Fachartikel

Dezentrales Patchmanagement

Traditionelle Tools zum Endpunktmanagement geraten heute schnell an ihre Grenzen: Sie sind ressourcenintensiv und können die Leistung des Netzwerks beeinträchtigen. Werkzeuge auf Basis einer dezentralen Architektur machen es möglich, alle Endpunkte automatisiert zu überwachen, Schwachstellen rasch zu erkennen und diese nahezu in Echtzeit zu beheben. Patches werden hierbei zentral versendet und dann von Client zu Client weiterverteilt. Zugleich lassen sich dato unerkannte Geräte im Netzwerk finden und mit den notwendigen Patches versorgen.
Ein dezentrales Pachtmanagement kann für mehr Performance und Sicherheit sorgen.
Lassen sich Schwachstellen in IT-Systemen nicht umgehend beheben, nutzen Angreifer diese aus, um wertvolle Daten zu stehlen oder zu manipulieren. Um datenschutzkonform zu arbeiten und Sicherheitslücken rechtzeitig zu beheben, geht für Unternehmen kein Weg an einem effizienten Patchmanagement vorbei. Denn das Patchen ohne Patchmanagement ist alles andere als trivial: So müssten Updates für Anwendungen manuell installiert oder von den Herstellerseiten heruntergeladen werden – hier gehen Zeit und Ressourcen verloren, die an anderer Stelle besser aufgehoben wären.

Nur Sichtbares lässt sich patchen
Die Koordination von Patches für Schwachstellen zwischen unterschiedlichen Teams kostet Unternehmen im Schnitt zwölf Tage. Laut SANS-Institut benötigt ein Viertel der Unternehmen mindestens einen Monat, um Server zu patchen. Und damit nicht genug. Wie eine Studie von Tanium zeigt, müssen 80 Prozent der Führungskräfte feststellen, dass bereitgestellte kritische Updates in der Tat nicht auf allen Geräten installiert wurden.

Die Probleme liegen auf der Hand: IT-Administratoren stehen vor der Herausforderung, eine Infrastruktur managen zu müssen, die aus einem Mix aus älteren und neueren Systemen besteht. Sie sind für die Verwaltung einer komplexen und expandierenden Umgebung verantwortlich, die Endbenutzergeräte, Server und Cloudinfrastrukturen umfasst. Darüber hinaus wächst die Anzahl der Endpunkte und der unentdeckten Schwachstellen kontinuierlich und rasant. Hier kommt ein weiteres Problem zum Tragen: Viele Unternehmen nutzen ein ganzes Toolset für die Systemverwaltung, sodass sie, steht eine Patchinstallation an, alle nötigen Informationen erst einmal zusammentragen müssen. Dazu fehlt ihnen ein umfassender Überblick über alle Geräte in ihrer IT-Umgebung, sodass blinde Flecken im Netzwerk entstehen.
Endpunkte müssen bekannt sein
Deshalb sollte zu Beginn des Patchvorgangs bereits bekannt sein, wie viele Endpunkte im Netzwerk vorhanden sind. Einige Systeme für das Management von Updates bieten aufgrund ihrer Plattformbasis darüber hinaus die Möglichkeit, Endpunkte im Netzwerk zu erkennen. Hierzu erhalten bereits bekannte Geräte einen Agenten, der Informationen über das Gerät an sich sowie auf ihm installierte Software sammelt. Darüber hinaus sucht das Gerät mithilfe des Agenten innerhalb seines Subnetzes anhand der MAC- und IP-Adressen nach bis dato unbekannten Geräten. Hierzu werden physische und IP-Adressen, die vergeben sind, aufgelistet und danach diejenigen adressiert, die nicht auftauchen, sondern sich zwischen den bekannten Adressen befinden. Auf diese Weise entdeckte Geräte erhalten einen eigenen Agent und machen mit der Suche weiter.

Die Klassifizierung und das Beheben von Schwachstellen stellen nicht selten Administratoren vor große Herausforderungen. Denn oftmals müssen sie mit Werkzeugen arbeiten, die angesichts der Komplexität der IT-Umgebung an ihre Grenzen stoßen. Einerseits mangelt es ihnen an der nötigen Performance und Flexibilität sowie an der benötigten Skalierbarkeit. Andererseits sind sie sehr ressourcenintensiv und belasten mit ihrem Bandbreitenbedarf den Geschäftsbetrieb, sodass auch das Schwachstellen- und Patchmanagement lahmt.

Patchen auf dezentraler Basis
Das Patchmanagement hat das Ziel, die Verteilung von Patches zu vereinfachen. Das Zeitfenster für das Ausrollen der Patches sollte so klein wie möglich gehalten werden, um vorhandene Ressourcen darauf verwenden zu können, Sicherheitslücken zu suchen, zu klassifizieren und Sicherheitsprobleme möglichst schnell zu beheben. Die Tatsache, dass viele Unternehmen Wochen benötigen, um Schwachstellen zu schließen, nutzen Cyberkriminelle gnadenlos aus.

Patchwerkzeuge auf Basis einer dezentralen Architektur können dieses Problem lösen, denn sie sind in der Lage, Endpunkte umfassend, schnell und zuverlässig zu patchen – ohne den Geschäftsbetrieb durch enormen Bandbreitenbedarf zu behindern. Dank der Automatisierung der Installation neuer Patches und Software-Updates sind Administratoren dazu in der Lage, ihre Workflows effizienter zu gestalten und damit Zeit für dringendere Aufgaben zu gewinnen. Updates können mit minimaler Beeinträchtigung des Netzwerks bereitgestellt werden, die Installation der erforderlichen Patches, Software-Updates und die Wartung des Betriebssystems lässt sich automatisieren und eine umfassende, rasche Patch-Compliance erreichen.

9.12.2020/ln/Christoph Volkmer, VP DACH bei Tanium

Nachrichten

TeamViewer übernimmt Xaleon [20.01.2021]

TeamViewer hat die Übernahme von Xaleon bekanntgegeben, einem österreichischen Startup und Anbieter von Customer-Engagement-Software. Das Kernprodukt von Xaleon ist eine Co-Browsing-Technologie zum Screensharing, die ohne Installation und ohne Übertragung von Nutzerdaten funktioniere. Somit arbeite die Software vollkommen DSGVO-konform. [mehr]

Gemeinsamer 4G-Ausbau [19.01.2021]

Noch im laufenden Jahr wollen die Deutsche Telekom und Telefónica mehrere Hundert so genannte Graue Flecken in der 4G-Netzversorgung für ihre Kunden schließen. An den Standorten möchten die Mobilfunkanbieter dabei auch aktive Netztechnik teilen. Im Gegensatz zu Kooperationen wie Site-Sharing oder dem Betreiber-Abkommen zur Schließung Weißer Flecken sind bei diesem Ansatz keine zweite separate Funktechnik oder zusätzliche Antennen nötig. [mehr]

Mini-PC wieder mit AMD [18.01.2021]

Tipps & Tools

Download der Woche: Start Everywhere [20.01.2021]

Das Startmenü unter Windows hat sich über die Jahre nur mäßig weiterentwickelt und so sind zusätzliche Funktionen willkommen. Die Software "Start Everywhere" ist ein anpassungsfähiges Startmenü für den Schnellzugriff auf Programme, Einstellungen und Dokumente. Wie der Name vermuten lässt, können Sie es an beliebiger Stelle auf dem Bildschirm öffnen und gleichzeitig mit dem Windows-eigenen Menü benutzen. [mehr]

Leichtere Bedienung mit Gnome 40 [19.01.2021]

Ende März ist es soweit: Die Desktopumgebung Gnome 40 für Linux- und Unix-Systeme erblickt das Licht der Welt. Die Entwickler haben in der neuen Version unter anderem die Aktivitätenübersicht angepasst und die Touchscreen-Bedienung verbessert. Die Arbeitsbereiche sind nun horizontal angeordnet und erscheinen in einer Abfolge von links nach rechts. Fenster sind mit App-Symbolen versehen und zeigen bei Mouseover den vollständigen Fensternamen an. [mehr]

Gesichtsmaske mit Bild [17.01.2021]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen