self-Service für Änderungswünsche bereitstellen. Das entlastet die IT-Abteilung, fördert die Zufriedenheit der Mitarbeiter und erhöht das Sicherheitsniveau spürbar.