Patch Management – Best Practices

18.
Okt
2019
Linux patchen, Patch installation, Patch verteilung, VMware patchen, Windows Patch, Windows Patch Verwaltung
Best Practices für erfolgreiches Patch Management. Was hat IT-Asset Management damit zu tun? Dazu interessante Fakten zu CVE, Häufigkeit von (Sicherheits-) Updates und Exploits.
Das BSI über Patch Management:

»Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind so klein wie möglich zu halten«

Leichter gesagt als getan: Patch Management ist eine umfangreiche und regelmäßig wiederkehrende Aufgabe und gehört einvernehmlich zu den wichtigsten Säulen der IT-Security. Gleichwohl zu den «Lieblingen» in IT-Abteilungen zählt es nicht. In der heutigen Sicherheitslandschaft sind sich die meisten IT- und Sicherheitsexperten der Bedeutung des Windows Patch Managements bewusst. Viele Unternehmen vernachlässigen jedoch den wichtigsten Teil der Patch Verwaltung – das patchen von Windows Anwendungen (d. H. Anwendungen von Drittanbietern) und das patchen des Windows Betriebssystemen. Basierend auf CVSS-Bewertungen (die mit Schwachstellen verbundene Risikobewertung) haben Applikationen von Drittanbietern das höchste Risiko.

Die offensichtliche Schlussfolgerung? Patch Management ist ein Muss und ohne die Integration von Drittanbieter Applikationen und Betriebssystemen wenig wert. Haben Sie alle Applikationen und Betriebssysteme von Microsoft, Google, Oracle, Adobe und Cisco im Einsatz, mussten Sie bis zum 15.10.2019 insgesamt 2647 Sicherheitslücken schließen; das sind ca. 13 pro Arbeitstag. Die Drittanbieter Google, Oracle, Adobe und Cisco haben dabei zusammen einen Anteil von 83%.

Aber nun zu unseren Tipps und Best Practices rund um das patchen:

Nur was Sie kennen, können Sie auch schützen!

Angreifer konzentrieren sich auf die Schwachstellen Ihrer IT. Optimal gepatchte Betriebssysteme und Applikationen sind dementsprechend nicht das primäre Ziel. «Vergessene» und neue Applikationen, gerne auch von Drittanbietern versprechen mehr Erfolg. Wie bereits mehrmals in unseren Beiträgen über den monatlichen Microsoft Patchday erwähnt, sind auch Systeme mit älteren Betriebssystemen ein begehrter Angriffsvektor. Sie erhalten von den Herstellern meistens nur noch Notfall-Patches, die noch dazu manuell heruntergeladen und installiert werden müssen. Scannen Sie deshalb regelmäßig Ihre komplette IT-Infrastruktur auf Änderungen bei Applikationen und Devices. Dadurch erreichen Sie den notwendigen Überblick über Ihre IT-Landschaft. Wenn Sie den Patch-Status aller Anwendungen kennen, können Sie Ihre Sicherheitslage besser beurteilen und feststellen, wie Sie sie verbessern können. Der Patch-Status ist auch dann nützlich, wenn Sie gehackt werden.

Patch Managementlösungen verfügen deshalb meist über IT Asset Management Funktionen, die ein Abbild Ihrer Betriebssysteme, Applikationen und Geräte erzeugen. Natürlich werden Im Patch Management auch alle neuen Patch-Signaturen zeitnah ergänzt. Die Korrelation dieser beiden Informationen ergibt den Patch-Status, zeigt also u.a. an, welche Betriebssysteme und Applikationen nicht mehr up-to-date und damit potenziell angreifbar sind.

Unsere Empfehlung

Scannen Sie wöchentlich Ihr Netzwerk auf neue Applikationen und Geräte und vergessen Sie das Risiko durch Applikationen und Betriebssysteme mit EoL Status nicht.

 

Entwickeln Sie einen Patch-Plan

Der Patch-Tuesday ist für viele Verantwortliche immer der Start einer neuen Patch-Periode. Inzwischen haben sich auch andere Anbieter an den Rhythmus von Microsoft angepasst und veröffentlichen ebenfalls an jedem zweiten Dienstag eines Monats Patches und Sicherheitsupdates. Vergessen Sie aber nicht die Patches und Updates die in der Zeit zwischen den Patchdays veröffentlicht werden. Häufig handelt es sich hierbei um Notfall-Patches. Sollten Sie keine Möglichkeit haben diese Updates zeitnah zu installieren, dann fügen Sie sie zur Patch-Warteschlange hinzu und installieren Sie diese anlässlich des nächsten Patchdays.

Versuchen Sie die Taktung zwischen Patch-Freigabe und der Installation möglichst eng zu halten. Warten Sie nicht bis Sie durch Ihr Sicherheitsteam oder externe Meldungen über aktuelle Exploits informiert werden. Denn nach Bekanntwerden einer Sicherheitslücke dauert es meist nur ein bis zwei Wochen, bis die ersten Schadprogramme dafür im Umlauf sind. Softwarehersteller brauchen für die Freigabe von Sicherheitsupdates allerdings häufig deutlich länger. Das heißt, dass Ihre IT in vielen Fällen eine gewisse Zeit ungeschützt ist. Dieser Umstand liegt nicht in Ihrer Verantwortung! Eine weitere Verzögerung der Patch-Installation aber schon: Durchschnittlich dauert es 9 Monate bis Organisationen Patches und Sicherheitsupdates eingespielt haben.

Dies gilt auch für Windows Applikationen von Drittanbietern, die in der Vergangenheit bei der Patch Installation zu Komplikationen geführt haben. Vielleicht fällt Ihnen in diesem Zusammenhang sofort Java von Oracle ein. Diese Applikationen unberücksichtigt zu lassen, ist wie den «Kopf in den Sand zu stecken». Angreifer verfügen höchstwahrscheinlich bereits über automatisierte Tools, mit denen die Sicherheitsanfälligkeiten in diesen Anwendungen ausgenutzt werden können. Oracle ist bisher in diesem Jahr laut CVE-Details zusammen mit Google, Adobe und Cisco unter den Top 5 der Hersteller mit den meisten eindeutigen Sicherheitslücken (CVE (Was versteht man unter CVE?)). Häufig werden mit einem Sicherheitsupdate gleichzeitig mehrere Sicherheitslücken geschlossen. Trotzdem muss ein durchschnittliches mittelständisches Unternehmen hunderte bis tausende Patches pro Jahr auf alle Server und Endpunkte verteilen.

Unsere Empfehlung

Versuchen Sie alle 14 Tage Sicherheitsupdates in Ihrer IT-Landschaft zu verteilen. Damit sind Sie vielen Exploits einen Schritt voraus. Der Data Breach Investigation Report von Verizon belegt, dass Exploits zwischen 10 und 100 Tage nach Bekanntwerden der Sicherheitslücke verfügbar sind. Um unsere Empfehlung einhalten zu können, ist ein entsprechendes Patch Management aus unserer Sicht unerlässlich.

Testen, priorisieren, installieren

Trotz Zeitdruck darf der Test der Patches in Ihrer Umgebung nicht zu kurz kommen. Nicht jeder Patch kann auf Servern und Clients problemlos installiert werden. Hier ist wieder IT-Asset-Management gefragt: Damit gruppieren Sie ein Abbild Ihrer typischen PCs und unkritischen Server. Auf diesen Testsystemen werden die aktuellen Patches und Sicherheitsupdates installiert. Ist das erfolgreich folgt der Rest, entweder in Gruppen oder nach Standorten. Kritische Server wie z.B. Datenbank-Server werden ausgeschlossen und erst nach Snapshot und Backup manuell gepatcht. Klemmt es irgendwo, dann muss nicht zwangsläufig das Backup wieder zurückgespielt werden. Die meisten Patches bieten ein Rollback an. Damit deinstalliert sich der Patch quasi von selbst.

Die meisten Patches benötigen zur Installation und Aktivierung einen Neustart. Für Workstations ist das kein Problem. Patches und Sicherheitsupdates können dort «silent», das heißt im Hintergrund installiert werden. Die finale Aktivierung erfolgt mit dem nächsten Bootvorgang. Mit Patch Management kann der Bootvorgang auch nach Benachrichtigung der Anwender zu einem bestimmten Zeitpunkt angestoßen werden. Bei Servern ist das ungleich komplizierter. Die Patch Installation muss zwingend außerhalb der typische Bürozeit erfolgen und auch erst nach dem Backup. Da wird das verfügbare Zeitfenster schon mal knapp. Ist die Installation nicht erfolgreich, dann ist das Rollback der Patches vor Arbeitsbeginn notwendig um Unproduktivität zu vermeiden. In der Regel ist also ein Patch Zyklus immer mit Überstunden verbunden. Einer der Gründe warum Patch Management nicht gerade zu den Lieblingsdisziplinen der IT zählt.

Unsere Empfehlung

Safety first: Trotz Notfall-Patch dürfen Sie die Evaluierung von Patches nicht vernachlässigen. Testen Sie die Patches vor deren Verteilung ausführlich. Widmen Sie Ihren wichtigen Servern besonderes Augenmerk und informieren Sie sich über Inkompatibilitäten von Updates.

Fazit:

Was haben patchen und impfen gemeinsam? Beides birgt ein gewisses Risiko, aber ohne diesen Schutz ist das Risiko deutlich höher! Ihre IT befindet sich dauernd in einem «Infektionsgebiet» mit immer mehr Gefahren! Im Unterschied zur Impfung, sind Ihre Systeme nicht 5 oder 10 Jahre durch einen Patch geschützt. Dafür wirken Sicherheitsupdates sofort. Ohne entsprechende Tools wird es schwer werden, die damit verbundenen Aufgaben im vorgegebenen Rhythmus Monat für Monat zu erfüllen. Dieser Blog-Beitrag ist von Ivanti, dem Hersteller der «all-in-one» Lösung für Patch Management unter Windows und Linux übernommen worden.

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This