Die Durchführung eines risikobasierten Programms zur Verwaltung von Sicherheitslücken ist essenziell für die Aufrechterhaltung einer sicheren IT-Umgebung im Unternehmen. In einem früheren Blog-Beitrag mit dem Titel „Wie die Implementierung eines risikobasierten Patch-Managements aktive Exploits priorisiert“ habe ich einen Überblick darüber gegeben, wie Sicherheitslücken priorisiert werden können. Die Optimierung des operativen Aspekts der Sicherung Ihrer Systeme ist für diesen Prozess essenziell.

Die Durchführung von Patch-Prozessen in Ihrem Unternehmen kann kompliziert sein. Auch wenn Sie die Priorität von Sicherheitslücken im Blick haben, müssen Sie Folgendes berücksichtigen:

  • Die Veröffentlichungsfrequenz von Patches.
  • Unterstützung von Richtlinien, um diesen Prozess effektiv zu gestalten.
  • Kampagnen zur Bereitstellung der Updates.
  • Service-Level-Vereinbarungen (SLA) und Überwachung der Compliance.

Das mag nach viel Aufwand klingen – aber ein flexibles System, das geplante Veranstaltungen verwaltet und auch ungeplante Ereignisse berücksichtigen kann, gibt Ihnen die vollständige Kontrolle.

Haben Sie alles unter Kontrolle?

Es gibt einige Aspekte von Patch-Veröffentlichungen, die Sie planen können, und andere, bei denen dies nicht möglich ist.

Nehmen Sie etwa die Veröffentlichungsfrequenz von Sicherheits-Patches. Am Patch Tuesday, dem zweiten Dienstag jedes Monats, versucht Microsoft, alle seine neuesten Updates zu veröffentlichen. Dazu gehören Updates für Betriebssysteme, Office und andere Benutzeranwendungen, Entwicklungstools wie Visual Studio und Cloud-Komponenten in Azure, um nur einige zu nennen.

Der Patch Tuesday, der im Oktober 2023 sein 20-jähriges Jubiläum feierte, ist die Grundlage für viele Patch-Programme und bietet einen Zeitpunkt, an dem alle neuesten Microsoft-Updates und verfügbaren Updates von Drittanbietern verteilt werden. Kein anderer Anbieter hat einen so großen Einfluss auf die Förderung von Patch-Programmen für Unternehmen gehabt – und bis heute ist der monatliche Patch-Zyklus, der auf dem Patch Tuesday basiert, ein Standard in der Branche.

Andere Anbieter haben versucht, diesem Beispiel zu folgen und ihre Updates nach einem bestimmten Zeitplan zu veröffentlichen:

  • Oracle veröffentlicht ein Critical Patch Update einmal pro Quartal.
  • Adobe veröffentlicht seine Updates in der Regel einmal im Monat, oft synchron mit dem Patch Tuesday.
  • Google hat kürzlich damit begonnen, jede Woche ein neues Update zu veröffentlichen.

Die meisten Anbieter veröffentlichen jedoch so schnell und so oft wie möglich Sicherheitsupdates, um sicherzustellen, dass sie Sicherheitslücken so schnell wie möglich beheben. Dies führt zu einem zufälligen und endlosen Strom von Aktualisierungen, die ständig priorisiert und innerhalb eines Unternehmens verteilt werden müssen.

Prozess zur Patch-Verwaltung für Richtlinien und Kampagnen

Um das Chaos der Patch-Veröffentlichungen in den Griff zu bekommen, sind klar definierte Regeln und eine Infrastruktur zu deren Durchsetzung erforderlich. Im Patch-Bereich werden diese in Richtlinien und Kampagnen umgesetzt.

Eine Patch-Richtlinie erfordert eine Vielzahl von Überlegungen, die über die Priorisierung von Sicherheitslücken hinausgehen, darunter die Auswirkungen von Updates auf den Geschäftsbetrieb, die Anwendbarkeit auf verschiedene Systemtypen, der Grad der Kontrolle über die Updates und andere Faktoren.

Die Patch-Richtlinien können dabei je nach Unternehmen völlig unterschiedlich ausfallen. Für einen Server, auf dem kritische Geschäftsanwendungen gehostet werden, umfasst seine Richtlinie eine klar definierte Reihe von Updates unter strenger Konfigurationskontrolle, die nur während eines festgelegten Wartungsfensters durchgeführt werden, und erzwingt nach Abschluss immer einen Neustart, um sicherzustellen, dass das System vollständig aktualisiert ist. Die Patch-Richtlinie für den Laptop eines Marketingspezialisten identifiziert eine Reihe von Anwendungen mit genehmigten Updates, die vorhanden sein können oder auch nicht, und ermöglicht es dem User, Updates zu verschieben und den Laptop dann neu zu starten, wenn es ihm passt.

Kampagnen berücksichtigen diese Richtlinien, bringen aber auch Kontrollmechanism in die unzähligen Patches, die ständig veröffentlicht werden.

Moderne Best Practices für das Patch-Management erfordern häufigere Patches als nur einmal im Monat. Google-Chrome-Patches werden wöchentlich veröffentlicht, und Zero-Day-Patches können jederzeit veröffentlicht werden. Eine monatliche Kampagne führt dazu, dass viele Systeme über längere Zeiträume hinweg Sicherheitslücken aufweisen.

Etablieren Sie drei Arten von Kampagnen

Eine bewährte Vorgehensweise besteht darin, drei Arten von Kampagnen zu erstellen: regelmäßige Wartung, Priority-Updates und kritische Bereitstellungen.

Kampagne zur regelmäßigen Wartung

Kampagnen zur regelmäßigen Wartung erzwingen die standardmäßige monatliche Einführung von Patches, die die meisten Unternehmen heute verwenden. Diese Kampagne umfasst:

  • Erste Tests in einer kontrollierten Umgebung, um sicherzustellen, dass die Patches wie geplant installiert werden.
  • Einführung bei einer größeren Pilotgruppe von Early Adopters, die auf der Suche nach Problemen sind.
  • Einführung in die vordefinierten Gruppen von Produktionssystemen, um die Gesamtverteilung abzuschließen.

Die Patches in einer Wartungskampagne enthalten Sicherheitsupdates, die weniger häufig veröffentlicht werden, wie z. B. die Veröffentlichungen am Microsoft Patch Tuesday, sowie Leistungs- oder Anwendungs-Upgrades. Die Zielsysteme in dieser Kampagne können auch solche sein, die nur über begrenzte Wartungsfenster verfügen und nicht unterbrochen werden können, ohne dass dies erhebliche Auswirkungen auf den Geschäftsbetrieb hat. Die meisten Patches werden höchstwahrscheinlich in die Kampagne für Priority-Updates fallen.

Kampagne für Priority-Updates

Die Kampagne für Priority-Updates zielt darauf ab, Systeme, die ständig neuen Sicherheitslücken ausgesetzt sind, aber häufiger aktualisiert werden können, schnell zu aktualisieren. Benutzersysteme, auf denen Produktivitätsanwendungen und Browser ausgeführt werden, fallen unter diese Kampagne und sind oft dem höchsten Risiko ausgesetzt, da sie Phishing, Malware und Ransomware ausgeliefert sind.

Die mit dieser Kampagne verbundenen Patches haben aufgrund von Sicherheitslücken, die bekanntermaßen ausgenutzt werden, oft höchste Priorität, können aber auch relativ geringe Auswirkungen auf das Geschäft haben und einen Neustart des Browsers oder der Anwendung erfordern. Daher werden die Richtlinien möglicherweise vor ihrer Veröffentlichung einem kürzeren Testzyklus unterzogen und können schneller an größere Gruppen von Systemen verteilt werden, die nicht geschäftskritisch sind, z. B. wenn auf Servern kein Browser installiert ist, auf Laptops im Vertrieb aber schon.

Zero-Day-Response-Kampagne

Die Zero-Day-Response-Kampagne ist für die Notfall-Patch-Bereitstellung vom Typ „Feuerwehreinsatz“ reserviert, die von Unternehmen oder Branchen vorgeschrieben wird und innerhalb kurzer Zeit erfolgen muss. Diese Kampagne hat Vorrang vor allen anderen.

Die Richtlinie für diese Kampagne könnte die Zeit verkürzen oder die Standards zwischen den Gated Rollouts senken – oder sie könnte sie ganz ignorieren, je nachdem, welche Service-Level-Vereinbarung erfüllt werden muss. Das Wichtigste bei Zero-Day-Response-Kampagnen: Es handelt sich immer noch um eine kontrollierte Verteilung von Patches, und alle Aktivitäten werden weiterhin gemeldet, um die Ereignisse der Kampagne bis zum Abschluss genau zu verfolgen.

Die Exposure-Zeit bestimmt die Compliance

Wenn die Compliance anhand vollständig gepatchter Maschinen gemessen wird, sind die meisten Systeme nach dieser Metrik nur für eine begrenzte Anzahl von Stunden pro Monat konform. Obwohl dies technisch korrekt ist, ist dies ein schlechter Indikator, um die Sicherheit des Systems im Laufe der Zeit im Rahmen eines risikobasierten Programms zu zeigen. Die „Exposure-Zeit“ gegenüber einer bestimmten Sicherheitslücke oder einer Gruppe von Sicherheitslücken zu ermitteln, liefert einen besseren Risikoindikator.

Hier ein Beispiel: CVE-2024-4761 wurde in einem Google-Chrome-Update vom 14. Mai als behoben gemeldet, was zufällig der Patch Tuesday im Mai war. Am nächsten Tag wurde dieser Chrome-Patch zu einer Priority-Update-Kampagne hinzugefügt, die eine zweiwöchige Verteilungsperiode auf 500 Systemen in Gruppe 1 und 1.000 Systemen in Gruppe 2 umfasste. Angenommen, die meisten Systeme wurden innerhalb dieses Zeitfensters von zwei Wochen erfolgreich aktualisiert, würde ein Report zeigen, wann jedes System aktualisiert wurde, aber noch wichtiger, wie lange jedes dieser 1.500 Systeme ungepatcht blieb – und somit der Sicherheitslücke ausgesetzt und gefährdet war.

Dies ist ein einfaches Beispiel für eine Sicherheitslücke und einen Patch. Wenn es jedoch mehrere Patches in der Kampagne mit mehreren Sicherheitslücken gäbe, könnten die Informationen aggregiert werden, um eine umfassendere Ansicht der Kampagne zu erhalten. Wenn mehrere Kampagnen im selben Zeitraum durchgeführt wurden, könnte das Ergebnis überlagert oder kombiniert werden, um eine noch genauere Risikobewertung zu erhalten.

Mit diesen Daten können Sie einem externen Prüfer den tatsächlichen Sicherheitsstatus Ihrer Systeme zeigen. Noch wichtiger ist vermutlich, dass Sie die Möglichkeiten haben, die Ergebnisse zu bewerten und die Effektivität Ihres modernen Patch-Managements zu verbessern. An diesem Punkt haben Sie die Kontrolle über das Geschehen – und nicht das Geschehen über Sie.