Dezentrales Patchmanagement

Lesezeit
2 Minuten
Bis jetzt gelesen

Dezentrales Patchmanagement

09.12.2020 - 14:00
Veröffentlicht in:
Traditionelle Tools zum Endpunktmanagement geraten heute schnell an ihre Grenzen: Sie sind ressourcenintensiv und können die Leistung des Netzwerks beeinträchtigen. Werkzeuge auf Basis einer dezentralen Architektur machen es möglich, alle Endpunkte automatisiert zu überwachen, Schwachstellen rasch zu erkennen und diese nahezu in Echtzeit zu beheben. Patches werden hierbei zentral versendet und dann von Client zu Client weiterverteilt. Zugleich lassen sich dato unerkannte Geräte im Netzwerk finden und mit den notwendigen Patches versorgen.
Lassen sich Schwachstellen in IT-Systemen nicht umgehend beheben, nutzen Angreifer diese aus, um wertvolle Daten zu stehlen oder zu manipulieren. Um datenschutzkonform zu arbeiten und Sicherheitslücken rechtzeitig zu beheben, geht für Unternehmen kein Weg an einem effizienten Patchmanagement vorbei. Denn das Patchen ohne Patchmanagement ist alles andere als trivial: So müssten Updates für Anwendungen manuell installiert oder von den Herstellerseiten heruntergeladen werden – hier gehen Zeit und Ressourcen verloren, die an anderer Stelle besser aufgehoben wären.

Nur Sichtbares lässt sich patchen
Die Koordination von Patches für Schwachstellen zwischen unterschiedlichen Teams kostet Unternehmen im Schnitt zwölf Tage. Laut SANS-Institut benötigt ein Viertel der Unternehmen mindestens einen Monat, um Server zu patchen. Und damit nicht genug. Wie eine Studie von Tanium zeigt, müssen 80 Prozent der Führungskräfte feststellen, dass bereitgestellte kritische Updates in der Tat nicht auf allen Geräten installiert wurden.

Die Probleme liegen auf der Hand: IT-Administratoren stehen vor der Herausforderung, eine Infrastruktur managen zu müssen, die aus einem Mix aus älteren und neueren Systemen besteht. Sie sind für die Verwaltung einer komplexen und expandierenden Umgebung verantwortlich, die Endbenutzergeräte, Server und Cloudinfrastrukturen umfasst. Darüber hinaus wächst die Anzahl der Endpunkte und der unentdeckten Schwachstellen kontinuierlich und rasant. Hier kommt ein weiteres Problem zum Tragen: Viele Unternehmen nutzen ein ganzes Toolset für die Systemverwaltung, sodass sie, steht eine Patchinstallation an, alle nötigen Informationen erst einmal zusammentragen müssen. Dazu fehlt ihnen ein umfassender Überblick über alle Geräte in ihrer IT-Umgebung, sodass blinde Flecken im Netzwerk entstehen.

Endpunkte müssen bekannt sein
Deshalb sollte zu Beginn des Patchvorgangs bereits bekannt sein, wie viele Endpunkte im Netzwerk vorhanden sind. Einige Systeme für das Management von Updates bieten aufgrund ihrer Plattformbasis darüber hinaus die Möglichkeit, Endpunkte im Netzwerk zu erkennen. Hierzu erhalten bereits bekannte Geräte einen Agenten, der Informationen über das Gerät an sich sowie auf ihm installierte Software sammelt. Darüber hinaus sucht das Gerät mithilfe des Agenten innerhalb seines Subnetzes anhand der MAC- und IP-Adressen nach bis dato unbekannten Geräten. Hierzu werden physische und IP-Adressen, die vergeben sind, aufgelistet und danach diejenigen adressiert, die nicht auftauchen, sondern sich zwischen den bekannten Adressen befinden. Auf diese Weise entdeckte Geräte erhalten einen eigenen Agent und machen mit der Suche weiter.

Die Klassifizierung und das Beheben von Schwachstellen stellen nicht selten Administratoren vor große Herausforderungen. Denn oftmals müssen sie mit Werkzeugen arbeiten, die angesichts der Komplexität der IT-Umgebung an ihre Grenzen stoßen. Einerseits mangelt es ihnen an der nötigen Performance und Flexibilität sowie an der benötigten Skalierbarkeit. Andererseits sind sie sehr ressourcenintensiv und belasten mit ihrem Bandbreitenbedarf den Geschäftsbetrieb, sodass auch das Schwachstellen- und Patchmanagement lahmt.

Patchen auf dezentraler Basis
Das Patchmanagement hat das Ziel, die Verteilung von Patches zu vereinfachen. Das Zeitfenster für das Ausrollen der Patches sollte so klein wie möglich gehalten werden, um vorhandene Ressourcen darauf verwenden zu können, Sicherheitslücken zu suchen, zu klassifizieren und Sicherheitsprobleme möglichst schnell zu beheben. Die Tatsache, dass viele Unternehmen Wochen benötigen, um Schwachstellen zu schließen, nutzen Cyberkriminelle gnadenlos aus.

Patchwerkzeuge auf Basis einer dezentralen Architektur können dieses Problem lösen, denn sie sind in der Lage, Endpunkte umfassend, schnell und zuverlässig zu patchen – ohne den Geschäftsbetrieb durch enormen Bandbreitenbedarf zu behindern. Dank der Automatisierung der Installation neuer Patches und Software-Updates sind Administratoren dazu in der Lage, ihre Workflows effizienter zu gestalten und damit Zeit für dringendere Aufgaben zu gewinnen. Updates können mit minimaler Beeinträchtigung des Netzwerks bereitgestellt werden, die Installation der erforderlichen Patches, Software-Updates und die Wartung des Betriebssystems lässt sich automatisieren und eine umfassende, rasche Patch-Compliance erreichen.



ln/Christoph Volkmer, VP DACH bei Tanium

Ähnliche Beiträge

Datensicherheit in Zeiten von Quantum Computing

Quantencomputer machen klassische Verschlüsselungsverfahren in absehbarer Zeit obsolet. Daher müssen Unternehmen und öffentliche Einrichtungen bereits heute Vorkehrungen treffen, um die Sicherheit ihrer Daten und IoT-Systeme zu gewährleisten. Der Beitrag erklärt, welche Maßnahmen dafür in Betracht kommen. Dazu zählt der Einsatz einer Post-Quantum-Verschlüsselung. Wichtig sind außerdem die lückenlose Erfassung geschäftskritischer Daten und der Aufbau von Quantencomputer-Know-how.

Seite 2 - Funktionale SAP-Berechtigungskonzepte

Drei Szenarien für die Einführung von SAP-Berechtigungskonzepten
Genauso individuell wie jedes einzelne Unternehmen sind auch ihre SAP-Berechtigungskonzepte und deren Implementierung beziehungsweise Optimierung. Der eine Königsweg ist demnach ein Mythos. Die folgenden drei Szenarien zeigen daher beispielhaft die vielfältigen Wege hinsichtlich SAP-Berechtigungskonzepten auf:

Szenario Nr. 1: Zukunftsfähig aufstellen mit S/4HANA