Das Patch-Management-Problem – und wie es sich lösen lässt

Die Beziehung unserer Gesellschaft zur digitalen Welt bringt eine Reihe von Vorteilen mit sich, die jedoch auch mit Vorbehalten verbunden sind. Cloud-Computing bringt Flexibilität und Kosteneffizienz, macht die Dinge aber auch komplexer. Home-Office hat einerseits bewirkt, dass die Mitarbeiter während der Pandemie sicher waren und jetzt flexibel sind, andererseits hat sie die Verwaltung der Schatten-IT erschwert. Erhebliche geschäftliche Vorteile gehen hier einher mit wesentlich mehr Verantwortung und Arbeitsbelastung für IT- und Sicherheitsteams.

Mehr Schatten-IT und erhöhte Komplexität sind geradezu eine Einladung an die Bedrohungsakteure, und so wächst die Angriffsfläche in Unternehmen und Institutionen. Teilnehmer einer Umfrage von PwC antworteten auf die Frage nach den wichtigsten negativen Auswirkungen der IT-Komplexität insbesondere die Beeinträchtigung der Fähigkeit, sich von einem Cyberangriff zu erholen. Cloud-Migrationen führen dazu, dass Legacy-Lösungen mit einem Bein in der Cloud und mit dem anderen im Unternehmen stehen, und das erschwert es, Schwachstellen zu ermitteln, zu klassifizieren, zu priorisieren und zu beheben.

Unternehmen haben weltweit zu kämpfen, weil sowohl die Zahl der Angriffe als auch die der eingesetzten Tools exponentiell steigt, während der Personalmangel in der IT einfach nicht verschwinden will. Das Problem lässt sich so auf den Punkt bringen: Lösungsmüdigkeit trifft auf isolierte Teams. Allzu oft wird eine riesige Auswahl an cloudbasierten, lokalen und Work-from-Home-Tools stückchenweise von verschiedensten Abteilungen verwaltet, die sich auf die Bereiche IT und Sicherheit verteilen und nicht zusammenarbeiten. In dieser chaotischen Umgebung wüten Bedrohungen, die ausgefeilter und zahlreicher sind als je zuvor, was die Problembehebungszeiten verlängert.

Unternehmen brauchen mehr Agilität in der IT-Sicherheit, damit die Threat-Hunter auch tatsächlich auf die Jagd gehen können. Stattdessen stecken jedoch viele Analytiker in einer Tretmühle fest, die darin besteht, ein paar Fehlalarme zu untersuchen und gleichzeitig zu versuchen, die Pflichtübungen wie das Patch-Management zu schaffen.

 

Das Patch-Management: ein idealer Kandidat für Automatisierung

Ein Ausweg wäre, die Sicherheitsteams von einigen alltäglichen Aufgaben zu entlasten, wie etwa dem Patch-Management. Die Verwaltung von Patches ist ein notwendiger Bestandteil der IT-Sicherheitsaufgaben. Die globalen Zahlen zeigen uns jedoch, dass unsere Gegner Sicherheitslücken schneller ausnutzen, als diese geflickt werden können. Laut dem jüngsten „Verizon Data Breach Investigations Report“ ist die Zahl der Ransomware-Angriffe von 2020 bis 2021 stärker gestiegen als in den letzten fünf Jahren insgesamt. Und nach Daten von Mandiant erreichten die Zero-Day-Exploits 2021 ein Rekordhoch und nahmen um mehr als das Doppelte gegenüber dem Jahr 2020 zu, in dem es keinen großen Anstieg gegenüber 2019 gegeben hatte. Zudem reagieren unsere Gegner auch schneller als wir. Die Zeit, bis ein Exploit zur Waffe gemacht wird, ist im Zeitraum von 2018 bis 2022 von fast einem Jahr (352 Tage) auf etwas mehr als eine Woche (9 Tage) gesunken – die Problembehebungszeiten sind dagegen länger geworden. Das ist ein Geschäftsrisiko, denn es ist schwer vorstellbar, dass es sich irgendein Unternehmen in der digitalen Wirtschaft leisten kann, tagelang offline zu sein.

Die schlichte Wahrheit ist: Sofern größere Unternehmen nicht über wahre Heerscharen von Spezialisten für das Patch-Management verfügen, können sie nicht darauf hoffen, ihre Infrastrukturen in dem Tempo zu patchen, in dem Schwachstellen derzeit aufgedeckt und ausgenutzt werden. Und kleinere Unternehmen müssen zwar weniger Patches verwalten, haben aber vielleicht trotzdem nicht das nötige Personal. Zumal die Prozesse zur Problembehebung nicht immer unkompliziert sind: In manchen Fällen muss sowohl ein Patch installiert als auch eine Konfiguration geändert werden. Wenn wir dann noch einrechnen, dass jeder Patch sorgfältig auf seine betrieblichen Auswirkungen geprüft werden sollte, bevor er live geht, wird das Problem offensichtlich.

Das Patch-Management muss neu gedacht werden. Es muss automatisiert werden, aber so, dass die Kontrolle in den Händen der IT- und Sicherheitsteams bleibt. Beginnen sollten Unternehmen mit der Priorisierung. Es ist wichtig, sich vor Augen zu führen, dass nicht jede Schwachstelle tatsächlich gepatcht werden muss. Patch-Management-Plattformen müssen die nötige Flexibilität besitzen, um Patches bereitzustellen, Konfigurationsänderungen vorzunehmen und Anwendungen von Drittanbietern zu aktualisieren, gleichzeitig aber ausreichend detaillierte Kontrollmöglichkeiten bieten, damit geprüft werden kann, ob ein Patch überhaupt notwendig ist.

 

Der Idealfall

Die ideale Lösung, nach der Sicherheitsverantwortliche Ausschau halten sollten, bietet einen hohen Automatisierungsgrad, selbst bei den komplexesten Patch-Szenarien. Die Funktionen zur Orchestrierung von Richtlinien sollten die betriebliche Effizienz steigern und die Reaktionszeiten verkürzen, statt neue Probleme zu schaffen. Die Unternehmen müssen die Möglichkeit haben, einen risikobasierten Ansatz zu verfolgen, bei dem sie ihre Kenntnisse über die speziellen geschäftlichen Anforderungen ihres Unternehmens auf die Priorisierung der Schwachstellen und Patches anwenden. Dabei sollten sich die IT-Sicherheits- und Risikomanager fragen, welche Bedrohungen das größte Risiko für ihr spezifisches Betriebsmodell darstellen, ausgehend von ihrer Branche, ihrer IT-Umgebung und anderen Faktoren. Statt fieberhaft sämtliche bekannt gegebenen Schwachstellen zu patchen, könnte es eventuell schon ausreichen, sich um die Exploits zu kümmern, die von Bedrohungsakteuren aktuell genutzt werden. Eine fortschrittliche Patch-Management-Lösung wird die Möglichkeit bieten, in jede Analyse externe Threat-Feeds einzubeziehen.

Und schließlich sollten die Sicherheitsverantwortlichen mit den Leitern der IT-Abteilungen zusammenarbeiten, um die Prioritäten abzustimmen und die Richtlinien zu vereinheitlichen. Die besten Sicherheitsergebnisse beginnen mit einheitlichen Daten – einer „einzigen Quelle der Wahrheit“ – zu den Assets und ihren Schwachstellen. Ohne diesen Schritt ist keine zuverlässige Erkennung, Bewertung, Priorisierung oder Abhilfe möglich. Wird dieser Datenabgleich korrekt ausgeführt, ermöglicht er allen Beteiligten, an einem Strang zu ziehen. So können die Ressourcen effizienter genutzt, die Kosten gesenkt und die Anfälligkeitszeiten verkürzt werden. Zusammengenommen werden diese Vorteile das Risikoprofil verbessern.

Natürlich werden die Angreifer weiterhin auf der Lauer liegen, doch eine 360-Grad-Sicht auf die IT-Umgebung, unterstützt durch ein einheitliches Datenmodell und Echtzeit-Dashboards, die sich am Geschäftsrisiko orientieren statt am Common-Vulnerability-Scoring-System (CVSS), schaffen eine gewisse Ruhe. Ruhe ist das Gegenteil von Chaos, und wenn die Sicherheitsverantwortlichen die Komplexität in den Griff bekommen und die Routineaufgaben automatisiert haben, werden ihre Teams genügend Ruhe haben, um erfolgreichere Threat-Hunter zu werden.

Von Tarek Naja, Solutions Architect, Qualys

#Qualys