Patch-Management: Kein Unternehmen darf es vernachlässigen!
Einer der sichersten Wege, die Kontrolle über ein System zu verlieren, ist, es mit einem ungepatchten Netzwerk zu verbinden. Webseiten mit Schadcode, Benutzer-Downloads von in Bildschirmschonern versteckter Malware, sich per Internet verbreitende Würmer, automatische Scanner auf der Suche nach verwundbaren Systemen – alle sind nur einen verpassten Patch vom Exploit der Systeme entfernt.
Was gibt es zu befürchten? Nicht viel, nur Zombie-Maschinen, Malware und Datenverlust. Alle können zu Ausfallzeit, Ausspähung, verlorenen Kunden, gesetzlicher Haftung und mehr führen. Die Bedrohungen für Unternehmen aller Größen wachsen täglich mit neu entdeckten Exploits und Schwachstellen, die ausgenutzt werden, um an den schwächsten Stellen der IT-Infrastruktur zuzuschlagen. Exploits von Systemschwachstellen sind ein beliebter Weg, um Zugang zum Netzwerk einer Organisation und zu anderen IT-Assets zu erhalten. Auch wenn die Elite-Hacks durch Knacken von Kennwörtern oder aufwändiges Austricksen ahnungsloser Benutzer vielleicht cooler klingen, so erfolgen doch die meisten erfolgreichen Angriffe gegen Systeme ganz einfach durch Ausnutzung bekannter Schwachstellen des Betriebssystems oder von Anwendungen. Da sie bekannt sind, existieren auch Patches, um den Fehler zu beheben und die Schwachstelle zu beseitigen. Sicher, es treten auch Zero-Day-Exploits auf. Sobald jedoch ein Exploit-Code bekannt wird, setzen Firmen alles daran, ihre Produkte so schnell wie möglich zu patchen. Wenn ein Unternehmen seine Systeme nicht patcht, sobald ein Patch verfügbar ist, ist es nur eine Frage der Zeit, bis Schlimmeres passiert. Welches Unternehmen kann sich das wirklich leisten?
Noch schlimmer: Kann man den Maschinen wirklich vertrauen? Antivirus-Software wurde entwickelt, um Malware basierend auf bekannten Signaturen und Verhaltensweisen zu blockieren. Wenn eine Maschine durch einen Exploit einer Schwachstelle gefährdet ist, hat er wahrscheinlich keine bekannte Signatur. Wir sprechen nicht über Malware. Wir sprechen über Exploits von Code, der auf dem System ausgeführt werden soll. Wie kann Antiviren-Software davor schützen? Wenn der Exploit dem Angreifer Administratorrechte im System verschafft, die Antiviren-Software herunterfährt und so dem Angreifer ermöglicht, weitere Malware hochzuladen, um Fernzugriff zu erlangen, dann ist die Ausspähung des Netzwerkes und anderer Maschinen eine relativ einfache Übung. Diese Maschine ist jetzt ein Vehikel für einen Angreifer, weitere Teile der IT-Infrastruktur zu übernehmen, Daten zu stehlen und Schäden zu verursachen. Es gehört nicht mehr dem Unternehmen, sondern den Angreifern und sie werden vollen Gebrauch davon machen. Sobald ein Angreifer seine digitalen Hände an eines der Systeme gelegt hat, hat das Unternehmen wirklich keine andere Wahl, als die Laufwerke zu formatieren und neu zu starten.
Dieser letzte Ausweg kann kostspielig und zeitraubend sein. Auch wenn die Daten aus Back-ups wiederhergestellt werden können – wie weit muss der Administrator zurückgehen, um eine Sicherung zu erhalten, der er vertrauen kann? Wie viele Daten wurden seit dem letzten vertrauenswürdigen Back-up verloren? Wenn man einen Moment darüber nachdenkt, was es bedeutet, nicht zu patchen und wie viel Zeit es braucht, um sich von einem Vorfall zu erholen, dann macht es einfach keinen Sinn, nicht zu patchen. Es wird tatsächlich mehr Zeit kosten als es sparen kann. Was braucht es also, um Patchen zu vereinfachen?
Holen Sie das Management ins Boot!
Um Patchen Priorität zu geben, muss man zuerst das Management ins Boot holen. Das Management muss die Patch-Bemühungen unterstützen und akzeptieren, dass Patchen operative Priorität besitzt.
Zweitens wird ein virtuelles System benötigt, mit dem Patches getestet werden können, idealerweise in einer Sandbox. Man will kein Problem erzeugen, wenn man patcht. Das ist wahrscheinlich der Grund, warum jemand überhaupt erst aufgehört hat, zu patchen. Egal, ob man virtuelle Maschinen oder das QA-Labor verwendet: Man muss Patches testen, bevor man sie in der Produktionsumgebung installiert. Und das wird einige Zeit dauern. Jetzt wird es klar, warum die Unterstützung des Managements das erste ist, was man braucht.
Danach benötigt man ein passendes Patch-Management-System. Es sollte in der Lage sein, sowohl Betriebssysteme als auch die unzähligen vorhandenen Drittanbieter-Anwendungen patchen zu können. Während der IT-Administrator vielleicht noch einige kundenspezifische oder einzelne Business-Anwendungen manuell patchen muss, soll er die überwiegende Mehrheit der Betriebssysteme und Anwendungen der Server und Workstations mit dem richtigen Patch-Management-System patchen können. Es sollte Tests, Berichte und ggf. Deinstallation bereitstellen. Und es sollte sowohl nach Bedarf als auch nach einem Zeitplan angewendet werden können.
Schließlich wird bedingungslose Unterstützung für das Patchen benötigt. Alle Betriebssysteme, alle Anwendungen, die ganze Netzwerk-Ausrüstung... alles wird zu 100 Prozent und schnellstmöglich gepatcht. Tests sind wichtig, aber man darf keine Zeit verlieren. Es soll gepatcht werden, auch wenn dies eine kurze Unterbrechung bedeutet. Monatliche Patches können nach Stunden eingesetzt werden, aber wenn ein Zero-Day-Exploit auftaucht, erhält schnellstmögliches Patching von allem höchste Priorität, sogar mitten am Tag.
Kann man wirklich erwarten, alle möglichen schädlichen Dinge finden und entfernen zu können, die ein Hacker auf Ihrem Computer installiert, sobald er oder sie einen Weg hinein gefunden hat? Oder ist der einzige Weg, die Sauberkeit eines gehackten Systems zu garantieren, das System zu formatieren und von Grund auf neu zu installieren? Unternehmen, die sicherstellen, dass alle Systeme vollständig gepatcht und jederzeit aktualisiert werden, sparen sich viel Stress und sorgen für mehr Benutzerproduktivität und Kundenvertrauen. Ein Patch-Management-System vereinfacht dies und erfordert weit weniger Aufwand als der Wiederaufbau von Systemen.