Dezentrales Patchmanagement
Traditionelle Tools zum Endpunktmanagement geraten heute schnell an ihre Grenzen: Sie sind ressourcenintensiv und können die Leistung des Netzwerks beeinträchtigen. Werkzeuge auf Basis einer dezentralen Architektur machen es möglich, alle Endpunkte automatisiert zu überwachen, Schwachstellen rasch zu erkennen und diese nahezu in Echtzeit zu beheben. Patches werden hierbei zentral versendet und dann von Client zu Client weiterverteilt. Zugleich lassen sich dato unerkannte Geräte im Netzwerk finden und mit den notwendigen Patches versorgen.
Lassen sich Schwachstellen in IT-Systemen nicht umgehend beheben, nutzen Angreifer diese aus, um wertvolle Daten zu stehlen oder zu manipulieren. Um datenschutzkonform zu arbeiten und Sicherheitslücken rechtzeitig zu beheben, geht für Unternehmen kein Weg an einem effizienten Patchmanagement vorbei. Denn das Patchen ohne Patchmanagement ist alles andere als trivial: So müssten Updates für Anwendungen manuell installiert oder von den Herstellerseiten heruntergeladen werden – hier gehen Zeit und Ressourcen verloren, die an anderer Stelle besser aufgehoben wären.
Nur Sichtbares lässt sich patchen
Die Koordination von Patches für Schwachstellen zwischen unterschiedlichen Teams kostet Unternehmen im Schnitt zwölf Tage. Laut SANS-Institut benötigt ein Viertel der Unternehmen mindestens einen Monat, um Server zu patchen. Und damit nicht genug. Wie eine Studie von Tanium zeigt, müssen 80 Prozent der Führungskräfte feststellen, dass bereitgestellte kritische Updates in der Tat nicht auf allen Geräten installiert wurden.
Die Probleme liegen auf der Hand: IT-Administratoren stehen vor der Herausforderung, eine Infrastruktur managen zu müssen, die aus einem Mix aus älteren und neueren Systemen besteht. Sie sind für die Verwaltung einer komplexen und expandierenden Umgebung verantwortlich, die Endbenutzergeräte, Server und Cloudinfrastrukturen umfasst. Darüber hinaus wächst die Anzahl der Endpunkte und der unentdeckten Schwachstellen kontinuierlich und rasant. Hier kommt ein weiteres Problem zum Tragen: Viele Unternehmen nutzen ein ganzes Toolset für die Systemverwaltung, sodass sie, steht eine Patchinstallation an, alle nötigen Informationen erst einmal zusammentragen müssen. Dazu fehlt ihnen ein umfassender Überblick über alle Geräte in ihrer IT-Umgebung, sodass blinde Flecken im Netzwerk entstehen.
Endpunkte müssen bekannt sein
Deshalb sollte zu Beginn des Patchvorgangs bereits bekannt sein, wie viele Endpunkte im Netzwerk vorhanden sind. Einige Systeme für das Management von Updates bieten aufgrund ihrer Plattformbasis darüber hinaus die Möglichkeit, Endpunkte im Netzwerk zu erkennen. Hierzu erhalten bereits bekannte Geräte einen Agenten, der Informationen über das Gerät an sich sowie auf ihm installierte Software sammelt. Darüber hinaus sucht das Gerät mithilfe des Agenten innerhalb seines Subnetzes anhand der MAC- und IP-Adressen nach bis dato unbekannten Geräten. Hierzu werden physische und IP-Adressen, die vergeben sind, aufgelistet und danach diejenigen adressiert, die nicht auftauchen, sondern sich zwischen den bekannten Adressen befinden. Auf diese Weise entdeckte Geräte erhalten einen eigenen Agent und machen mit der Suche weiter.
Die Klassifizierung und das Beheben von Schwachstellen stellen nicht selten Administratoren vor große Herausforderungen. Denn oftmals müssen sie mit Werkzeugen arbeiten, die angesichts der Komplexität der IT-Umgebung an ihre Grenzen stoßen. Einerseits mangelt es ihnen an der nötigen Performance und Flexibilität sowie an der benötigten Skalierbarkeit. Andererseits sind sie sehr ressourcenintensiv und belasten mit ihrem Bandbreitenbedarf den Geschäftsbetrieb, sodass auch das Schwachstellen- und Patchmanagement lahmt.
Patchen auf dezentraler Basis
Das Patchmanagement hat das Ziel, die Verteilung von Patches zu vereinfachen. Das Zeitfenster für das Ausrollen der Patches sollte so klein wie möglich gehalten werden, um vorhandene Ressourcen darauf verwenden zu können, Sicherheitslücken zu suchen, zu klassifizieren und Sicherheitsprobleme möglichst schnell zu beheben. Die Tatsache, dass viele Unternehmen Wochen benötigen, um Schwachstellen zu schließen, nutzen Cyberkriminelle gnadenlos aus.
Patchwerkzeuge auf Basis einer dezentralen Architektur können dieses Problem lösen, denn sie sind in der Lage, Endpunkte umfassend, schnell und zuverlässig zu patchen – ohne den Geschäftsbetrieb durch enormen Bandbreitenbedarf zu behindern. Dank der Automatisierung der Installation neuer Patches und Software-Updates sind Administratoren dazu in der Lage, ihre Workflows effizienter zu gestalten und damit Zeit für dringendere Aufgaben zu gewinnen. Updates können mit minimaler Beeinträchtigung des Netzwerks bereitgestellt werden, die Installation der erforderlichen Patches, Software-Updates und die Wartung des Betriebssystems lässt sich automatisieren und eine umfassende, rasche Patch-Compliance erreichen.
Vier Schritte beim Patchmanagement
Patchmanagement-Produkte auf Basis einer dezentralen Architektur machen es möglich, einen Patch umgehend an eine Computergruppe zu verteilen ohne firmeninterne Server, Cache-Server und letztendlich die Verbindungen zu ihnen belasten zu müssen. Bereits während der Installation stellen diese Endpunkte den Patch innerhalb ihrer Netzwerkgruppe für weitere Geräte zum Download bereit. Die Verteilung der Datenpakete erfolgt somit dezentral zwischen allen Geräten anstatt zentral vom Server zum Endpunkt.
Weitere Vorteile sind die Planungsmöglichkeiten: So können IT-Verantwortliche Wartungsfenster, Patch- und Blocklisten einrichten, um das Patchmanagement noch effizienter planen zu können. Eine effiziente Herangehensweise ans Patchen im Firmennetzwerk lässt sich somit in vier Schritte zusammenfassen:
Visibilität schaffen: Nur wenn alle Endpunkte im Netzwerk bekannt sind, können Aktualisierungen jedes Gerät erreichen und die Netzwerksicherheit gewährleistet werden.
Versionsinformationen abrufen: Indem jedes Gerät Auskunft über den Status seiner Software gibt, lassen sich Schwachstellen aufdecken.
Eigentlicher Patchvorgang: Hier kommt es darauf an, alle Aktualisierungen schnellstmöglich auf allen Endpunkten zu installieren – ohne dass der Betrieb darunter leidet.
Automation: Sind erst einmal alle Geräte im Netzwerk bekannt und auf den neuesten Stand gebracht, gilt es, diesen Status zu halten und Updates und Patches zeitnah auszurollen; der Grundstein dafür wurden schon gelegt.
Schnell, sicher & skalierbar
Viele IT-Teams scheuen es, kritische Systeme zu patchen. Sie fürchten, dass ein zu schnelles Vorgehen Ausfallzeiten zur Folge haben könnte oder dass ihnen gravierende Fehler unterlaufen. Allerdings dürften die Folgen eines erfolgreichen Hackerangriffs aufgrund ungepatchter Systeme weitaus dramatischer sein.
Mit einem Patchmanagement-Werkzeug auf dezentraler Basis ist es möglich, Schwachstellen in Echtzeit zu erkennen und Patches automatisiert und schnell zu verteilen. Der Patchstatus jedes Endpunkts lässt sich innerhalb von Sekunden abfragen, ebenso verfügbar sind Details wie Patchhistorien für einzelne Geräte, der Neustart-Status von dedizierten Endpunkten und Links zu relevanten Artikeln der Herstellerdatenbanken. Patches lassen sich basierend auf speziellen Regeln konfigurieren, beispielsweise so, dass kritische Patches immer auf Endnutzer-Rechnern, jedoch nicht auf Datenservern Anwendung finden. Falls etwas schiefgeht und ein Patch unerwartete Reaktionen hervorruft, lässt er sich gegebenenfalls zügig rückgängig machen.
Ein weiterer Vorteil eines solchen Patchmanagement-Tools ist die problemlose Skalierung, da jeder weitere Rechner wiederum Speicherplatz, Bandbreite und Rechenkapazität ins System mitbringt. Die Tatsache, dass jeder einzelne Rechner auch als Server fungiert, sodass einzelne Ausfälle kaum ins Gewicht fallen, bringt ein hohes Maß an Verfügbarkeit. Dank der flexiblen Aufgabenverteilung innerhalb des Rechnersystems, können IT-Teams schnell auf mögliche neue Anforderungen reagieren, ohne in zusätzliche Hardware investieren zu müssen. Für ein hohes Maß an Sicherheit sorgen die gegenseitige Authentifizierung und Autorisierung sowie Zugriffskontroll-Systeme und Traffic-Verschlüsselung.
Plattform für das Schwachstellenmanagement
Im Idealfall lassen sich Patchmanagement-Werkzeuge in eine Plattform einbetten, die Unternehmen eine vollständige Transparenz und Kontrolle über ihre Endpunkte bietet. Sie hilft bei der Sicherung von Endpunkten, da IT-Teams Bedrohungen über neue und alte Betriebssysteme hinweg umgehend identifizieren und schützen können. Eine solche Plattform sollte so konzipiert sein, dass alle IT-Operationen und Sicherheitsdienste – einschließlich Bestandsaufnahme, Überwachung und Dateiintegrität, Geräteerkennung, Erkennung von und Reaktion auf Bedrohungen et cetera – von einem einzigen Agenten aus durchgeführt werden.
Mithilfe eines solchen Systems ist es auch möglich, Schwachstellenprüfungen für Endgeräte und Korrekturmaßnahmen für die automatische Behebung von Compliance- und Sicherheitsproblemen auszuführen. Idealerweise lassen sich Endpunkte in Echtzeit auf Konfigurationsänderungen und Schwachstellen-Compliance bewerten, sodass IT-Teams tägliche Schwachstellen-Feeds erhalten, um die Risiken kontinuierlich innerhalb der gesamten IT-Umgebung zu verwalten und zu reduzieren.
Auf diese Weise können Unternehmen Endpunkte kontinuierlich und automatisiert überwachen und Schwachstellen nahezu in Echtzeit ermitteln und beseitigen. Da das Unternehmensnetzwerk stets mit aktuellen Sicherheitsupdates versorgt ist, sinkt das Risiko, Opfer eines Cyberangriffs zu werden erheblich, und Compliancerisiken lassen sich ebenfalls minimieren. Gleichzeitig werden Administratoren entlastet und dürfen sich guten Gewissens anderen Aufgaben widmen, da das Aufkommen an First-, Second- und Third-Level-Support-Anfragen deutlich sinken wird.
Fazit
Mit der steigenden Anzahl der Endpunkte im Netzwerk steigt auch die Anzahl unentdeckter Schwachstellen. Patchmanagement auf Basis einer dezentralen Architektur machen es möglich, Schwachstellen selbst in komplexen Netzwerken in Echtzeit zu erkennen und Patches automatisiert zu verteilen. Im Gegensatz zu Client/Server-basierten Systemen sind sie problemlos skalierbar, hochverfügbar und punkten mit einem geringen Bandbreitenbedarf. Eingebettet in eine Plattform, ermöglichen solche Patchmanagement-Werkzeuge eine vollständige Transparenz und Kontrolle über alle Endpunkte in der Netzwerkumgebung.
Autor: Christoph Volkmer, VP DACH bei Tanium.