Ganzheitliche IT-Security Beratung: Bodenständig und mit Passion.
ISMS: Patch-Management, tiefer betrachtet.
Patches bzw. Software-Updates sind ein essenzieller Bestandteil der Pflege von IT-Assets. In erster Linie geht es nicht um neue Funktionen, sondern um die Behebung von Sicherheitsschwachstellen und zur Fehlerbereinigung. Ein weit verbreiteter Irrglaube ist es, dass „nur“ sicherheitsrelevante Updates installiert werden bzw. für die Unternehmens-Compliance von Belang ist. Hat eine Software oder ein Gerät, einen „Bug“, also einen Fehler in dessen Architektur, so sind diese Fehler fast immer als sicherheitsrelevant zu betrachten, auch dann, wenn dies nicht als solches gekennzeichnet wurde.
Technische Fehler, können zu einer weitreichenden Kette an Folgeereignissen führen. Stellen Sie sich vor, eine Kalkulationssoftware würde stets einen Preis abrunden. Finanziell wäre dies unter Umständen ein Desaster, aus IT-Security Sicht nicht zwingend relevant. Besonders im Bereich von IT-Assets in Produktionsstraßen können technische Fehler schnell Millionenbeträge kosten.
6 Schritte zu einem erfolgreichen Patch-Management.
- Inventarisierung
Stellen Sie sicher, dass Sie alle Anwendungen, Betriebssysteme, Firmware und Treiber, Gerätschaften, sowie dessen Version/en, Gerätename, EOL-Datum und Meta-Daten in einer aktuellen, gepflegten und vollständigen Liste aufgenommen haben. - Standardisierung
Nachdem Sie ein gültiges Inventar erschaffen haben, versuchen Sie so weit es geht, Ihre Infrastruktur zu standardisieren. Anstatt viele unterschiedliche Versionen von Anwendungen, Betriebssystemen und Geräten, sowie eine Vielzahl an wild verstreuten Tools zu administrieren, ist eine homogene Landschaft erheblich einfacher zu verwalten. - Risikobewertung und Klassifizierung
Eine unternehmensweite Risikobewertung ist ein separater Prozess. Jedoch sind zahlreiche Risiken und Schwachstellen mittels eines Patches behebbar (und Teil eines ganzheitlichen Schwachstellenmanagements, welches auch die System-Härtung berücksichtigt!). Es ergibt Sinn, den Risikobewertungs-Prozess mit dem ganzheitlichen Schwachstellenmanagement zu verknüpfen. Ein besonderer Fokus sollte auf die IT-Assets gelegt werden, die für die IT-Sicherheit zuständig sind (z.b. Verzeichnisdienst, Firewalls und Monitoring). - Patch Informationen lesen und verstehen und Patch testen
In regelmäßigen Abständen, sollte man VOR der Installation von Updates, dessen Release-Notes aufmerksam lesen und anschließend in einer isolierten Test-Umgebung den roll-out testen. Im gleichen Zuge, lassen sich andere Prozesse evaluieren wie z. B. Cluster-Funktionen testen, Datenbank Fail-Over prüfen, denn, Updates erfordern stets ein gezieltes Vorgehen. - Patch roll-out
Sie sollten nun genau wissen, welche Systeme gepatcht werden müssen, wie sich die Updates verhalten und welche Konfigurationen berücksichtigt werden müssen. Unter Berücksichtigung des Wartungsfensters ihres Unternehmens und des Monitoring-Teams, sowie des Backup-Prozesses, ist es Zeit, die Updates zu installieren. - Audit und Report
Überprüfen Sie die Funktion Ihrer Systeme und gleichen Sie sich mit Ihrer Monitoring-Lösung ab. Führen Sie einen erneuten Schwachstellen-Scan aus (gesonderter Prozess). Als finalen Schritt, sollten Sie die komplette Update-Prozedur (insbesondere von Cluster-Systemen, Datenbanken und kritischen System-Anwendungen) dokumentieren. Je besser Sie die Prozesse beherrschen, umso einfacher wird es bei künftigen Updates.