Beim Patch-Management werden von Anbietern herausgegebene Updates angewendet, um Sicherheitslücken zu schließen und die Leistung von Software und Geräten zu optimieren. Patch-Management wird manchmal als Teil des Schwachstellenmanagements angesehen.
In der Praxis geht es beim Patch-Management darum, die Cybersicherheit mit den betrieblichen Anforderungen des Unternehmens in Einklang zu bringen. Hacker können Schwachstellen in der IT-Umgebung eines Unternehmens ausnutzen, um Cyberangriffe zu starten und Malware zu verbreiten. Anbieter veröffentlichen Updates, sogenannte „Patches“, um diese Schwachstellen zu beheben. Der Patching-Prozess kann jedoch Arbeitsabläufe unterbrechen und Ausfallzeiten für das Unternehmen verursachen. Das Patch-Management zielt darauf ab, diese Ausfallzeiten zu minimieren, indem die Bereitstellung von Patches rationalisiert wird.
Gewinnen Sie mit dem IBM Security X-Force Threat Intelligence Index neue Erkenntnisse, um schneller und effektiver auf Cyberangriffe reagieren zu können.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Das Patch-Management bietet einen zentralisierten Prozess für die Anwendung neuer Patches auf IT-Ressourcen. Diese Patches können die Sicherheit verbessern, die Leistung verbessern und die Produktivität steigern.
Sicherheitsupdates
Sicherheits-Patches behandeln bestimmte Sicherheitsrisiken, häufig durch Behebung einer bestimmten Schwachstelle.
Hacker haben es oft auf Assets ohne Patches abgesehen. Wenn Sicherheitsupdates nicht angewendet werden, kann dies für ein Unternehmen zu Sicherheitsverletzungen führen. So verbreitete sich beispielsweise die Ransomware WannaCry aus dem Jahr 2017 über eine Sicherheitslücke in Microsoft Windows, für die ein Patch veröffentlicht worden war. Cyberkriminelle griffen Netzwerke an, in denen Administratoren es versäumt hatten, den Patch anzuwenden, und infizierten mehr als 200.000 Computer in 150 Ländern.
Aktualisierungen der Funktionen
Einige Patches bieten neue Funktionen für Apps und Geräte. Diese Updates können die Asset-Leistung und die Benutzerproduktivität verbessern.
Fehlerbehebungen
Fehlerbehebungen beheben kleinere Probleme in Hardware oder Software. Normalerweise führen diese Probleme nicht zu Sicherheitsproblemen, haben aber Auswirkungen auf die Anlagenleistung.
Minimierung von Ausfallzeiten
Die meisten Unternehmen finden es unpraktisch, jeden Patch für jeden Vermögenswert herunterzuladen und anzuwenden, sobald er verfügbar ist. Das liegt daran, dass das Patchen Ausfallzeiten erfordert. Benutzer müssen ihre Arbeit unterbrechen, sich abmelden und wichtige Systeme neu starten, um Patches anzuwenden.
Ein formaler Patch-Management-Prozess ermöglicht es Unternehmen, kritische Updates zu priorisieren. Das Unternehmen kann die Vorteile dieser Patches mit minimaler Unterbrechung der Arbeitsabläufe der Mitarbeiter nutzen.
Einhaltung von Vorschriften
Gemäß Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Payment Card Industry Data Security Standard (PCI-DSS) müssen Unternehmen bestimmte Cybersicherheitspraktikenbefolgen. Das Patch-Management kann Unternehmen dabei helfen, kritische Systeme mit diesen Vorschriften konform zu halten.
Die meisten Unternehmen behandeln Patch-Management als kontinuierlichen Lebenszyklus. Das liegt daran, dass die Anbieter regelmäßig neue Patches veröffentlichen. Darüber hinaus können sich die Patching-Anforderungen eines Unternehmens ändern, wenn sich seine IT-Umgebung ändert.
Um die Best Practices für das Patch-Management darzulegen, die Administratoren und Endbenutzer während des gesamten Lebenszyklus befolgen sollten, entwerfen Unternehmen formelle Patch-Management-Richtlinien.
Der Patch-Management-Lebenszyklus umfasst folgende Phasen:
1. Vermögensverwaltung
Um die IT-Ressourcen im Blick zu behalten, erstellen IT- und Sicherheitsteams Bestände an Netzwerkressourcen wie Anwendungen von Drittanbietern, Betriebssystemen, mobilen Geräten sowie standortferne und lokale Endgeräte.
IT-Teams können auch festlegen, welche Hardware- und Softwareversionen Mitarbeiter verwenden können. Diese Asset-Standardisierung kann dazu beitragen, den Patching-Prozess zu vereinfachen, indem sie die Anzahl der verschiedenen Asset-Typen im Netzwerk reduziert. Die Standardisierung kann außerdem verhindern, dass Mitarbeiter unsichere, veraltete oder inkompatible Apps und Geräte verwenden.
2. Patch-Überwachung
Sobald die IT- und Sicherheitsteams über einen vollständigen Asset Bestand verfügen, können sie nach verfügbaren Patches Ausschau halten, den Patch-Status von Assets verfolgen und Assets identifizieren, bei denen Patches fehlen.
3. Patch-Priorisierung
Einige Patches sind wichtiger als andere, insbesondere wenn es um Sicherheitspatches geht. Laut Gartner wurden im Jahr 2021 19.093 neue Schwachstellen gemeldet, von denen Cyberkriminelle jedoch nur 1.554 in freier Wildbahn ausnutzten (Link befindet sich außerhalb von ibm.com).
IT- und Sicherheitsteams nutzen Ressourcen wie Threat Intelligence Feeds, um die kritischsten Schwachstellen in ihren Systemen zu ermitteln. Patches für diese Schwachstellen werden gegenüber weniger wichtigen Updates priorisiert.
Die Priorisierung ist eine der wichtigsten Möglichkeiten, mit denen Patch-Management-Richtlinien darauf abzielen, Ausfallzeiten zu reduzieren. Durch die Einführung wichtiger Patches können IT- und Sicherheitsteams das Netzwerk schützen und gleichzeitig die Zeit, die Ressourcen offline für Patches aufwenden, verkürzen.
4. Patch-Tests
Neue Patches können gelegentlich Probleme verursachen, Integrationen unterbrechen oder die Schwachstellen, die sie beheben sollen, nicht beheben. In Ausnahmefällen können Hacker sogar Patches kapern. Beispielsweise nutzten Cyberkriminelle einen Fehler in der VSA-Plattform von Kaseya (Link befindet sich außerhalb von ibm.com), um unter dem Deckmantel eines legitimen Software-Updates Ransomware an Kunden zu verbreiten.
Durch das Testen von Patches vor der Installation wollen IT- und Sicherheitsteams diese Probleme erkennen und beheben, bevor sie sich auf das gesamte Netzwerk auswirken.
5. Patch-Bereitstellung
„Patch-Bereitstellung“ bezieht sich sowohl darauf, wann als auch wie Patches bereitgestellt werden.
Patching-Fenster werden in der Regel für Zeiten festgelegt, in denen nur wenige oder gar keine Mitarbeiter arbeiten. Die Patch-Releases der Anbieter können sich auch auf die Patch-Zeitpläne auswirken. Beispielsweise veröffentlicht Microsoft Patches in der Regel dienstags, ein Tag, der von einigen IT-Experten als „Patch-Dienstag“ bezeichnet wird.
IT- und Sicherheitsteams können Patches auf Stapel von Assets anwenden, anstatt sie gleichzeitig im gesamten Netzwerk bereitzustellen. Auf diese Weise können einige Mitarbeiter weiterarbeiten, während sich andere zum Patchen abmelden. Das Anwenden von Patches in Gruppen bietet außerdem eine letzte Chance, Probleme zu erkennen, bevor sie das gesamte Netzwerk erreichen.
Die Patchbereitstellung kann auch Pläne zur Überwachung von Assets nach dem Patchen und zum Rückgängigmachen aller Änderungen umfassen, die unerwartete Probleme verursachen.
6. Patch-Dokumentation
Um die Patch-Compliance sicherzustellen, dokumentieren IT- und Sicherheitsteams den Patching-Prozess, einschließlich Testergebnisse, Bereitstellungsergebnisse und aller Assets, die noch gepatcht werden müssen. Diese Dokumentation hält das Asset-Inventar auf dem neuesten Stand und kann im Falle eines Audits die Einhaltung der Cybersicherheitsvorschriften nachweisen.
Da das Patch-Management ein komplexer Lebenszyklus ist, suchen Unternehmen häufig nach Möglichkeiten, das Patching zu optimieren. Einige Unternehmen lagern den Prozess vollständig an Managed Service Provider (MSPs) aus. Unternehmen, die das Patching intern durchführen, verwenden Patch-Management-Software, um einen Großteil des Prozesses zu automatisieren.
Die meisten Patch-Management-Software lassen sich in gängige Betriebssysteme wie Windows, Mac und Linux integrieren. Die Software überwacht Assets auf fehlende und verfügbare Patches. Wenn Patches verfügbar sind, können Patch-Management-Lösungen sie automatisch in Echtzeit oder nach einem festgelegten Zeitplan anwenden. Um Bandbreite zu sparen, laden viele Lösungen Patches auf einen zentralen Server herunter und verteilen sie dort an Netzwerk-Assets. Einige Patch-Management-Softwareprogramme können auch Tests, Dokumentationen und System-Rollbacks automatisieren, wenn ein Patch fehlschlägt.
Patch-Management-Tools können eigenständige Software sein, aber sie werden oft als Teil einer größeren Cybersicherheitslösung bereitgestellt. Viele Lösungen für Schwachstellenmanagement und Attack Surface Management bieten Patch-Management-Funktionen wie Inventarisierung und automatische Patch-Bereitstellung. Viele Endpoint Detection and Response (EDR) -Lösungen können auch automatisch Patches installieren. Einige Unternehmen verwenden Unified Endpoint Management (UEM)-Plattformen, um lokale und Remote-Geräte zu patchen.
Mit der automatisierten Patch-Verwaltung müssen Unternehmen nicht mehr jeden Patch manuell überwachen, genehmigen und anwenden. Dies kann die Anzahl kritischer Patches reduzieren, die nicht angewendet werden, weil Benutzer keinen geeigneten Zeitpunkt für die Installation finden.
Führen Sie ein Programm für das Schwachstellenmanagement ein, das Sicherheitslücken, die Ihre wichtigsten Assets gefährden könnten, identifiziert, priorisiert und deren Behebung verwaltet.
IBM Security QRadar EDR nutzt die außergewöhnlichen Ebenen intelligenter Automatisierung und KI, um bekannte und unbekannte Bedrohungen nahezu in Echtzeit zu erkennen und zu beheben.
Aktivieren und sichern Sie all Ihre mobilen Geräte, Apps und Inhalte mit IBM Security MaaS360 mit Watson UEM Plattform.
Threat Hunting (auch als Cyberthreat Hunting bezeichnet) ist ein proaktiver Ansatz zur Identifizierung bislang unbekannter oder anhaltender, nicht behobener Bedrohungen innerhalb des Netzwerks einer Organisation.
Ein formeller IR-Plan ermöglicht es Cybersicherheitsteams, Schäden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.
Das Bedrohungsmanagement wird von Cybersicherheitsexperten eingesetzt, um Cyberangriffe zu verhindern, Cyberbedrohungen zu erkennen und auf Sicherheitsvorfälle zu reagieren.