Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Live-Patching vs. virtuelles Patching
Joao Correia
18. November 2022. Technischer Evangelist
Es gibt viele verschiedene Möglichkeiten, das traditionelle Patching zu verbessern, so dass man leicht verwirrt wird, wie die einzelnen Patching-Ansätze funktionieren. In der Vergangenheit haben wir uns mit dem traditionellen Patching im Vergleich zum Live-Patching befasst, aber wir haben auch Fragen zum virtuellen Patching erhalten und wie es sich dabei verhält.
In diesem Blogbeitrag gehen wir auf die Unterschiede zwischen Live-Patching und virtuellem Patching ein, beschreiben die Situationen, in denen beide am nützlichsten sind, und helfen Ihnen bei der Entscheidung, welche Lösung für Ihre eigene Umgebung die beste ist.
Live-Patching
Beginnen wir mit dem Live-Patching: Dabei wird eine laufende Anwendung direkt während der Ausführung im Speicher gepatcht. Die Dateien auf der Festplatte werden nicht berührt, aber jede Instanz der Anwendung oder Bibliothek, die gerade läuft, wird aktualisiert, um die neueste gepatchte Version wiederzugeben. Wenn Sie die Anwendung neu starten, wird sie mit der aktuellen Version auf der Festplatte neu gestartet, und alle Live-Patches werden von Ihrer Live-Patching-Anwendung nach dem Start erneut angewendet. Die KernelCare Enterprise-Lösung von TuxCare ist ein perfektes Beispiel dafür.
Der Hauptvorteil besteht darin, dass das Patchen nicht mehr unterbrochen werden muss und Patches daher häufiger angewendet werden können - so können Sie schneller auf neue Bedrohungen reagieren.
Live-Patching kann, wenn es richtig implementiert ist, ein System vor vielen verschiedenen Arten von Schwachstellen schützen, unabhängig davon, ob diese Schwachstellen aus der Ferne oder nur lokal ausnutzbar sind. Dies schützt vor der Verkettung von Schwachstellen, d. h. wenn eine lokal begrenzte Schwachstelle nach einer anderen Schwachstelle, die einen Fernzugriff ermöglicht, ausgenutzt wird (oder sogar durch einen kompromittierten gültigen Fernzugriff).
Virtuelles Patchen
Werfen wir nun einen Blick auf virtuelles Patchen. Unter virtuellem Patching versteht man die Blockierung eines bekannten Angriffs auf Netzwerkebene. Es wird auf der Firewall-Ebene eingesetzt, entweder lokal zum Schutz eines einzelnen Systems oder auf der Ebene der Perimeter-Firewall zum Schutz der Systeme hinter der Firewall.
Virtuelles Patching zielt speziell auf Schwachstellen ab, die nur aus der Ferne ausgenutzt werden können. Wenn also ein böswilliger Akteur die Fernanmeldung eines gültigen Benutzers kompromittiert und dann eine lokale Schwachstelle ausnutzt, um eine Erhöhung der Berechtigungen zu erreichen, würde virtuelles Patching nicht davor schützen. Tatsächlich "patcht" das virtuelle Patching nichts - es hindert den Angreifer lediglich daran, einige Schwachstellen aus der Ferne auszunutzen.
Virtuelles Patching beruht auf bekannten Netzwerk-"Signaturen" oder Profilen und kann daher überwunden werden, wenn der Angreifer zusätzliche Verschlüsselungsebenen hinzufügt oder einen Teil des bekannten Angriffspfads ändert. Es ist am besten als zusätzliche Schicht innerhalb der Firewall zu betrachten und nicht als echte Patching-Lösung, ähnlich wie bei Firewalls auf Anwendungsebene.
Gelingt es dem Angreifer jedoch, die Firewall zu umgehen, funktioniert der Schutz überhaupt nicht mehr. Wenn nämlich mehrere Systeme zum Schutz vor Schwachstellen auf diese Firewall angewiesen sind, bedeutet eine Umgehung der Firewall (entweder durch Verschlüsselung, Fernzugriff oder Änderung der Angriffssignatur), dass alle Systeme gefährdet sind.
Wenn ein Angriff abgewehrt wird, sieht es für einen außenstehenden Akteur einfach so aus, als ob er nicht funktioniert hätte, so dass dieser Akteur davon ausgehen könnte, dass das angegriffene System nicht anfällig ist oder tatsächlich gepatcht wurde (daher der Name). Wie beim Live-Patching werden zu keinem Zeitpunkt irgendwelche Dateien aktualisiert.
Schlussfolgerung
Zusätzliche Sicherheitsebenen sind immer wünschenswert. Aus diesem Grund gibt es Firewalls, Patching, Virenschutz und eine Reihe anderer Tools, die das Sicherheitsprofil eines Systems oder einer Umgebung verbessern. Jede Klasse von Patching-Mechanismen verfolgt unterschiedliche Ziele und setzt auf verschiedenen Ebenen einer IT-Infrastruktur an.
Wenn es Ihnen wichtig ist, dass Ihre Systeme sicher laufen und Sie möglichst viele Sicherheitslücken schließen wollen, die entweder lokal oder aus der Ferne ausgenutzt werden können, dann ist Live-Patching die beste Lösung für Ihre Situation.
Wenn Sie darüber hinaus virtuelles Patching hinzufügen möchten, sollten Sie dies als Schutz auf Netzwerkebene betrachten - nicht als Patching auf Systemebene.
