Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Live Patching - Ihr Weg zur Konformität
Januar 4, 2023 - TuxCare PR Team
Das National Institute of Standards and Technology (NIST) rät Organisationen, einschließlich des Gesundheitswesens, der Bundes- und Landesbehörden sowie Finanzdienstleistern, Software-Updates mit Hilfe von Tools für die Verwaltung von Unternehmens-Patches zu verteilen und dabei eine strukturierte Methode anzuwenden, um die damit verbundenen Risiken zu verringern, indem sie auf alle Hosts und Anwendungen angewendet werden.
Organisationen außerhalb der Bundesverwaltung übernehmen oft die NIST 800-171 Rahmenwerk wegen seiner breiten Abdeckung der Compliance und der Datenschutzvorgaben, die mit den verschiedenen darin definierten Kontrollen verwoben sind, einschließlich der Patch-Compliance und der empfohlenen Automatisierungsabläufe.
Live-Patching von TuxCare, das automatisierte Patches für Sicherheitslücken bereitstellt, ohne dass der Linux-Kernel neu gestartet werden muss, entspricht dem NIST 800-171-Framework, indem es beschleunigte kritische Patches für Linux-Hosts und andere Komponenten bereitstellt, die es Unternehmen ermöglichen, mit den neuesten Sicherheitslücken auf dem Laufenden zu bleiben.
Wie hilft Live-Patching also konkret bei der Einhaltung der einzelnen Vorschriften?
Live-Patching für FedRamp
Das FedRamp-Standardverfahren für die Beschaffung und Bereitstellung von Cloud-Diensten zielt darauf ab, die erforderlichen Sicherheitsinformationen für Regierungsbehörden und Organisationen bereitzustellen, die Geschäfte mit der Bundesregierung tätigen. FedRamp orientiert sich an NIST 800-53, und alle Bundesbehörden sind verpflichtet, diesen Rahmen einzuhalten.
Die Einhaltung der FedRamp-Vorschriften ist streng und kostspielig, aber sie eröffnet Unternehmen jeder Größe den Zugang zum wachsenden Cloud-Markt. Die Verwendung eines zugelassenen FedRamp CSP ist entscheidend für das Erreichen von Sicherheitszielen, einschließlich der Vertraulichkeit und des Datenschutzes; es geht um den Schutz personenbezogener Daten. Die Einhaltung von Patch-Management-Vorschriften hilft Abteilungen bei der Einhaltung gesetzlicher Vorgaben und reduziert gleichzeitig die Auswirkungen kritischer Schwachstellen, die verschiedene Angriffsflächen betreffen.
Live-Patching-Lösungen unterstützen Regierungsbehörden bei der Einhaltung von NIST 800-53 in zwei Bereichen der FedRamp-Vorschriften: Fehlerbehebung und Schutz vor bösartigem Code. Die FedRamp-Compliance-Kontrollen gelten nur für Cloud-Computing-Dienste.
Im Gegensatz zu anderen Patching-Ansätzen können Unternehmen mit Live-Patching automatisch die neuesten Patches anwenden, ohne die Systeme neu starten zu müssen. So können sie die Anforderungen von NIST 800-53 mit deutlich weniger manueller Arbeit und Ausfallzeiten erfüllen.
Einhaltung des CMMC-Wartungsbereichs
Um CMMC-konform zu sein, muss die Organisation ihre Aktivitäten überprüfen und dokumentieren, um die Effektivität zu bewerten, die oberste Führungsebene über etwaige Probleme informieren und sicherstellen, dass die Prozesse im gesamten Unternehmen optimiert werden.
Die CMMC Maintenance Domain (MD) veröffentlicht Richtlinien für die Priorisierung, Organisation und Durchführung von Wartungsarbeiten:
- 2.111 Durchführung von Patching-Wartung auf Systemen, die durch Compliance-Standards vorgeschrieben sind.
- 2.112 Kontrolle der Werkzeuge, Techniken und des Personals, die zur Durchführung der Systemwartung eingesetzt werden, einschließlich der Automatisierung des Patching-Managements.
- 2.113 MFA für den Aufbau von nicht lokalen Wartungssitzungen über externe Netzwerkverbindungen vorschreiben.
- 2.114 Beaufsichtigung der Instandhaltungstätigkeiten von Personal ohne erforderlichen Zugang.
Mit den Live-Patching-Lösungen von TuxCare für Linux-Hosts, OpenSSL, Open-Source-Datenbanken und andere kritische Bibliotheken können Kunden die Anforderungen des CMMC-Wartungsbereichs leichter erfüllen. Neben dem Patchen kritischer Systeme unterstützt TuxCare die interne Platzierung ihrer Patch-Management-Konsole in einem geschlossenen Air-Gap-Netzwerk zur sicheren Verteilung von Updates.
Patching als Präventivmedizin für die IT im Gesundheitswesen
Organisationen des Gesundheitswesens sollten alle Systeme kontinuierlich mit Patches versehen, um sie vor bekannten Sicherheitslücken zu schützen. Viele Organisationen des Gesundheitswesens geben zu, dass sie aufgrund von nicht gepatchten Schwachstellen eine Datenschutzverletzung erlitten haben. Aufgrund von Budgetproblemen im Gesundheitswesen verfügen viele Organisationen nicht über ein definiertes Schwachstellenmanagementprogramm mit einem unternehmensweiten Patch-Management-Prozess. Da immer mehr Gesundheitsdienstleister ihre Anwendungen in die Cloud verlagern, ist ein fortschrittliches Schwachstellenmanagement unerlässlich.
Verwaltung der HIPAA-Konformität mit begrenzten Ressourcen
Der HIPAA befasst sich nicht speziell mit dem Management von Schwachstellen, aber er deckt das Erkennen von Schwachstellen ab.
Die Vorschrift 45 C.F.R. § 164.308 (a) (5) (ii) (B) sowie ihr Bewertungsstandard in 45 C.F.R. § 164.308 (a) (8) decken auch Patch-Management-Prozesse ab.
Organisationen planen eine formelle Risikoanalyse und führen diese durch, um mögliche Verstöße gegen die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer personenbezogener Gesundheitsdaten gemäß 45 C.F.R. § 164.308 (a) (1) (i) (A) zu ermitteln. Danach sollten HIPAA-konforme Risikomanagementprozesse durchgeführt werden, wie in 45 C.F.R. § 164.308 (a) (1) (i) (B) angegeben.
Unternehmen müssen jedoch das Risiko, das von nicht gepatchter Software ausgeht, erkennen und mindern. Sie sollten eine Bestandsaufnahme der Software als eine Komponente ihres Plans zur Eindämmung von Sicherheitsangriffen einbeziehen. Die Aufrechterhaltung eines genauen Berichtssystems zum Patch-Compliance-Status hilft Organisationen im Gesundheitswesen, ihr Risiko für verschiedene Systeme und Anwendungen zu erkennen.
Live-Patching hat sich bei der schnellen Absicherung von Gesundheitssystemen als effektiv erwiesen, da es eine vollständige Automatisierung von Software-Schwachstellen-Updates ohne komplexe Änderungskontrollfenster, weniger SecOps-Ressourcen und ohne patchingbedingte Systemneustarts ermöglicht.
PCI 6.2 (Kreditkartenverarbeitung) Patching zum Schutz jedes Durchzugs
Um die PCI DSS-Anforderung 6.2 zu erfüllen, müssen Unternehmen, die Zahlungskartendaten verarbeiten, alle verfügbaren Sicherheitsupdates innerhalb eines Monats nach Verfügbarkeit auf allen relevanten Systemen installieren.
Alle Patching-Aktivitäten sollten über ein unternehmensweites Protokollverwaltungssystem für Sicherheitsanalysen und Compliance-Berichte gemeldet werden.
Warum ist Patching für die PCI-Konformität so wichtig?
- Angreifer können diese Schwachstellen ausnutzen, um ein System anzugreifen, zu stören oder unbefugten Zugriff auf sensible Daten zu erlangen.
- Unternehmen müssen bei der Anwendung von Sicherheitsupdates PCI-kritischen Infrastruktur-Systemen und -Geräten Vorrang einräumen.
Bei monatlichen oder jährlichen Prüfungen werden Unternehmen, die Kreditkarten auf nicht gepatchten oder anfälligen Systemen verarbeiten, mit Geldstrafen und dem Verbot der Annahme von Kreditkarten belegt, bis die Sicherheitsprobleme behoben sind und erneut geprüft werden.
Weitere PCI-Compliance-Anforderungen, einschließlich DS6.4, verlangen, dass alle sicheren Anwendungen und Systeme einem ordnungsgemäßen Änderungsmanagement unterliegen, einschließlich des Patchings von Sicherheitsupdates und speziellen Anwendungen, die Kreditkartensysteme unterstützen.
Kreditkartenverarbeitungs-Terminals mit Linux-Betriebssystemen können häufiger und schneller gepatcht werden, sobald Patches verfügbar sind, wenn Unternehmen einen Live-Patching-Ansatz wählen.
Unterstützung von PCI 6.4 Änderungskontrolle
Die PCI DSS-Anforderung 6.4 umfasst Verfahren zur Änderungskontrolle für alle Änderungen an Systemkomponenten.
Außerdem wurden Patches für die folgenden Punkte empfohlen:
- Patches sollten für alle Entwicklungs-, Vorstufen- und QA-Umgebungen gelten, ähnlich wie für Live-Produktionssysteme.
Unternehmen sollten einen Abstand zwischen den QA- und Entwicklungsumgebungen und den Daten der Karteninhaber in der Produktion einhalten. Dieser Abstand ist erforderlich, um zu verhindern, dass die Daten von Karteninhabern in der Produktion durch weniger sichere Konfigurationen und potenzielle Schwachstellen in QA- oder Entwicklungsplattformen gefährdet werden.
Erfüllung von Compliance-Vorgaben mit TuxCare
Die Einhaltung von Vorschriften ist für die meisten regulierten Unternehmen von entscheidender Bedeutung für den weiteren Betrieb. Unternehmen, die in regulierten Märkten tätig sind und deren IT-Systeme, Anwendungen und Cybersecurity-Schutz den verschiedenen Compliance-Vorschriften wie FedRamp, CMMC, HIPAA und PCI entsprechen müssen, können einen Live-Patching-Ansatz anwenden, um ihr Schwachstellen-Patching auf Autopilot zu stellen und die Einhaltung dieser Vorschriften zu erleichtern.
Nicht nur TuxCare bietet nicht nur automatisiertes Live-Patching ohne Neustart für alle gängigen Enterprise-Linux-Distributionen, sondern die TuxCare-Live-Patching-Lösungen zeichnen sich auch durch eine einwandfreie Interoperabilität mit Schwachstellen-Scannern, Sicherheitssensoren, Automatisierungs- und Reporting-Tools aus.
Neben Linux-Kerneln für Unternehmen stellt TuxCare Live-Patches für gemeinsam genutzte Bibliotheken, Virtualisierungsplattformen, Open-Source-Datenbanken und IoT-Geräte bereit - und auch für auslaufende Linux-Systeme wie CentOS 7.
Möchten Sie mit einem Linux-Patching-Experten sprechen, um zu erfahren, wie die Einführung eines Live-Patching-Ansatzes die betriebliche Effizienz Ihres Unternehmens verbessern kann?
Kontakt zu einem TuxCare-Experten
