Assetmanagement und Virtual Patching
Flickenkunst
Veröffentlicht in Ausgabe 05/2024 - SCHWERPUNKT
Vor einiger Zeit hielt die Log4Shell-Sicherheitslücke die Welt in Atem. Durch eine Injektionsschwachstelle in dem vielfach verwendeten Java-Logging-Framework Log4J war es potenziellen Angreifern möglich, beliebigen Schadcode auf infizierten Systemen auszuführen. Unzählige Programme von den unterschiedlichsten Softwareherstellern waren betroffen und das alles aufgrund eines Fehlers innerhalb einer einzigen kleinen Programmbibliothek.
Log4Shell kein Einzelfall
Log4Shell ist dabei kein bedauerlicher Einzelfall. Wann immer Schwachstellen wie in Log4J oder MoveIT entdeckt werden, beginnt ein Wettrennen gegen die Zeit. Hersteller müssen mit ihren Kunden und Dienstleistern in gemeinsamer Kraftanstrengung die Lücken ausfindig machen und mit Patches stopfen. Das wird nicht selten dadurch erschwert, dass in Unternehmen das Patchen von Software, die nicht vom Hersteller Microsoft kommt, oft niedrige Priorität hat.
Dadurch kann es zu erheblichen Verzögerungen im Patchprozess kommen. Ein kompetent umgesetztes Schwachstellen- und Patchmanagement tut an dieser Stelle also dringend Not.
Vor einiger Zeit hielt die Log4Shell-Sicherheitslücke die Welt in Atem. Durch eine Injektionsschwachstelle in dem vielfach verwendeten Java-Logging-Framework Log4J war es potenziellen Angreifern möglich, beliebigen Schadcode auf infizierten Systemen auszuführen. Unzählige Programme von den unterschiedlichsten Softwareherstellern waren betroffen und das alles aufgrund eines Fehlers innerhalb einer einzigen kleinen Programmbibliothek.
Log4Shell kein Einzelfall
Log4Shell ist dabei kein bedauerlicher Einzelfall. Wann immer Schwachstellen wie in Log4J oder MoveIT entdeckt werden, beginnt ein Wettrennen gegen die Zeit. Hersteller müssen mit ihren Kunden und Dienstleistern in gemeinsamer Kraftanstrengung die Lücken ausfindig machen und mit Patches stopfen. Das wird nicht selten dadurch erschwert, dass in Unternehmen das Patchen von Software, die nicht vom Hersteller Microsoft kommt, oft niedrige Priorität hat.
Dadurch kann es zu erheblichen Verzögerungen im Patchprozess kommen. Ein kompetent umgesetztes Schwachstellen- und Patchmanagement tut an dieser Stelle also dringend Not.
Herausforderung Patchmanagement
Die Haupthürde beim Patchmanagement stellt sich in der hochkomplexen, modularen Natur der globalen Software Supply Chain dar. Taucht eine Lücke in einer Bibliothek auf, sind alle Programme betroffen, die diese Bibliothek einbinden, was wiederum das Patchmanagement erschwert. Immerhin müssen die verschiedenen Hersteller die betroffenen Programme in ihrem Portfolio erst einmal ausfindig machen, schnellstmöglich die Sicherheitslücke schließen und anschließend einen Patch ausrollen. Währenddessen stehen sie vor der Herausforderung, allen Kunden die Notwendigkeit und die richtige Installationsweise des Patches zu kommunizieren.
Manche Hersteller wie Microsoft setzen dabei auf automatische Patchmechanismen, aber Automatismen sind nicht in allen Situationen möglich. Dazu kommt noch eine massive Anzahl von Softwareversionen, die zu Verwirrung führen kann. Wenn eine Zero-Day-Schwachstelle zu Tage tritt, stehen die Hersteller zudem unter starkem Zeitdruck. Das führt oftmals dazu, dass Patches hastig mit der heißen Nadel zusammengestrickt werden. Oft wird dadurch nur das bereits bekannte Problem abgedeckt, was häufig dazu führt, dass neue Patches nötig werden, sollte die Lücke auch noch anderweitig ausnutzbar sein. Wasserdichte Testprozesse für Patches gehören demnach ebenso zu den Herausforderungen des Patchmanagements. Aber was bedeutet in der heutigen Zeit, wo eine Nachricht von einer kritischen Sicherheitslücke die nächste jagt, eigentlich ein zeitgemäßes Patchmanagement?
Nicht nur Microsoft beachten
Bei diesem Thema steht der Softwareriese Microsoft häufig und durchaus zu Recht im Fokus. Wichtig ist aber zu beachten, dass es sich bei vielen Patches mittlerweile nicht mehr um allerorten zu findende Lücken handelt, die groß in den Nachrichten breitgetreten werden – wie etwa Log4Shell. Vielmehr handelt es sich eher um weniger verbreitete Lösungen unterschiedlicher Hersteller. Betreibt ein Unternehmen sein Patchmanagement nur für Microsoft-Produkte, betrachtet es lediglich ein Drittel des gesamten Problems: Der CISA-Katalog der bekanntermaßen ausgenutzten Schwachstellen enthält aktuell etwas über 1000 Einträge. Davon sind "nur" rund 300 der Firma Microsoft zugeordnet.
Die allgemeine Gefährdungslage, die das BSI in den Stufen gering bis hoch ausgibt, ist dabei kein Gradmesser für das konkrete Gefahrenpotenzial einer Lücke im Unternehmenskontext. Unternehmen sollten das Patchmanagement deshalb als kontinuierlichen Prozess verstehen und nicht als panisches Hinterherjagen nach CVEs.
Mit mehr Überblick den Durchblick schaffen
Dazu gehört aber nicht nur der Blick auf bestimmte Softwareprodukte, sondern auch ein gut funktionierendes Assetmanagement. Denn nur damit behalten Unternehmen den Überblick über ihre Geräte und die darauf existierenden Schwachstellen sowie Schutzmaßnahmen. Im Rahmen des Assetmanagements sollten sich Unternehmen als Erstes die Frage stellen, welche Systeme und Endpunkte überhaupt an die IT-Infrastruktur angebunden sind. Mobile Geräte im Homeoffice oder nicht inventarisierte oder private Geräte, Stichwort Schatten-IT, sind alle potenzielle Träger von Schwachstellen.
Als Zweites gilt es festzustellen, welchen Schutz die Endgeräte bereits haben und wo deren konkrete Schwachstellen liegen. Ein Virenscanner allein ist dabei kein ausreichender Schutz. Stattdessen sind moderne Sicherheitsmaßnahmen wie etwa XDR, Multifaktor-Authentifizierung oder Zero-Trust-Zugriffskontrollen zu empfehlen. Zudem sollten IT-Verantwortliche immer darauf achten, die implementierten Systeme auf dem aktuellen Updatestand zu halten.
Im letzten Schritt gilt es, die erkannten Schwachstellen im Rahmen der Möglichkeiten zu beseitigen. Dieser Prozess ist dabei stetig und kontinuierlich, denn nicht jede Lücke lässt sich rechtzeitig schließen. Neben dem Assetmanagement ist dabei so genanntes Virtual Patching eine effiziente Möglichkeit zur Beseitigung von Schwachstellen.
Virtual Patching erleichtert Schwachstellenmanagement
Mit Virtual Patching haben Unternehmen die Möglichkeit, eine Schwachstelle zu schließen, noch bevor der Herstellerpatch zur Verfügung steht. Im Schnitt steht ein virtueller Patch für Schwachstellen, die zuerst von der ZDI (Zero Day Initiative) gefunden werden, 96 Tage vor einem Herstellerpatch zur Verfügung. Virtual Patching schützt dementsprechend auch ungepatchte Geräte und Legacy-Systeme, ohne dass deren Software angefasst werden muss.
Virtuelles Patching bietet zudem weiterhin eine deutlich höhere Sicherheit, da sich Schwachstellen auf Netzwerkebene automatisch schließen lassen. Virtuelle Patches, die in aktuellen IPS- und Firewall-Systemen zum Einsatz kommen, schließen Schwachstellen vollständig und schützen auch vor zukünftigen Angriffen. Zu diesem Zweck blockiert die Technologie Datenpakete, die Cyberkriminelle senden, um Schwachstellen auszunutzen – wie etwa den unbefugten Zugriff auf ein System, eine Software oder ein Netzwerkelement.
Selbst wenn die Schwachstelle weder vom Hersteller noch durch Updates behoben wurde, lässt der Virtual Patch also den Angriff scheitern. Virtuelles Patching ist somit eine wirksame Methode, um zeitnah auf Bedrohungen zu reagieren. Außerdem wird die IT-Abteilung entlastet, da sie nicht selbst in die Software und Systeme eingreifen muss.
Fazit
Schwachstellen zu schließen, zählt zu den grundlegenden Security-Maßnahmen, um die Angriffsfläche zu minimieren. Ohne diese Basis ist auch ein Zero-Trust-Konzept wertlos. Entscheidend ist, sich dieser potenziellen Gefahren bewusst zu werden und ihr Bedrohungspotenzial einzuschätzen. Da es nie möglich sein wird, alle Eventualitäten auszuschließen, müssen Unternehmen richtig priorisieren. Zusammen mit einem kontinuierlichen Assetmanagement stellt Virtual Patching das Fundament für ein funktionierendes Patchmanagement dar.
(ln)
Richard Werner ist Business Consultant bei Trend Micro.