Patch Management als Ransomware-Abwehr
IT-Teams benötigen einen strategischen Ansatz für die Verwaltung ihrer Sicherheits-Patches. Dazu gehört, Risiken in den richtigen Kontext zu stellen und Prioritäten zu setzen. Doch unterschiedliche Schwachstellen erfordern unterschiedliches Handling.
Laut dem „2023 Connectivity Benchmark Report“ von MuleSoft Research müssen Unternehmen eine riesige Menge an Software verwalten und auf dem neuesten Stand halten - im Durchschnitt 1.061 Anwendungen. Da viele Softwareanbieter monatlich, wöchentlich und manchmal sogar täglich Sicherheits-Patches herausgeben, benötigen IT-Teams eine strategische Methode, um zu priorisieren, was wann gepatcht werden soll.
Der erste Schritt besteht darin, eine angemessene Cybersicherheits-Audit-Routine einzurichten, die ein vollständiges Bild des IT-Ökosystems des Unternehmens liefert - mit sämtlichen Geräten und der auf ihnen ausgeführten Software. Danach ist ein kontextbezogener, risikobasierter Ansatz erforderlich, um zu beurteilen, welche Patches am dringendsten benötigt werden und welche noch warten können, und zwar auf der Grundlage des allgemeinen Frameworks für das Risikomanagement der Angriffsfläche (Attack Surface Risk Management) des Unternehmens.
Kritikalität als Entscheidungshilfe
Abgesehen von der schieren Menge der aufzuspielenden potenziellen Patches, müssen IT-Teams auch den Zeit- und Arbeitsaufwand berücksichtigen, den jeder einzelne Sicherheits-Patch erfordert. Viele sind mit Ausfallzeiten verbunden und damit mit einer Beeinträchtigung der Verfügbarkeit von IT-Ressourcen und der Produktivität der Mitarbeiter. Zu wissen, welche Patches wichtig sind und welche warten können, ist eine praktische Notwendigkeit.
Die Entscheidung, welche Patches angewendet werden sollen, basiert traditionell auf dem Gefährdungsgrad (Severity) der jeweiligen Schwachstelle, wobei jeder Schwachstelle ein „Kritikalitätswert“ von Null bis 10 zugewiesen bekommt. Dies ist zweifellos eine objektive, aber auch ungenaue Methode.
Einige Schwachstellen können sehr kritisch sein - beispielsweise mit einem Wert von 9,8 auf der Skala - und dennoch eine geringe Wahrscheinlichkeit haben, ausgenutzt zu werden, weil die Angriffe zu kostspielig oder zu komplex sind, um sich zu lohnen. In der Zwischenzeit können weniger schwerwiegende Angriffsarten bereits aktiv sein und eine echte Bedrohung darstellen. Sich an der Kritikalitätsskala zu orientieren, ist so, als würde man eine Stadt auf den Kampf gegen ein imaginäres Monster wie Godzilla vorbereiten, während man legitime und dringende Risiken wie Überschwemmungen und Waldbrände ignoriert.
Bei der Entscheidung darüber, welche Sicherheits-Patches aufgespielt werden sollen, brauchen Unternehmen vor allem den Kontext.
Entscheidung über die Priorität eines Sicherheits-Patches
Die Gesamtheit der relevanten Kontextfaktoren ist für jedes Unternehmen anders. Doch es gibt allgemeine Fragen, die bei der Bewertung des tatsächlichen Risikos einer Schwachstelle helfen können. Einige der wichtigsten Fragen sind:
- Wird die Schwachstelle bereits ausgenutzt? Ist die Antwort Ja, so sollte der Patch sofort angewendet werden.
- Gibt es einen Proof of Concept (POC) für die Ausnutzung der Schwachstelle? Ein POC stellt die früheste Implementierung einer Bedrohung dar. Er bedeutet, dass Cyberkriminelle nicht bei Null anfangen müssen, um ihre eigenen Exploits zu entwickeln: Sie können auf dieser Basis aufbauen. Das Vorhandensein eines POCs macht einen Cyberangriff wahrscheinlicher. Also ist es ratsam, eher früher als später zu patchen.
- Was können Angreifer mit der Schwachstelle anstellen? Wenn eine ungepatchte Software Zugang zu einem isolierten System mit geringem Zugang zu anderen Unternehmensressourcen und minimalen Berechtigungen zur Ausführung von Aktionen ermöglicht, ist das Risiko eines Schadens relativ gering. Wenn sie jedoch Angreifern Administratorrechte und die Fernsteuerung von Systemen und Code ermöglicht, sollte der Sicherheits-Patch sofort installiert werden.
Kombiniert man diese mit anderen unternehmens- und geschäftsspezifischen Überlegungen, erhält man eine aussagekräftige, strategische und differenzierte Risikobewertung, die als Grundlage für Patching-Entscheidungen dient. Natürlich sind die Antworten nicht nur in der technischen Natur der Schwachstelle selbst zu finden. Es ist ein umfassenderes Verständnis der Angriffsfläche und der Bedrohungsumgebung erforderlich, das aus KI und auf maschinellem Lernen basierende Analysen und aktuelle Bedrohungsdaten stammen kann.
Zero-Day-Lücken zunehmend riskant
Die Bedeutung des Patchings und der regelmäßigen Aktualisierung von Software ist nichts Neues: IT-Experten und Analysten wiederholen diese Botschaft seit Jahren. Durch die Veränderungen in der Bedrohungslandschaft haben sich jedoch die Arten von Schwachstellen verändert, auf die sich Unternehmen konzentrieren müssen.
Eine bekannte Sicherheitslücke, für die es bereits einen Patch gibt, wird als „N-Day-Schwachstelle“ eingestuft, wobei N die Anzahl der Tage ist, seit denen dieser Patch öffentlich verfügbar ist. Die meisten Unternehmen sind inzwischen recht gut darin, N-Day-Schwachstellen zu beseitigen. Infolgedessen konzentrieren sich Cyberkriminelle immer stärker auf Zero-Day-Angriffe.
Zero-Day-Angriffe zielen auf Schwachstellen ab, für die es keinen öffentlichen Sicherheits-Patch gibt. Diese Attacken sind für Cyberkriminelle in der Regel teurer - angefangen von etwa 3.000 Dollar -, aber Ransomware-Betreiber und andere Akteure verdienen damit so viel Geld, dass sie sich Zero-Day-Angriffe relativ leicht leisten können.
Problem mit Forever-Day-Angriffen
Das Fehlen eines öffentlich verfügbaren Patches erschwert Unternehmen nicht nur den Umgang mit Zero-Day-Schwachstellen, sondern auch mit „Forever-Day“-Schwachstellen - also solche, die nie gepatcht werden. Sie entstehen, wenn die betroffene Software oder das Betriebssystem vom Entwickler nicht mehr unterstützt wird oder wenn die zugrundeliegende Hardware einen kurzen, geplanten Service-Lebenszyklus hat und daher theoretisch nicht gepatcht werden muss, wie es bei einigen Geräten des Internets der Dinge (IoT) der Fall sein kann.
Es gibt auch Situationen, z. B. bei bestimmten medizinischen Geräten und Produktionsanlagen, in denen die Produkthersteller das Aufspielen von Software-Patches durch Dritte verbieten, um die Integrität des Geräts zu wahren. Manche gehen sogar so weit, dass sie als Verkaufsbedingung festlegen, dass die Garantie erlischt, wenn ein Kunde versucht, ein Sicherheits-Patch selbst aufzuspielen. Was also tun, um das Risiko von Zero-Day- und Forever-Day-Schwachstellen verringern will?
Virtual Patching, eine gute Alternative
Eine praktische Option ist die Verwendung von virtuellen Patches. Sie werden von angesehenen Anbietern entwickelt und veröffentlicht, oft Monate vor den öffentlichen Patches, und können in vielen Fällen ohne Neustart des Geräts angewendet werden.
Virtuelle Patches sind in der Regel flexibel und können zu einem späteren Zeitpunkt deaktiviert werden, wenn ein öffentliches Patch verfügbar ist. Sie können zwar nicht unter allen Umständen eingesetzt werden, aber manchmal kann das Netzwerk rund um das Gerät, auf dem die anfällige Software läuft, einen virtuellen Patch einsetzen und so eine zusätzliche Verteidigungsebene schaffen, vor allem wenn das Gerät auch keinen Sicherheitsagenten unterstützt.
Cybersecurity-Risiko immer im Kontext betrachten
Der Schlüssel zu einem ausgefeilten Sicherheits-Patch-Management liegt darin, dass Sicherheitsteams sich von der simplen Bewertung der Kritikalität verabschieden und stattdessen das Risiko im Kontext der Geschäftsanforderungen und der realen Bedrohungslage bewerten. So lässt sich besser entscheiden, welche Sicherheits-Patches sofort aufgespielt werden müssen.
Der zunehmende Einsatz von Software-as-a-Service (SaaS)-Modellen für ihre Anwendungen vermindert die Last, mit dem Patching Schritt zu halten. SaaS-Anbieter kümmern sich um den gesamten Prozess: Wird eine Sicherheitslücke gefunden, so erfolgt das Patching automatisch in der Cloud und wird auf alle Benutzer angewendet, so dass dem Kundenunternehmen jeglicher Aufwand erspart bleibt.
Mittlerweile stehen Tools zur Verfügung, die eine ausgefeilte, risikobasierte Entscheidungsfindung bezüglich Software-Schwachstellen und Sicherheits-Patches ermöglichen, was insgesamt zu einem strategischeren und proaktiveren Risikomanagement der Angriffsfläche von Unternehmen beiträgt.