Risikobasiertes Patch Management bei Schwachstellen

Risikobasiertes Patch Management bei Schwachstellen
Anzeige

Beitrag teilen

Cyberkriminelle warten nicht bis Unternehmen eine Schwachstelle patchen. Der Angriff Erfolg meist schnell und dann wohl auch erwartet. Damit der Faktor Zeit etwas an Gewicht verliert, empfiehlt sich ein risikobasierte Patch Management.

Vom Moment der Veröffentlichung einer Schwachstelle dauert es im Schnitt nur 22 Tage bis zur Entwicklung eines funktionsfähigen Exploits. Auf der Unternehmensseite vergehen allerdings durchschnittlich zwischen 100 und 120 Tage, bis ein verfügbarer Patch umgesetzt wird. Ein Grund für diese Diskrepanz ist sicherlich, dass Unternehmen gegen die bloßen Anzahl an neuen Verwundbarkeiten längst machtlos sind.

Anzeige

Schwachstellen: In 22 Tagen steht ein Exploit bereit

Knapp 22.000 neue Verwundbarkeiten zählte die NVD (National Vulnerability Database) im Jahr 2021, 10 % mehr als im Vorjahr und voraussichtlich 20 % weniger als 2022. Das Compliance-orientierte Patch Management ist diesem Tempo längst nicht mehr gewachsen. Einen grundlegend anderen Ansatz bietet jedoch das risikobasierte Patch Management. Die Grundidee: Anstatt (vergeblich) zu versuchen, alle Schwachstellen zu schließen, werden zunächst die Sicherheitslücken betrachtet, von denen auch ein tatsächliches Risiko für das einzelne Unternehmen ausgeht.

Was wie eine Binsenweisheit klingt, stellt IT-Organisationen in der Umsetzung vor ganz spezielle Herausforderungen. Anhand von 5 Best Practices zeigt der Sicherheitsanbieter Ivanti, wie sie sich lösen lassen und sich in einem Plus an Sicherheit niederschlagen:

Anzeige

1: Die Lage sichten

Man kann nicht schützen, was man nicht kennt. Risikobasiertes Patchmanagement beginnt deshalb immer mit einer Bestandsaufnahme. Welche Ressourcen befinden sich im Unternehmens-Netzwerk? Welche Endbenutzerprofile nutzen diese Assets? Vor der Corona-Pandemie gestaltete sich die Asset-Verwaltung wesentlich unkomplizierter, ein gründlicher Blick durchs Büro hat genügt: Am „Everywhere Workplace“ ist das schlecht möglich. Risikobasiertes Patch Management funktioniert in dieser neuen Situation nur dann, wenn sich alle Assets an jedem Ort erkennen, zuordnen, sichern und warten lassen – auch wenn sie offline sind.

2: Alle Beteiligten auf eine Seite bringen

In vielen Unternehmen ist heute ein Team für Schwachstellenscans und Pen-Tests zuständig, das Sicherheitsteam für das Setzen von Prioritäten und das IT-Team für die Durchführung von Abhilfemaßnahmen. Infolgedessen klafft zwischen den Erkenntnissen der Sicherheit und den Abhilfemaßnahmen der IT teils gravierende Lücken.

Risikobasiertes Patch Management schafft eine Verbindung zwischen den Abteilungen. Es setzt voraus, dass externe Bedrohungen und interne Sicherheitsumgebungen gemeinsam betrachtet werden. Die Basis ist eine Risikoanalyse, die beide Abteilungen so akzeptieren können. Für das Team Security eröffnet sich dann ein Weg, nur den kritischsten Schwachstellen Priorität einzuräumen. Die Kollegen aus den IT-Operations wiederum können sich auf die wichtigen Patches zur richtigen Zeit konzentrieren. So verschafft risikobasiertes Patch Management allen mehr Luft.

3: Patch Management mit SLA untermauern

Die eine Sache ist, dass die Teams für Security- und IT-Operations zusammenarbeiten müssen, um eine Lösung für risikobasiertes Patch Management zu entwickeln. Die andere Sache ist es, sie dazu zu befähigen und zu motivieren. Ein Service Level Agreement (SLA) für das Patch Management zwischen IT-Operations und IT-Security setzt dem Hin und Her ein Ende, indem es die Prozesse für das Patch Management standardisiert. Es legt Ziele auf Abteilungsebene und unternehmensweite Ziele für die Patch-Verwaltung fest, etabliert bewährte Praktiken und Prozesse und setzt Maintenance-Zeitpunkte fest, die alle Beteiligten akzeptieren können.

4: Mit Pilotgruppen Patch Management organisieren

Richtig aufgesetzt, ermöglicht eine Strategie für risikobasiertes Patch Management den IT-Operations- und Security-Teams, schnell zu arbeiten, kritische Schwachstellen in Echtzeit zu identifizieren und sie so schnell wie möglich zu patchen. Bei aller Liebe zum Tempo gilt trotzdem: Ein übereilter Patch birgt die Gefahr, dass geschäftskritische Software abstürzt oder andere Probleme auftreten.

Pilotgruppen aus einem möglichst gut gemischten Unternehmensquerschnitt sollten deshalb Schwachstellen-Patches in einer Live-Umgebung testen, bevor sie vollständig ausgerollt werden. Stellt die Pilotgruppe einen Fehler fest, kann dieser mit minimalen Auswirkungen auf das Unternehmen behoben werden. Die Pilotgruppen sollten im Voraus festgelegt und geschult werden, damit dieser Prozess den Patch-Fortschritt nicht behindert.

5: Automatisierung nutzen

Der Sinn von risikobasiertem Patch Management liegt darin, Schwachstellen effizient und effektiv zu beheben und gleichzeitig die Belastung für die Mitarbeiter zu verringern. Das gilt ganz besonders mit Blick auf die dünne IT-Personaldecke in vielen Unternehmen. Mit Automatisierung lässt sich risikobasiertes Patch Management extrem beschleunigen, denn es analysiert, kontextualisiert und priorisiert Schwachstellen rund um die Uhr – mit der erforderlichen Geschwindigkeit. Automatisiertes Patchmanagement kann gleichermaßen auch einen Patch-Rollout segmentieren, um die Wirksamkeit und die nachgelagerten Auswirkungen zu testen und die Arbeit der Pilotgruppen zu ergänzen.

Falsches Ziel: Anzahl installierter Patches

Ging es beim Management von Cyber-Risiken früher vor allem um die Anzahl aufgespielter Patches, so hat sich dieses Vorgehen mittlerweile überlebt. Die Fähigkeit, Schwachstellen automatisch zu identifizieren, zu priorisieren und sogar zu beheben, ohne dass ein übermäßiges manuelles Eingreifen erforderlich ist, ist ein entscheidender Vorteil in der heutigen Cybersicherheitslandschaft.

Eine intelligente Lösung für das Management von Bedrohungen und Schwachstellen (Threat- & Vulnerability Management – TVM) muss daneben die Möglichkeit bieten, Ergebnisse anzuzeigen, die für IT- und Sicherheitsteams bis hinein in die Führungsetage des Unternehmens verständlich sind. Ein Cybersicherheits-Score wiederum erlaubt, die Effektivität des risikobasierten Ansatzes einer Organisation messbar zu machen. Er vereinfacht damit die Planung und macht rein aktivitätsbasierte Metriken zur Behebung von Schwachstellen überflüssig.

Mehr bei Sophos.com

Passende Artikel zum Thema

Security: Chefs fallen am meisten auf Phishing herein

Während die Entscheider und Chefs ein gehobenes Cyber-Security-Bewusstsein von den Mitarbeitern erwarten, fallen dieses am häufigsten auf Phishing herein, verwenden ➡ Weiterlesen

Chrome: Neue Patches für Sicherheitslücken

Alle Chrome-Nutzer sollten sich Zeit für ein Update auf die Version 109.0.5414.119 /.120 gönnen. Google schließt mit dem Update 4 ➡ Weiterlesen

Herausforderungen in der Cybersecurity

Auch wenn der Jahresbeginn weitgehend ohne spektakuläre Cyberangriffe verlaufen ist, so erwartet Sergej Epp von Palo Alto Networks, alles andere ➡ Weiterlesen

Gefahren-Check: Selbst-Hacking-Tool für Unternehmen

Ein neues, kostenfreies Selbst-Hacking-Tool ermöglicht es Unternehmen, ohne Gefahren das eigene Netzwerk zu hacken und ihre DNS-Sicherheit zu prüfen. EfficientIP ➡ Weiterlesen

Chatbots: Nur Maschinen helfen gehen Maschinen

Chatbots wie ChatGPT sind auf dem Vormarsch: Die künstliche Intelligenz ist der natürlichen Ignoranz gewachsen. Man benötiget zunehmend intelligente Maschinen, ➡ Weiterlesen

Mehr Resilienz durch SaaS-Daten-Backups

Im vergangenen Jahr war die Cybersecurity-Welt mit zahlreichen unterschiedlichen Herausforderungen konfrontiert. Viele Unternehmen mussten sich nicht nur mit den Konsequenzen ➡ Weiterlesen

Freies Entschlüsselungs-Tool für MegaCortex-Ransomware

Den Opfern der MegaCortex-Ransomware-Familie steht ab sofort ein von Bitdefender mitentwickelter Entschlüsselungs-Tool zur Verfügung. Die Betroffenen können mit diesem kostenlosen ➡ Weiterlesen

Wie vermeidet man MFA-Fatigue-Angriffe?

Zu den aktuell größten Cybergefahren zählen Phishing-Angriffe. Fast täglich sind dabei neue Varianten zu beobachten. Derzeit gibt es vor allem ➡ Weiterlesen

<🔎> ff7f00