Sicherheitsstrategien mit Patch-Management
Agieren statt reagieren
Fortsetzung des Artikels von Teil 1
Vier Schritte zur wasserdichten IT
Alles in allem wurden in den 50 beliebtesten Programmen 1.208 Schwachstellen entdeckt. Insgesamt ist Secunia auf 13.073 Schwachstellen in 2.289 Anwendungen gestoßen. Für mehr als drei Viertel aller Lücken (79 Prozent) waren noch am gleichen Tag Patches verfügbar. So konnten Anwender einer automatisierten Patch-Management-Lösung die Schwachstellen umgehend identifizieren, priorisieren und beseitigen.
Das ist auch für Unternehmensnetzwerke ein nicht zu unterschätzender Vorteil, denn angesichts der Komplexität der IT-Landschaften können IT-Abteilungen von Unternehmen kaum selbst alle Anwendungen im Blick behalten und Sicherheitsupdates manuell durchführen. Sie benötigen ein professionelles Patch-Management mit eigener Schwachstellen-Intelligenz, das IT-Mitarbeiter bei vier Aufgaben und damit über den gesamten Sicherheitszyklus zuverlässig unterstützt.
Im ersten Schritt erfahren Anwender dank der so genannten Schwachstellen-Intelligenz (Vulnerability-Intelligence), welche Sicherheitslücken in Betriebssystemen und Anwendungen gerade im Umlauf sind und welche Programme sie beeinflussen.
Diese Informationen werden im zweiten Schritt, dem Schwachstellen-Scanning (Vulnerability-Scanning), benötigt. Hierbei werden alle Programme und Anwendungen auf dem System untersucht und die gefundenen Metadaten durch ein Datei-Signatur-Verfahren mit der Schwachstellen-Datenbank abgeglichen. Die identifizierten Gefahrenstellen werden außerdem hinsichtlich ihres Bedrohungspotenzials analysiert. So erhalten die Sicherheitsverantwortlichen einen detaillierten Gesamtüberblick über alle Schwachstellen und das Gefahrenpotenzial, das sie möglicherweise entfalten können. Entsprechend können sie die Sicherheitslücken nach Dringlichkeit schließen.
Im dritten Schritt, der Patch-Erstellung, muss das eigentliche Sicherheitsupdate oder Patch erstellt und verteilt werden. Ohne automatisierte Lösung kann dieser Prozess sehr aufwändig sein, denn Systemadministratoren müssten dann auf den Webseiten verschiedener Anbieter nach Patch-Informationen suchen und das Update selbst zusammenstellen. Aus diesem Grund können Unternehmen mit Sicherheitsupdates „out of the box“ viel Zeit und Geld sparen. Die Erstellung von Patches und Sicherheitsupdates sollte daher ein integraler Bestandteil jeder Patch-Management-Lösung sein. Als Basis empfiehlt sich ein umfassender Patch-Katalog, der auch kleinere oder weniger verbreitete Programme berücksichtigt und von einem Expertenteam kontinuierlich erweitert und getestet wird.
Schließlich müssen die Patches im vierten Schritt, dem Patch-Management, verteilt werden. Einige Unternehmen nutzen hierfür Konfigurationsmanagement-Tools wie System-Center-Configuration-Manager (SCCM) von Microsoft oder die Altiris-Deployment-Lösung von Symantec, andere verwenden die kostenfreie und weniger leistungsfähige Alternative von Microsoft, die Windows Server-Update-Services (WSUS). Unabhängig davon, welche Lösung die Unternehmen einsetzen, sollte sie reibungslos mit anderen Elementen integriert werden können, damit der Patch-Management-Prozess insgesamt möglichst effizient abläuft.
Fazit: Vierklang der IT-Sicherheit
Seine Stärke entfaltet das Patch-Management, wenn es als Bestandteil eines ganzheitlichen Lösungsansatzes zum Einsatz kommt, der Schwachstellen-Intelligenz mit Scan-Technologien kombiniert und auf diese Weise alle vier Bereiche des Patch-Management-Prozesses abdeckt. Patch-Lösungen, die nur eine dieser vier Säulen abdecken, sind meist nicht in der Lage, zeitnah auf neue Sicherheitslücken zu reagieren. Fließen in eine Lösung täglich Informationen von verschiedenen Software-Anbietern ein, werden Unternehmen von der Aufgabe entlastet, die Anwendungen, die sie einsetzen, selbst zu überwachen. Die hier eingesparten Ressourcen können IT-Abteilungen für strategische Aufgaben einsetzen. Zudem scannt die Lösung auch PCs, die sich nur unregelmäßig in das Unternehmensnetz einloggen.
Dennoch gibt es, solange Cyberkriminelle den Sicherheitstechnologien immer eine Nasenlänge voraus sind, keinen hundertprozentigen Schutz. Aus diesem Grund sollten Unternehmen zusätzlich zum
professionellen Patch-Management mit Schwachstellen-Intelligenz zwei weitere organisatorische Schutzmaßnahmen ergreifen: Erstens sollten sie ihre Mitarbeiter zum verantwortungsvollen Umgang mit Unternehmensdaten sensibilisieren und zweitens sollten sie ihre Daten klassifizieren, so dass Mitarbeiter nicht auf allen Endgeräten Zugriff auf alle Informationen haben, so dass beispielsweise sensible
Geschäftsdaten nicht auf mobilen Endgeräten bearbeitet werden können. Mit diesem Vierklang – Patch-Management, Schwachstellen-Intelligenz, Nutzersensibilisierung und Datenklassifizierung – gelingt es Unternehmen, Sicherheitslücken in ihren IT-Systemen schnell zu schließen und so der äußerst dynamischen Bedrohungslage Herr zu werden.
- Agieren statt reagieren
- Vier Schritte zur wasserdichten IT
Lesen Sie mehr zum Thema
