Die CIS-Kritischen Sicherheitskontrollen, allgemein als CIS-Kontrollen bekannt, sind eine Reihe von umsetzbaren Empfehlungen für die Cybersicherheit, die dazu dienen, häufige und weniger häufige Angriffe auf IT-Infrastrukturen zu verhindern. 

Sie umfassen eine nach Prioritäten geordnete Liste von Sicherheitskontrollen, die von der Implementierungsgruppe 1 (IG1), die die grundlegenden Sicherheitsbedürfnisse der kleinsten bis zu den größten Organisationen abdeckt, bis zu den Implementierungsgruppen 2 und 3 reichen, die die Bedürfnisse von Organisationen mit mehreren Abteilungen und Unternehmen abdecken. Durch die Entwicklung von CIS-Kontrollen zur Abwehr bekannter Bedrohungen zeigt das Center for Information Security (CIS), dass deren Implementierung 83 % aller aller Techniken des ATT&CK-Modells abschwächt und konkrete Sicherheitserwartungen an Organisationen stellt, die den Rahmen übernehmen.

Die CIS-Kontrollen lassen sich mit anderen Cybersicherheits-Frameworks wie CMMC, NCSC Cyber Assessment Framework, PCI und anderen abbilden, was sie zu einer sehr attraktiven Wahl für die Einrichtung der Cybersicherheitskontrollen einer Organisation macht.

Wie geht CIS Controls mit Sicherheitsaktualisierungen um?

In CIS Controls Version 8 gibt es eine eigene Kontrolle für das kontinuierliche Patch- und Schwachstellenmanagement. Die siebte Kontrolle, "Continuous Vulnerability Management", richtet die notwendigen Prozesse und die Infrastruktur ein, um die Unternehmenssoftware auf dem neuesten Stand zu halten und sicherzustellen, dass Schwachstellen nicht zu einer Datenverletzung führen. 

Dieses Ziel ist im Prinzip leicht zu verstehen und zu rechtfertigen, aber die Umsetzung ist nicht immer so einfach. Nach Angaben des Ponemon Institute benötigen 56 % der Unternehmen zwischen fünf Wochen bis mehr als ein Jahr um Sicherheits-Patches aufzuspielen, und ebenso viele Unternehmen nutzen keine Automatisierung, um das Aufspannen von Schwachstellen zu unterstützen.

Warum sind Sicherheitsupdates wichtig?

Angriffe, die zu Datenschutzverletzungen in Unternehmen führen, sind das Ergebnis einer Reihe von Schritten, die ein Angreifer unternimmt. Daher hängt die Sicherheitslage eines Unternehmens in hohem Maße davon ab, dass bei jedem dieser Schritte mehrere Verteidigungsmaßnahmen vorhanden sind.

Ein häufig genutzter Schritt, der zu einer Datenverletzung führt, ist die Ausnutzung von Softwareschwachstellen. Angesichts der großen Anzahl von Betriebssystemen, Software und Hardware, die ein typisches Unternehmen verwendet, ist es keine Überraschung, dass Ransomware-Angriffe auf Webanwendungen im Jahr 2022 hauptsächlich auf die Ausnutzung von Softwareschwachstellen zurückzuführen waren.

Was sind die CIS-Empfehlungen für Sicherheitsupdates?

Zur Verbesserung der Sicherheitslage einer Organisation im Hinblick auf Software-Schwachstellen umfasst die Implementierungsgruppe 1 der CIS-Kontrollen 4 Kontrollen (siehe unten).

Diese Kontrollen gelten für Unternehmen jeder Größe und werden als grundlegende Cyber-Hygiene angesehen. 

Kurz gesagt, sie sorgen dafür, dass Unternehmen monatlich oder häufiger automatische Sicherheitsaktualisierungen durchführen. Sie verlangen auch ein dokumentiertes Verfahren zum Scannen der Infrastruktur auf Schwachstellen und ein Folgeverfahren für die Behebung, das auf einer Risikoanalyse basiert, d. h. die für das Unternehmen wichtigsten Anlagen müssen zuerst behandelt werden.

Bei größeren Organisationen gelten weitere Anforderungen, wie unten dargestellt.

Diese Kontrollen stellen außerdem sicher, dass ein Unternehmen von einer proaktiven Patch-Verwaltung zu einer proaktiven Verwaltung von Patches und Schwachstellen-Scans übergeht und die gefundenen Schwachstellen in regelmäßigen Abständen behebt.

Wie Live-Patching für die notwendige Automatisierung sorgt

Wie oben gesehen, ist die Anforderung eines automatischen Patch-Managements sogar für die Umsetzungsgruppe 1 (grundlegende Cyber-Hygiene) des CIS-Kontrollrahmens gegeben. Gleichzeitig ist es heute zwar möglich, automatische Sicherheitsupdates auf einem Linux-System zu konfigurieren, doch ist dies in der Praxis sehr oft unbrauchbar. 

Sicherheitspatches für den Linux-Kernel und häufig verwendete Komponenten wie glibc erfordern einen Neustart des Systems, um angewendet zu werden. Außerdem werden Systemaktualisierungen oft mit Funktionsaktualisierungen kombiniert, die unerwartete Änderungen des Softwareverhaltens verursachen können.

Wo ist die Automatisierung für System-Updates?

Aus diesem Grund verteilen die Betriebsteams die Updates manuell in einer kontrollierten Umgebung, und nach dem Testen werden die Updates während eines monatlichen, vierteljährlichen oder anderen Zeitraums, den sich das Unternehmen leisten kann, in die Produktionssysteme eingespielt. 

Obwohl es sich hierbei um die derzeit beste Praxis handelt, handelt es sich um einen manuellen Prozess, der das Ziel der Automatisierung des Sicherheitspatchings verfehlt. Bei einem manuellen Patching-Prozess wird das Fenster für die Ausnutzung von Schwachstellen sehr groß, da die Patches erst nach dem nächsten Wartungsfenster angewendet werden können.

Live-Patching zur Rettung

KernelCare Live-Patching ist eine Lösung, die den Linux-Kernel und die Anwendungen patcht, während sie ausgeführt werden. Im Gegensatz zu System-Updates erfordert dieser Ansatz keinen Neustart des Systems und wird ausschließlich für Sicherheits-Patches verwendet - das heißt, es gibt keine Verhaltensänderungen in der Software.

KernelCare Live-Patching verbessert das Patch-Management-Programm eines Unternehmens, indem es die Automatisierung einführt und somit die Zeit für das Patchen von Schwachstellen sowie das Zeitfenster für die Ausnutzung von Schwachstellen reduziert. 

Dies geschieht durch die Bereitstellung von Live-Patches für Schwachstellen im Linux-Kernel und in kritischen Userspace-Komponenten, die unabhängig von ihrem CVSS-Score ein Risiko der Ausnutzung darstellen. Gleichzeitig erhält jeder Linux-Kernel und jede unterstützte Komponente Live-Patches für die gesamte Lebensdauer, wodurch sichergestellt wird, dass der Live-Patching-Prozess die Wartungsprozesse jedes Unternehmens unterstützt, unabhängig davon, ob diese regelmäßig oder ad hoc erfolgen.

KernelCare Live-Patching bringt Automatisierung in die CIS-Kontrolle "Automatisiertes Betriebssystem-Patch-Management" und ergänzt das Schwachstellenmanagementprogramm eines Unternehmens durch nahtlose Integration mit allen wichtigen Schwachstellenscannern.

Zusammenfassung

Artikel Name

Automatisiertes Patch-Management mit Live-Patching für die Einhaltung von CIS-Kontrollen

Beschreibung

Die CIS-Kontrollen sind eine Reihe von umsetzbaren Empfehlungen zur Cybersicherheit, die Angriffe verhindern sollen. Lesen Sie, wie CIS mit Sicherheitsupdates umgeht.

Name des Herausgebers

Tuxcare

Logo des Herausgebers