Share
Beitragsbild zu Fünf Herausforderungen von Patch-Management lösen

Fünf Herausforderungen von Patch-Management lösen

Meldungen und Warnungen vor kritischen Sicherheitslücken erreichen uns nahezu täglich. Mittlerweile haben wir uns fast schon daran gewöhnt und handeln mit einer gewissen Lethargie und leichtsinnigem Urvertrauen in ein reibungslos funktionierendes Patch-Management. Doch so reibungslos funktioniert dies offensichtlich nicht, denn die meisten Unternehmen geben potenziellen Gegnern mehr als genügend Zeit für einen erfolgreichen Angriff.

Durchschnittlich 16 Tage benötigen IT-Abteilungen, um eine kritische Schwachstelle nach der Entdeckung zu beheben, so die Forschung des Ponemon Institute. So kommt es nicht von ungefähr, dass bereits 60 % der Unternehmen aufgrund einer bekannten, aber nicht gepatchten Schwachstelle ein Sicherheitsproblem hatten (ebenfalls Ponemon Institute).

Natürlich gestaltet sich Patch-Management für viele IT-Abteilungen als Herausforderung: Es fehlen oftmals schlichtweg die Ressourcen, um die wöchentlich neuen (Sicherheits-) Updates zu identifizieren und zu installieren. Aber es gibt Möglichkeiten, die durchschnittliche Reaktionszeit beim Patch-Management zu minimieren und die notwendigen Sicherheitsstandards einzuhalten.

Herausforderungen, die sich oft wie ein harter Kampf anfühlen.

Die gute Nachricht ist, dass es neben den klassischen Patch-Management Lösungen auch integrierte Plattformen gibt, die einen erweiterten Ansatz verfolgen, beispielsweise MetaAccess von OPSWAT: eine Komplettlösung, die IT-Verantwortlichen hilft, schneller zu patchen und damit sicherzustellen, dass IT-, OT- und IoT-Netzwerke und Cloud-Systeme konsequent geschützt bleiben. Unternehmen und Organisationen können die in diesem Blog genannten zentralen Herausforderungen mit einer Plattform wie MetaAccess vollumfänglich meistern.

Schier unüberschaubare Anzahl an Systemen und Applikationen

Jedes Unternehmen und jede Organisation setzt inzwischen eine Vielzahl von unterschiedlichen Betriebssystemen und Applikationen von Drittanbietern ein. Hinzu kommen mehrfach heterogene Infrastrukturen aus den Bereichen IT, OT und ggf. IoT sowie IIoT auf unterschiedlichen Plattformen wie macOS, Windows, Linux. Zusätzlich sind teils komplexe Applikationen von verschiedenen Anbietern quer über alle Bereiche und Plattformen installiert, was ein sicheres und verlässliches Patch-Management über alle Systeme und Anwendungen erschwert.

Doch es gibt mittlerweile durchaus Lösungen, die dies sicherstellen können!

Moderne Patch-Management Lösungen stellen sicher, dass wirklich alle Systeme und Anwendungen im Unternehmen gepatcht werden.

Eine leistungsfähige und den heutigen Herausforderungen gerecht werdende Patch-Management Lösung sollte folgende Kriterien erfüllen:

  • Transparenz: Erkennung von Schwachstellen und veralteter Software und Darstellung einer Zusammenfassung von Maßnahmen in einem übersichtlichen Dashboard sowie in entsprechenden Berichten. Idealerweise werden alle Angaben im Dashboard über Drilldown-Funktionen sehr granular dargestellt.
  • Flexibel: Gute und leistungsfähige Lösungen können nicht nur für das Patch-Management eingesetzt werden, sie können auch eine eventuell installierte Endpoint-Security-Lösung auf Funktionsfähigkeit überprüfen und ordnungsgemäß konfigurieren.
  • Reaktionsschnell: Geschwindigkeit ist das A und O beim Patch-Management. Anwender und Verantwortliche müssen daher frühzeitig gewarnt werden, wenn Sicherheitsupdates nicht installiert wurden. Auch der Zugriff auf Anwendungen und Ressourcen nach Ablauf einer festgelegten Frist sollte blockiert werden können.
Hybrid arbeitende Mitarbeiter, deren Systeme nur gelegentlich mit der Domäne des Unternehmens verbunden sind

Es ist schon schwer genug, den Überblick über alle selbst verwalteten Geräte und Applikationen zu behalten. Aber es ist noch schwieriger und vielleicht sogar noch wichtiger sicherzustellen, dass BYOD- oder Endgeräte von externen Dienstleistern gepatcht werden, bevor diese ungeprüft auf die Ressourcen des eigenen Unternehmens zugreifen.

Remote Patch-Management.

In der hybriden Arbeitswelt ist es von enormer Bedeutung, dass Patch-Management auch remote funktioniert. Bei Lösungen die in der Cloud gehostet werden, stellen entsprechende Clients sicher, dass Geräte gepatcht sind, unabhängig davon, wo sie sich beim Zugriff auf Unternehmensressourcen befinden.

Zeitkritische und damit dringende Sicherheitspatches.

Selbst dringende kritische Sicherheitspatches erfordern beim Rollout ein gewisses Maß an Vorsicht und Tests, um zu gewährleisten, dass sie die Verfügbarkeit von Systemen oder Anwendungen nicht negativ beeinträchtigen. Dies erfordert einen etablierten Prozess und eine Automatisierung, die die inkrementelle Freigabe eines Patches für größere Gerätegruppen unterstützt.

Einhaltung von Richtlinien erzwingen.Ein Plus an Sicherheit bieten auch Patch-Management Lösungen, die die Einhaltung von Richtlinien pro Gerätegruppe erzwingen, bestimmte Patches ausschließen und sogar bestimmte Geräte ausnehmen können. Bei MetaAccess können darüber hinaus auch bestimmte Patches und CVEs ausgenommen werden, sodass ein Gerät weiterhin als konform angesehen werden kann, auch wenn entschieden wird, bestimmte Patches nicht zu installieren.

Kontinuierliche Transparenz und Überwachung anfälliger Systeme ist ein Muss

Selbst nachdem sämtliche Risikokompromisse berücksichtigt, alle Sicherheitsupdates getestet und die neuesten kritischen Schwachstellen gepatcht wurden, ist die Arbeit noch nicht getan. Eine Frage die bleibt: Was passiert, wenn ein Device während des Patch-Vorgangs nicht erreichbar war? Diese Geräte müssen gepatcht werden, sobald sie wieder erreichbar sind, um sicherzustellen, dass es der Acceptable Use Policy (AUP) und den Sicherheitsanforderungen entspricht. Es ist also notwendig, stets den transparenten Überblick über besonders anfällige und nicht gepatchte Endgeräte zu haben und diese konsequent zu schützen.

Sichere Zugriffsfunktionen schützen Unternehmen vor dem Zugriff von riskanten oder nicht konformen Geräten.

Es sollte Usus sein, ist aber längst nicht bei allen klassischen Patch-Management Lösungen selbstverständlich, dass Endgeräte, auf denen seit längerer Zeit kein Update mehr installiert werden konnte und die möglicherweise eine ältere kritische Schwachstelle aufweisen, konsequent blockiert werden. Erst nach vollständigen Sicherheitsupdates dürfen solche Geräte wieder Zugriff auf das Unternehmensnetzwerk erhalten.

Mangel an Sicherheits- und IT-Personal

Mit die häufigste Herausforderung für Sicherheits- oder IT-Organisationen jeder Größe sind die oftmals nur bedingt vorhandenen internen Ressourcen für die tägliche Arbeit. Ganz zu schweigen von den vielschichtigen Workflows, die jede hochkarätige und gefährliche Schwachstelle in einem Unternehmen auslöst.

Unabhängig vom Timing, und das alles automatisch.

Wenn Benutzer über Anfälligkeiten auf ihren Endgeräten benachrichtigt werden, patchen sie ihre Geräte in der Regel früher. Im Idealfall warnen Patch-Management Lösungen die Anwender vor jedem Zugriff auf Unternehmensressourcen über bestehende Schwachstellen. Für den Fall, dass sie zu lange warten, sollte das Update vor dem Zugriff verpflichtend werden. Dies ermöglicht eine schnelle Einführung kritischer Patches, selbst für extrem belastete IT-Teams, unabhängig vom Timing. Und das alles automatisch.

Automatisierungen sind in Produktion und Fertigung schon lange ein Garant für hohe Qualität und Zeiteinsparungen. In der IT schützen Automatismen und KI vor der hohen Bedrohungslage, die mangels Ressourcen schwer umzusetzen sind. Patch-Management ist dafür ein gutes Beispiel. Definierte Richtlinien lassen sich bspw. mit MetaAccess von OPSWAT sicher umsetzten und u.a. Patches zeitnah nach Freigabe an alle relevanten Systeme verteilen. Umgekehrt werden Systeme und damit Risiken blockiert, wenn Patches fehlen.

Was eine Lösung wie MetaAccess von klassischen Patch-Management Tools zusätzlich unterscheidet: Die sichere Benutzer-Authentifizierung an Netzwerk- und Cloud-Ressourcen über SAML und SDP, die Erstellung von Geräte-Profilen nach vorherigen Compliance Sicherheitschecks und das eigentliche Network Access Control (NAC) gehören zur integrierten Plattform des Herstellers OPSWAT.

Die zuvor genannten Herausforderungen sind zentral in jedem Unternehmen, jeder Organisation anzutreffen. Mitunter haben IT-Verantwortliche aber noch weitere Anforderungen, auf die hier nicht eingegangen wurde. Für eine unverbindliche Beratung oder einen Webcast zum Thema Patch-Management kontaktieren Sie uns gerne telefonisch unter +49 8171 405 200 oder per E-Mail an info@prosoft.de.

Autor: Peter Kopfmann, ProSoft

 

Firma zum Thema

ProSoft

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden