zurück zur Übersicht

Wird mit kontinuierlichem Patching das Vulnerability Management besser?

Das Thema Vulnerability Management ist gegenwärtig immer noch eine große Herausforderung.

Dank ausgereifterer Sicherheitsquellen und relativ schneller Update-Verfügbarkeit gab es in den letzten Jahren zwar einen deutlichen Fortschritt. Jedoch muss festgestellt werden, welche Updates überhaupt relevant sind und welche Nebenwirkungen sie haben können. Immer noch müssen Updates zuerst sorgfältig getestet werden, bevor man sie im gesamten Unternehmen verteilt, um Stabilitätsproblemen vorzubeugen.

Kontinuierliches Patching hat diesen Prozess wesentlich beschleunigt. Die Verzögerung, die zum größeren Teil durch interne Prozesse wie Prüfung und Implementierung von Patches verursacht wurde ist inzwischen sehr optimiert. Damit verbleibt nur die Zeit, die der Hersteller für die Entwicklung des Updates benötigt. Die gesamte Dauer von einigen Monaten inklusive Implementierung konnte auf 11-25 Tage reduziert werden. Laut Ergebnissen der Schweizer Firma High-Tech Bridge hat es 2013 durchschnittlich 18 Tage gedauert, einen Patch zu entwickeln – eine Verbesserung von 33% gegenüber dem Vorjahr.

Das Updateverhalten der Software-Hersteller hat sich geändert. Microsoft hat bereits angekündigt, sich künftig vom Konzept des Patch-Tuesday zu verabschieden. Das soll schon mit der Einführung von Windows 10 geschehen (offiziell am 29.Juli 2015). Für Endbenutzer wird alles transparent und unmittelbar, sie müssen nicht mehr auf den zweiten Dienstag im Monat warten. Patches werden sofort ausgeliefert wenn sie fertiggestellt sind.

Dieses Verfahren ist für Serversysteme natürlich nicht ohne weiteres umsetzbar, weil sich die folgenden Fragen stellen:

·        •  Systeme werden nicht einheitlich auf demselben Sicherheitsgrad sein. Das kann zu Inkompatibilität führen

·        •  Jedes System hat eine andere, besondere Konstellation und Patches müssen nicht unbedingt notwendig sein

·        •  Prüfen der Stabilität mit dem neuen Patch und dessen schrittweise Implementierung wird so praktisch unmöglich

·        •  Wartungsfenster werden nach wie vor gebraucht

Für Unternehmen bietet Microsoft daher ein “Microsoft Update for Business” an, was ermöglicht, die Updates auf zentrale Weise zu testen und bereitzustellen.

Nach Erfahrung unserer iT-CUBE SYSTEMS – Consultants fehlt beim Vulnerability Management Prozess aber oft der erste Schritt – genaue und immer aktuelle Informationen über alle IT-Systeme zu haben und dementsprechend den Überblick über die Schwachstellen zu behalten. Vulnerability Scanner, aber auch statische und dynamische Scans, die Anwendungen überprüfen, suchen nach technischen Sicherheitsrisiken. Dabei werden Schwachstellen aufgespürt – unabhängig davon ob es ein Design- oder Konfigurationsproblem ist. Mehr dazu unter:

https://www.it-cube.net/de/it-security-portfolio/managed-security-services/application-security/

 

Quellen: http://blogs.windows.com/bloggingwindows/2015/05/04/announcing-windows-update-for-business/
http://www.techworld.com/news/security/patching-times-improved-in-2013-as-vulnerability-battle-goes-on-3500130/
http://www.net-security.org/article.php?id=2300

Bild:
iStock_000016066249Large

Schreibe einen Kommentar