Patches automatisiert verteilen
Immer mehr Patches müssen immer zügiger in zunehmend heterogenen Client-Landschaften verteilt werden, damit das Unternehmensnetz vor manipulatorischen Zugriffen und Malware von außen geschützt ist. Patch-Management-Lösungen verringern durch die Automatisierung von Prozessen den Arbeitsaufwand für die Systemadministration und machen den Sicherheitsstatus des Unternehmensnetzes transparent.
Die Notwendigkeit schnellen Patchens führte die Ausbreitung von Conficker deutlich vor Augen. Obwohl ein Patch für die Sicherheitslücke zur Verfügung stand, konnte der Wurm innerhalb kurzer Zeit sehr viele Unternehmensnetze befallen. Die Ausbreitung ist ein Hinweis darauf, dass es lange dauern kann, bis Patches verteilt sind. In Einzelfällen dauert das Schließen der Lücken Untersuchungen zufolge bis zu zwei Jahren. Dabei werden immer mehr Softwareprodukte mit Schwachstellen ausgeliefert; Beispiele dafür finden sich nicht nur bei Microsoft Office, sondern auch bei Adobe Reader, Sun Java, Mozilla Firefox und anderen. Geschuldet sind sie der wachenden Komplexität der Produkte und dem Druck auf die Hersteller, die die Lebenszyklen kurz halten und neue Produkte und Versionen schnell auf den Markt bringen müssen. Die Beseitigung von Fehlern findet dann im Nachhinein mittels Patches statt.
Heterogene Unternehmensnetze
Aufgrund der Zunahme der Patches kommt die Systemadministration in vielen Fällen mit dem Verteilen kaum noch nach. Immer mehr Patches müssen immer schneller klassifiziert, getestet, ggf. an bestehende Lösungen angepasst und verteilt werden, und das in immer komplexeren Unternehmensnetzen. Je größer ein Unternehmen ist, desto heterogener ist in der Regel die Client-Infrastruktur. Genutzt werden nicht nur unterschiedliche Hardware-Typen und Hardware von verschiedenen Herstellern, sondern auch unterschiedliche Betriebssysteme sowie eine enorme Fülle an Software. Manuell ist da beim Patchen schon lange nichts mehr auszurichten. Auch anbieterspezifische Konsolen wie Windows Server Update Service nur begrenzt nützlich, da Patches anderer Hersteller, inzwischen mehr als 60 Prozent des Gesamtaufkommens nicht oder nur mit sehr viel Aufwand verteilt werden können. Für Schnelligkeit und Zuverlässigkeit beim Verteilen von Patches in heterogenen Umgebungen sind deshalb möglichst elaborierte Patch-Management-Lösungen vonnöten.
Komponenten-Inventar erstellen
Basiskomponente für das automatisierte Arbeiten von Patch-Management-Lösungen sind auf den Clients installierte Software-Agenten. Sie überwachen den Patch-Vorgang und melden dem Management-Server das Ge- oder Misslingen der Installation zurück. Außerdem lässt sich mit ihrer Hilfe regelmäßig prüfen, ob die Patches noch korrekt installiert sind und nicht etwa durch Drittanbieter-Software überschrieben oder ersetzt wurden.
Nach der Installation auf dem Client schafft sich der Agent zunächst die Arbeitsgrundlage. Dafür inventarisiert er alle auf dem Gerät betriebenen Hard- und Softwarekomponenten und schickt das Verzeichnis an den Management-Server. Dort wird die Liste mit den bekannten Schwachstellen abgeglichen. In einem zweiten Suchlauf ermittelt der Agent den Patch-Status des Clients für die automatische Zusammenstellung der passenden Patches. Dabei werden auch Abhängigkeiten zwischen Patches berücksichtigt. Kommen neue Geräte ins Netzwerk, werden sie ebenfalls mit einem Agenten bestückt und richtliniengemäß gepatcht. Allein für die Erstellung einer einheitlichen Ausgangslage verringert eine Patch-Management-Lösung den Aufwand für die Systemadministration erheblich.
Sicherheit geht vor
Für die Verteilung der Patches werden die Clients in Gruppen mit identischen Anforderungen zusammengefasst – entsprechend lassen sich für das Verhalten der Agents identische Richtlinien bei allen Geräten der Gruppe definieren, beispielsweise in welchen Abständen sie den Server ansprechen. Sogenannte Mandatory Baselines stellen sicher, dass Patches bis zu einem bestimmten Zeitpunkt auf allen Clients einer Gruppe installiert sind. Die Anwender können, beispielsweise um bei einer terminkritischen Arbeit nicht durch einen Neustart unterbrochen zu werden, die Installation verweigern, jedoch nur bis zu dem mittels der Mandatory Baseline definierten Zeitpunkt. Dann wird der Patch zwangsweise eingespielt, so dass die Systemadministration davor ausgehen kann, dass ab diesem Zeitpunkt die Lücke geschlossen ist.
In Unternehmen mit Niederlassungen rund um den Globus muss für die Verteilung zusätzlich die verfügbare Bandbreite berücksichtigt und der Situation Rechnung getragen werden, dass eine erneute Verteilung nach einem Systemabsturz erforderlich sein kann. Standard dafür sind Verteilungspunkt-Architekturen mit lokaler Zwischenspeicherung der Pakete, so dass der Netzwerkverkehr verringert und die Bandbreite optimal genutzt werden.
Compliance nachweisen
Umfassende Reporting-Funktionen runden das Leistungsspektrum einer Patch-Management-Lösung ab. Die Berichte sollten sich leicht erstellen lassen und detailliert über den Bestand an Hard- und Software, über den Patch-Status, über verteilte Patches, Sicherheitslücken und Trends informieren. Mit den Auswertungen wird das Patch-Management nicht nur im Innenbereich transparent; die Angaben lassen sich ebenfalls nutzen, um die Übereinstimmung mit rechtlichen Vorgaben und Regelungen zur IT-Sicherheit nachzuweisen.
(Abb.: Beispiel-Konstellation für das Dashboard bei der Anmeldung auf Norman Patch and Remediation)
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER