Fachartikel

Dezentrales Patchmanagement

Traditionelle Tools zum Endpunktmanagement geraten heute schnell an ihre Grenzen: Sie sind ressourcenintensiv und können die Leistung des Netzwerks beeinträchtigen. Werkzeuge auf Basis einer dezentralen Architektur machen es möglich, alle Endpunkte automatisiert zu überwachen, Schwachstellen rasch zu erkennen und diese nahezu in Echtzeit zu beheben. Patches werden hierbei zentral versendet und dann von Client zu Client weiterverteilt. Zugleich lassen sich dato unerkannte Geräte im Netzwerk finden und mit den notwendigen Patches versorgen.
Ein dezentrales Pachtmanagement kann für mehr Performance und Sicherheit sorgen.
Lassen sich Schwachstellen in IT-Systemen nicht umgehend beheben, nutzen Angreifer diese aus, um wertvolle Daten zu stehlen oder zu manipulieren. Um datenschutzkonform zu arbeiten und Sicherheitslücken rechtzeitig zu beheben, geht für Unternehmen kein Weg an einem effizienten Patchmanagement vorbei. Denn das Patchen ohne Patchmanagement ist alles andere als trivial: So müssten Updates für Anwendungen manuell installiert oder von den Herstellerseiten heruntergeladen werden – hier gehen Zeit und Ressourcen verloren, die an anderer Stelle besser aufgehoben wären.

Nur Sichtbares lässt sich patchen
Die Koordination von Patches für Schwachstellen zwischen unterschiedlichen Teams kostet Unternehmen im Schnitt zwölf Tage. Laut SANS-Institut benötigt ein Viertel der Unternehmen mindestens einen Monat, um Server zu patchen. Und damit nicht genug. Wie eine Studie von Tanium zeigt, müssen 80 Prozent der Führungskräfte feststellen, dass bereitgestellte kritische Updates in der Tat nicht auf allen Geräten installiert wurden.

Die Probleme liegen auf der Hand: IT-Administratoren stehen vor der Herausforderung, eine Infrastruktur managen zu müssen, die aus einem Mix aus älteren und neueren Systemen besteht. Sie sind für die Verwaltung einer komplexen und expandierenden Umgebung verantwortlich, die Endbenutzergeräte, Server und Cloudinfrastrukturen umfasst. Darüber hinaus wächst die Anzahl der Endpunkte und der unentdeckten Schwachstellen kontinuierlich und rasant. Hier kommt ein weiteres Problem zum Tragen: Viele Unternehmen nutzen ein ganzes Toolset für die Systemverwaltung, sodass sie, steht eine Patchinstallation an, alle nötigen Informationen erst einmal zusammentragen müssen. Dazu fehlt ihnen ein umfassender Überblick über alle Geräte in ihrer IT-Umgebung, sodass blinde Flecken im Netzwerk entstehen.
Endpunkte müssen bekannt sein
Deshalb sollte zu Beginn des Patchvorgangs bereits bekannt sein, wie viele Endpunkte im Netzwerk vorhanden sind. Einige Systeme für das Management von Updates bieten aufgrund ihrer Plattformbasis darüber hinaus die Möglichkeit, Endpunkte im Netzwerk zu erkennen. Hierzu erhalten bereits bekannte Geräte einen Agenten, der Informationen über das Gerät an sich sowie auf ihm installierte Software sammelt. Darüber hinaus sucht das Gerät mithilfe des Agenten innerhalb seines Subnetzes anhand der MAC- und IP-Adressen nach bis dato unbekannten Geräten. Hierzu werden physische und IP-Adressen, die vergeben sind, aufgelistet und danach diejenigen adressiert, die nicht auftauchen, sondern sich zwischen den bekannten Adressen befinden. Auf diese Weise entdeckte Geräte erhalten einen eigenen Agent und machen mit der Suche weiter.

Die Klassifizierung und das Beheben von Schwachstellen stellen nicht selten Administratoren vor große Herausforderungen. Denn oftmals müssen sie mit Werkzeugen arbeiten, die angesichts der Komplexität der IT-Umgebung an ihre Grenzen stoßen. Einerseits mangelt es ihnen an der nötigen Performance und Flexibilität sowie an der benötigten Skalierbarkeit. Andererseits sind sie sehr ressourcenintensiv und belasten mit ihrem Bandbreitenbedarf den Geschäftsbetrieb, sodass auch das Schwachstellen- und Patchmanagement lahmt.

Patchen auf dezentraler Basis
Das Patchmanagement hat das Ziel, die Verteilung von Patches zu vereinfachen. Das Zeitfenster für das Ausrollen der Patches sollte so klein wie möglich gehalten werden, um vorhandene Ressourcen darauf verwenden zu können, Sicherheitslücken zu suchen, zu klassifizieren und Sicherheitsprobleme möglichst schnell zu beheben. Die Tatsache, dass viele Unternehmen Wochen benötigen, um Schwachstellen zu schließen, nutzen Cyberkriminelle gnadenlos aus.

Patchwerkzeuge auf Basis einer dezentralen Architektur können dieses Problem lösen, denn sie sind in der Lage, Endpunkte umfassend, schnell und zuverlässig zu patchen – ohne den Geschäftsbetrieb durch enormen Bandbreitenbedarf zu behindern. Dank der Automatisierung der Installation neuer Patches und Software-Updates sind Administratoren dazu in der Lage, ihre Workflows effizienter zu gestalten und damit Zeit für dringendere Aufgaben zu gewinnen. Updates können mit minimaler Beeinträchtigung des Netzwerks bereitgestellt werden, die Installation der erforderlichen Patches, Software-Updates und die Wartung des Betriebssystems lässt sich automatisieren und eine umfassende, rasche Patch-Compliance erreichen.

9.12.2020/ln/Christoph Volkmer, VP DACH bei Tanium

Nachrichten

Schutz digitaler Identitäten im Home Office [23.09.2021]

Wie eine in der letzten Woche erschienene Studie des Kriminologischen Forschungsinstituts Niedersachsen zeigt, wirkt sich die aktuelle Pandemie und die vermehrte Nutzung von Remote Work häufig negativ auf die IT-Sicherheit in Unternehmen aus. 60 Prozent der Befragten an, dass sie innerhalb eines Jahres auf mindestens einen Cyberangriff reagieren mussten. [mehr]

Längerer Support für Ubuntu-LTS-Versionen [21.09.2021]

Canonical verlängert den Lebenszyklus von Ubuntu 14.04 LTS "Trusty Tahr" und 16.04 LTS "Xenial Xeru" um zwei auf insgesamt zehn Jahre. Diese erweiterte Extended-Security-Maintenance-Phase soll Unternehmen eine sichere und wartungsarme Infrastruktur mit Sicherheitsupdates und Kernel-Livepatches ermöglichen. [mehr]

Tipps & Tools

Mein erster Laptop [25.09.2021]

Wer im Home Office arbeitet und kleine Kinder zuhause hat, kennt die schwierige Balance zwischen Konferenzschaltung und gleichzeitig Aufmerksamkeit schenken. Eine gute Lösung scheint hier das Holz-Notebook "My First Computer" zu sein. Mit dem altersgerechten Laptop werden garantiert keine Daten gelöscht oder Tastaturen auseinandergebaut. [mehr]

Download der Woche: Power Automate Desktop [22.09.2021]

Wenn Sie im Programmieren nicht so versiert sind, zur Arbeitserleichterung aber dennoch bestimmte Abläufe wiederholen wollen, sollten sie sich das kostenfreie Microsoft-Tool "Power Automate Desktop" genauer ansehen. Es zeichnet Ihre Aktionen als sogenannte Flows auf und kann sie später für eine Automatisierung jederzeit wieder abspielen. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen