Fachartikel

Dezentrales Patchmanagement

Traditionelle Tools zum Endpunktmanagement geraten heute schnell an ihre Grenzen: Sie sind ressourcenintensiv und können die Leistung des Netzwerks beeinträchtigen. Werkzeuge auf Basis einer dezentralen Architektur machen es möglich, alle Endpunkte automatisiert zu überwachen, Schwachstellen rasch zu erkennen und diese nahezu in Echtzeit zu beheben. Patches werden hierbei zentral versendet und dann von Client zu Client weiterverteilt. Zugleich lassen sich dato unerkannte Geräte im Netzwerk finden und mit den notwendigen Patches versorgen.
Ein dezentrales Pachtmanagement kann für mehr Performance und Sicherheit sorgen.
Lassen sich Schwachstellen in IT-Systemen nicht umgehend beheben, nutzen Angreifer diese aus, um wertvolle Daten zu stehlen oder zu manipulieren. Um datenschutzkonform zu arbeiten und Sicherheitslücken rechtzeitig zu beheben, geht für Unternehmen kein Weg an einem effizienten Patchmanagement vorbei. Denn das Patchen ohne Patchmanagement ist alles andere als trivial: So müssten Updates für Anwendungen manuell installiert oder von den Herstellerseiten heruntergeladen werden – hier gehen Zeit und Ressourcen verloren, die an anderer Stelle besser aufgehoben wären.

Nur Sichtbares lässt sich patchen
Die Koordination von Patches für Schwachstellen zwischen unterschiedlichen Teams kostet Unternehmen im Schnitt zwölf Tage. Laut SANS-Institut benötigt ein Viertel der Unternehmen mindestens einen Monat, um Server zu patchen. Und damit nicht genug. Wie eine Studie von Tanium zeigt, müssen 80 Prozent der Führungskräfte feststellen, dass bereitgestellte kritische Updates in der Tat nicht auf allen Geräten installiert wurden.

Die Probleme liegen auf der Hand: IT-Administratoren stehen vor der Herausforderung, eine Infrastruktur managen zu müssen, die aus einem Mix aus älteren und neueren Systemen besteht. Sie sind für die Verwaltung einer komplexen und expandierenden Umgebung verantwortlich, die Endbenutzergeräte, Server und Cloudinfrastrukturen umfasst. Darüber hinaus wächst die Anzahl der Endpunkte und der unentdeckten Schwachstellen kontinuierlich und rasant. Hier kommt ein weiteres Problem zum Tragen: Viele Unternehmen nutzen ein ganzes Toolset für die Systemverwaltung, sodass sie, steht eine Patchinstallation an, alle nötigen Informationen erst einmal zusammentragen müssen. Dazu fehlt ihnen ein umfassender Überblick über alle Geräte in ihrer IT-Umgebung, sodass blinde Flecken im Netzwerk entstehen.
Endpunkte müssen bekannt sein
Deshalb sollte zu Beginn des Patchvorgangs bereits bekannt sein, wie viele Endpunkte im Netzwerk vorhanden sind. Einige Systeme für das Management von Updates bieten aufgrund ihrer Plattformbasis darüber hinaus die Möglichkeit, Endpunkte im Netzwerk zu erkennen. Hierzu erhalten bereits bekannte Geräte einen Agenten, der Informationen über das Gerät an sich sowie auf ihm installierte Software sammelt. Darüber hinaus sucht das Gerät mithilfe des Agenten innerhalb seines Subnetzes anhand der MAC- und IP-Adressen nach bis dato unbekannten Geräten. Hierzu werden physische und IP-Adressen, die vergeben sind, aufgelistet und danach diejenigen adressiert, die nicht auftauchen, sondern sich zwischen den bekannten Adressen befinden. Auf diese Weise entdeckte Geräte erhalten einen eigenen Agent und machen mit der Suche weiter.

Die Klassifizierung und das Beheben von Schwachstellen stellen nicht selten Administratoren vor große Herausforderungen. Denn oftmals müssen sie mit Werkzeugen arbeiten, die angesichts der Komplexität der IT-Umgebung an ihre Grenzen stoßen. Einerseits mangelt es ihnen an der nötigen Performance und Flexibilität sowie an der benötigten Skalierbarkeit. Andererseits sind sie sehr ressourcenintensiv und belasten mit ihrem Bandbreitenbedarf den Geschäftsbetrieb, sodass auch das Schwachstellen- und Patchmanagement lahmt.

Patchen auf dezentraler Basis
Das Patchmanagement hat das Ziel, die Verteilung von Patches zu vereinfachen. Das Zeitfenster für das Ausrollen der Patches sollte so klein wie möglich gehalten werden, um vorhandene Ressourcen darauf verwenden zu können, Sicherheitslücken zu suchen, zu klassifizieren und Sicherheitsprobleme möglichst schnell zu beheben. Die Tatsache, dass viele Unternehmen Wochen benötigen, um Schwachstellen zu schließen, nutzen Cyberkriminelle gnadenlos aus.

Patchwerkzeuge auf Basis einer dezentralen Architektur können dieses Problem lösen, denn sie sind in der Lage, Endpunkte umfassend, schnell und zuverlässig zu patchen – ohne den Geschäftsbetrieb durch enormen Bandbreitenbedarf zu behindern. Dank der Automatisierung der Installation neuer Patches und Software-Updates sind Administratoren dazu in der Lage, ihre Workflows effizienter zu gestalten und damit Zeit für dringendere Aufgaben zu gewinnen. Updates können mit minimaler Beeinträchtigung des Netzwerks bereitgestellt werden, die Installation der erforderlichen Patches, Software-Updates und die Wartung des Betriebssystems lässt sich automatisieren und eine umfassende, rasche Patch-Compliance erreichen.

9.12.2020/ln/Christoph Volkmer, VP DACH bei Tanium

Nachrichten

Schnelle Patches aus der Cloud [15.09.2021]

Qualys gibt die Integration von Zero-Touch-Patching-Funktionen in Qualys Patch Management bekannt. Zero-Touch Patch stellt sicher, dass die Endpunkte und Server von Unternehmen proaktiv aktualisiert werden, sobald Patches verfügbar sind, und reduziert so die gesamte Angriffsfläche. [mehr]

Klarer Blick in die Wolke [13.09.2021]

Varonis Systems ergänzt seine kürzlich vorgestelltes DatAdvantage Cloud zur zentralen Überwachung und zum Schutz von Daten in Software-as-a-Service (SaaS)- und Infrastructure-as-a-Service (IaaS)-Anwendungen. Die Data Classification Cloud für Box und Google Drive soll einen zusätzlichen Kontext zur Datenerkennung und -klassifizierung ermöglichen und so die Datensicherheit in Clouddatenspeichern verbessern. [mehr]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen