Die starke Zunahme ausgeklügelter Angriffe und der Mangel an qualifizierten Sicherheitsfachkräften veranlasst viele Unternehmen, sich auf die Grundlagen zu besinnen und ihre Prozesse für Schwachstellen- und Patchmanagement zu überprüfen. Dieser Ansatz ist definitiv ein Gewinn, denn wenn Schwachstellen eingedämmt werden, stehen den Angreifern weniger Ziele zur Verfügung.
Um die Angriffsfläche richtig einschätzen zu können, müssen Unternehmen wichtige Fähigkeiten weiterentwickeln. Zum Beispiel müssen sie sich eine umfassendere Übersicht über ihre IT-Landschaft verschaffen und in der Lage sein, Schwachstellen besser zu erkennen, zu priorisieren und zu beseitigen. Qualys hat seinen Kunden in den letzten beiden Jahrzehnten geholfen, diese Fähigkeiten entscheidend zu verstärken.
Eine Möglichkeit, wie die Herausforderungen des Patchmanagements durch integrierte Präventionsmaßnahmen zu bewältigen sind: durch die Cloud–Anwendung Patchmanagement.
Priorisierte Problembehebung mit Qualys-Threat-Protection
Die Cloud-Anwendung Qualys-Threat-Protection nutzt Informationen zu Cyberbedrohungen, um Risiken auf die potenziell betroffenen Assets abzubilden. So hilft Threat-Protection Unternehmen, bei der Beseitigung von Schwachstellen die richtigen Prioritäten zu setzen.
Threat-Protection ermöglicht Unternehmen auch, das Risiko für ein bestimmtes Asset anhand von Bedrohungsindikatoren zu bewerten. So lässt sich zum Beispiel erkennen, wie leicht ein anfälliges Asset ausgenutzt werden kann oder ob die Angriffsfläche Seitwärtsbewegungen ermöglichen würde, wenn das Asset kompromittiert wird. Die Teams können auch aussagekräftige Dashboards erstellen, um den Priorisierungsprozess zu überwachen.
Herausforderungen beim Patchmanagement
Während Threat-Protection wesentlich dazu beiträgt, die Angriffsoberfläche zu verstehen und Maßnahmen zu priorisieren, bleibt das große Problem das Tempo, mit dem die Schwachstellen beseitigt werden müssen. Das Patchmanagement in Unternehmen ist seit langem ein schwieriger Prozess. Das liegt an zahlreichen Herausforderungen, wie etwa:
- Schwachstellen und Patches manuell zu korrelieren, was zu Verzögerungen bei KPIs wie der Mean-Time-to-Remediate (Durchschnittszeit zur Beseitigung) führt. Herausfinden zu müssen, welche KB eine bestimmte CVE beseitigt, ist eine mühsame Aufgabe und anfällig für menschliche Fehler.
- Auf Schwachstellenmanagement-Berichte warten zu müssen, um zu erfahren, ob Patches erfolgreich eingespielt und sonstige erforderliche Maßnahmen abgeschlossen wurden, wie etwa ein Neustart der betroffenen Systeme. Da diese Berichte wöchentlich oder noch seltener erstellt werden, entsteht eine riskante Zeitlücke, in der Schwachstellen weiter existieren können.
- Schwierigkeiten beim Patchen entfernter Systeme, die sich nur gelegentlich mit dem Unternehmensnetzwerk verbinden. Selbst wenn ein VPN aktiv ist, kann das Patchen durch eine schlechte Verbindung erschwert werden, was dazu führen kann, dass es selten geschieht.
- Begrenzte Abdeckung von Drittanbieter-Applikationen in PM-Tools, die oft nur für die Produkte eines einzigen Anbieters konzipiert sind. Wenn Kunden beispielsweise Tools wie SCCM oder WSUS einsetzen, kommen sie mit Microsoft-Patches gut zurecht, doch sobald Drittanbieter-Software aktualisiert werden muss, gibt es Probleme.
Neben diesen Herausforderungen haben die IT-Sicherheitsteams auch eine Wunschliste mit Funktionalitäten im Zusammenhang mit dem Patchmanagement. Zum Beispiel hätten sie gerne die Möglichkeit:
- die einfache Frage „Welcher Patch beseitigt diese CVE in mehreren Windows-Versionen?“ zu beantworten, ohne Zeit damit verschwenden zu müssen, Schwachstellen-Details und Patch-Daten manuell zu korrelieren;
- die Implementierung von Patches und ihre Effektivität über alle Endpunkte hinweg auf einem zentralen, anpassbaren Dashboard zu verfolgen. Leider muss aber oft erst ein Systemintegrator beauftragt werden, ein solches Dashboard auf externen Tools wie etwa SIEM-Systemen zu erstellen;
- wenn Notfall-Patches installiert werden müssen, alle mobilen und Remote-Mitarbeiter erreichen zu können, sofern sie über eine Internetverbindung verfügen – gleich, wo sie sich gerade befinden;
- die wichtigsten Angriffsflächen abdecken zu können, die oft aus den Browsern, Adobe-Software, häufig verwendeter Produktivitätssoftware etc. besteht;
- sicherzustellen, dass eine einzige Lösung alle gängigen Betriebssystemplattformen abdeckt.
So hilft Qualys
„Bei der Entwicklung der Anwendung Patchmanagement, berücksichtigten wir die oben beschriebenen Anwendungsfälle und konzentrierten uns gleichzeitig darauf, die Effizienz und Effektivität der Arbeitsabläufe zu verbessern. Wir nutzten dazu die Qualys Cloud-Agenten, die nur einen minimalen Footprint haben und von unseren Kunden sehr gut angenommen werden – 18 Millionen sind bereits im Einsatz. Mithilfe der Cloud-Agenten ermöglichen wir die Verarbeitung der Daten, die benötigt werden, um die Schwachstellen eines Assets zu beseitigen.
Die Kommunikation zwischen dem Cloud-Agenten und der Qualys Cloud-Plattform befähigt einen Endpunkt – Client oder Server –, einen Patch von der Qualys-Cloud-Plattform, vom Content-Delivery-Network des Anbieters oder aus einem lokalen Repository abzurufen. Dabei spielt es keine Rolle, wo sich der Benutzer befindet, solange er nur eine Internetverbindung hat. Dies gewährleistet die nötige Flexibilität und Effizienz, um den Patch auf dem Endpunkt bereitstellen zu können.
Sobald der Patch installiert ist, überprüfen andere integrierte Anwendungen von Qualys auf derselben Cloud-Agent-Plattform – zum Beispiel Vulnerability-Management – unverzüglich die Wirksamkeit des Patches und benachrichtigen die Qualys-Cloud-Plattform, dass die Sicherheitslücke erfolgreich geschlossen wurde. Diese letzte Maßnahme macht die Ergebnisse der Schwachstellenbeseitigung direkt im Überwachungsprozess sichtbar und erhöht dadurch die betriebliche Effizienz.
Die Lösung unterstützt auch Patch-Rollbacks sowie die Deinstallation von Patches.
Das Patchmanagement ist jetzt allgemein verfügbar und unterstützt Windows – einschließlich uralter Versionen wie Windows.XP und Windows-2003. Das Unternehmen plant, noch in diesem Jahr auch MacOS und Linux zu unterstützen und damit den funktionalen und geschäftlichen Wert der Lösung weiter zu erhöhen. Ebenfalls auf der Roadmap steht eine API, die eine transparente Orchestrierung mit anderen Systemen und Prozessen ermöglicht. Zudem sind für die Zukunft Features wie rollenbasierte Zugriffskontrolle, Automatisierungsregeln und Freigabe-Workflows vorgesehen.
Und schließlich ist einer der großen Vorteile bei Qualys die betriebliche Effizienz, die wir durch die Bereitstellung integrierter Anwendungen für Asset-Inventarisierung, Schwachstellenmanagement, priorisierte Schwachstellenbeseitigung und Patchmanagement ermöglichen. Auf diese Weise werden nicht nur die Ressourcen wesentlich weniger belastet – die Integration gewährleistet auch die nötige Geschwindigkeit und Agilität für die Herausforderungen, die Unternehmen im Zuge der digitalen Transformationen bewältigen müssen.“
Von Marco Rottigni ist Chief Technical Security Officer bei Qualys
#Netzpalaver #Qualys
