ClickCease RSAC 2020: Einhaltung von Vorschriften durch schnelleres Patch-Management - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

RSAC 2020: Einhaltung von Vorschriften durch schnelleres Patch-Management

27. Februar 2020. TuxCare PR Team

RSAC 2020: Einhaltung von Vorschriften durch schnelleres Patch-Management

Während der RSA Conference 2020 hatte Igor Seletskiy, CEO von KernelCare, die Gelegenheit, die besten Praktiken für eine schnellere Patch-Verwaltung zu erläutern. In diesem Artikel finden Sie die wichtigsten Erkenntnisse aus seiner Rede.

Für Unternehmen ist die Einhaltung von Vorschriften kein Trend, sondern eine Notwendigkeit. Immer mehr Kunden wollen nur mit Ihnen Geschäfte machen, wenn Sie die Vorschriften einhalten. Die Nichteinhaltung von Vorschriften kann schwerwiegende Einbußen verursachen, sowohl bei den Einnahmen als auch im gesamten Unternehmen.

Bewährte Verfahren zur Einhaltung von Vorschriften betreffen alle Bereiche Ihres Unternehmens, von den Mitarbeitern und Personalabteilungen bis hin zum Kern Ihrer IT-Infrastruktur. Es gibt Dutzende von Standards, aus denen Sie wählen können.

Folie mit Giftflasche und IT-Sicherheitsstandards

In SOC2 oder dem Sarbanes-Oxley Act heißt es beispielsweise, dass "Software-Schwachstellen innerhalb von 30 Tagen behoben werden müssen". Wenn Sie jemals eine Serverflotte verwaltet haben, wissen Sie, dass das leichter gesagt als getan ist.

Deshalb möchte ich Ihnen heute erläutern, wie Sie durch die Optimierung Ihrer Patch-Verwaltung die Vorschriften einhalten können und warum die Patch-Verwaltung für die Sicherheit und die Einhaltung der Vorschriften so wichtig ist.

 

Warum ist Patch-Management wichtig?

Erstens: Warum ist Patch-Management so wichtig?

Wir alle wissen, dass veraltete oder anfällige Software eine der Hauptursachen für Sicherheitsverstöße ist. Hier sind einige Beispiele, die uns an diese Tatsache erinnern:

  1. Die Datenpanne bei Equifax im Jahr 2017, bei der eine nicht gepatchte Apache Struts-Schwachstelle dazu führte, dass Hacker die Daten von fast 150 Millionen Kunden stahlen. Die Sicherheitslücke bedeutet, dass ein Hacker Befehle mit den Rechten des Webservers ausführen kann. Es handelt sich um eine vollständige Remote-Befehlsausführung, die seit der ersten Offenlegung aktiv ausgenutzt wird. Equifax hat fast 700 Millionen Dollar verloren und ist immer noch dabei, die Kosten für ihr ... sagen wir freundlich "Versehen" zu berechnen.
  2. Der Marriott Data Breach im Jahr 2018, ein Hack, bei dem zwischen 300 und 500 Millionen Kundendatensätze aus einem Hotelreservierungssystem durchsickerten. Marriott erhielt am 8. September desselben Jahres von einem internen Sicherheitstool eine Warnung, dass jemand versuchte, auf die Starwood-Gästebuchungsdatenbank in den Vereinigten Staaten zuzugreifen. Die Nachforschungen ergaben, dass ein Unbefugter Daten aus der Datenbank kopiert, verschlüsselt und heruntergeladen hatte. Der Grund für diese Datenpanne war eine nicht gepatchte Software auf einem System, das zuvor von Marriott erworben worden war (das Starwood-Netzwerk), die es Hackern ermöglichte, sich Zugang zur Kundendatenbank zu verschaffen.
  3. Datenpanne bei einem Fortune-500-Energieunternehmen. Ein ungenanntes Energieversorgungsunternehmen hat gegen verbindliche Sicherheitsvorschriften verstoßen, indem es mehr als ein Jahr lang Software-Patches für das physische Kontrollsystem ignorierte und damit die Stromversorgung von Millionen von Haushalten gefährdete. Die Ursache war eine fehlerhafte Konfiguration, die das System daran hinderte, sich automatisch zu aktualisieren. Das Unternehmen hatte keine Backups, weil das System außer Betrieb genommen wurde. Ein manuelles Patchen wollte man nicht vornehmen, da dies einen Neustart bedeutet hätte. Obwohl das Unternehmen den Vorfall selbst beim Western Electricity Coordinating Council meldete und eine Strafe zahlte, blieb es bis Juli 2017 nicht konform, als die fraglichen physischen Zugangskontrollsysteme ersetzt und ein neues Programm zur Verwaltung von Sicherheitspatches eingeführt wurde.

Verwandter Beitrag: Drei namhafte Datenschutzverletzungen

Dies sind nur einige der vielen Fälle, die die Bedeutung des Patch-Managements verdeutlichen. Das Problem ist, dass nur die großen Namen und großen Datenschutzverletzungen in die Schlagzeilen kommen. Um zu sehen, was ich meine, werfen Sie einen Blick auf privacyrights.org. Dort gibt es eine Tabelle mit über 9000 Fällen, und das nur in den USA. Stellen Sie sich nur einmal all die anderen nicht gemeldeten Fälle im Rest der Welt vor.

Wir sollten also alle wissen, dass anfällige Software innerhalb von 30 Tagen nach Bekanntwerden einer Sicherheitslücke gepatcht werden muss. Eine wesentliche IT-Sicherheitspraxis besteht darin, nach Schwachstellen zu suchen und sie dann zu patchen, in der Regel über ein Patch-Management-Tool.

 

Unbedingt verwenden: Schwachstellenscanner und Patch-Management-Tools

Vielleicht haben Sie schon von einigen dieser Schwachstellen-Scanner gehört.

    1. Qualys
    2. Nessus
    3. Schnell7

Solche Tools machen das Schwachstellenmanagement viel einfacher. Sie sind sogar in der Lage, Schwachstellen für Sie zu finden und zu beheben, was den Sicherheits- und Betriebsmitarbeitern sehr hilft. Scanner erkennen und klassifizieren Systemschwächen, setzen Prioritäten bei der Behebung und können manchmal helfen, die Wirksamkeit von Gegenmaßnahmen vorherzusagen.

In der Regel wird die Angriffsfläche des Ziels in einer Datenbank mit Informationen über bekannte Sicherheitslücken nachgeschlagen, einschließlich solcher Details wie Anomalien im Paketaufbau und Pfade zu ausnutzbaren Programmen oder Skripten.

  1. Tools zur Patch-Verwaltung
    1. Yum / apt Update
    2. Ansible
    3. Marionette
    4. SaltStack
    5. Chefkoch
    6. Weltraumspaziergang

Automatisierte Tools für die Patch-Verwaltung wie diese nehmen den Druck von den Systemadministratoren. Wenn Sie mit einem von ihnen sprechen, werden sie Ihnen sagen, wie toll es ist, etwas zu haben, das automatisch Patches für verschiedene Geräte herunterlädt und installiert. Linux-Server-Patches werden schneller und zuverlässiger bereitgestellt.

 

Patching-Management - einige bewährte Verfahren

Unternehmen denken in der Regel über den Einsatz automatischer Patch-Management-Tools nach, wenn ihre Linux-Serverflotte auf über 40 oder 50 Server anwächst. Bei dieser Anzahl sind die IT-Abteilungen mit dem manuellen Patchen so überfordert, dass sie nur noch die Patches mit dringenden oder hohen Prioritäten verteilen.

Beim Linux-Patching geht es um mehr als eine einfache Aktualisierung des Quellcodes eines Kernels. Diese Patches umfassen Aktualisierungen, die die Systemsicherheit gewährleisten, Fehler minimieren und die neuesten Funktionen einführen. Am wichtigsten ist jedoch, dass eine ordnungsgemäße Patch-Verwaltung die Sicherheit eines Unternehmens erheblich verbessern kann, indem sie die Schwachstellen in der Software und den Betriebssystemen behebt.

Das Patchen von Linux-Servern kann jedoch sehr komplex sein. Die Entwicklung von Open-Source-Software ist weniger reglementiert, so dass die Aktualisierungen in unvorhersehbaren Abständen erscheinen. Open-Source-Software läuft außerdem an jedem Punkt des Software-Stacks, so dass Änderungen sorgfältig analysiert werden müssen.

Während die meisten Aktualisierungen so einfach sind wie ein Linux-Befehl, geht es nicht nur um die technischen Aspekte. Es gibt auch organisatorische Aspekte. Sie müssen den Überblick darüber behalten, was aktualisiert werden muss, und die Auswirkungen der Aktualisierungen verstehen. Die Aktualisierungen müssen getestet und gestaffelt werden, und die Änderungen müssen abteilungsübergreifend kommuniziert werden.

Geld auf dem blauen Hintergrund und Flickwerk ist teurer Text

Laut einer Studie des Ponemon Institute verbringen Unternehmen jährlich durchschnittlich 18.000 Stunden mit Kosten von 1,1 Millionen Dollar mit Patching-Aktivitäten. Trotz dieses Aufwands haben viele Unternehmen festgestellt, dass sich die Zeit, in der ein Exploit für eine bestimmte gepatchte Schwachstelle auftaucht, verkürzt hat. Ohne die Implementierung von Best Practices für die Patch-Verwaltung verschwenden Unternehmen Zeit und riskieren, dass Angriffen Tür und Tor geöffnet werden.

In dieser Ponemon-Studie wurde auch festgestellt, dass fast zwei Drittel der Opfer von Cyberangriffen angaben, dass die Anwendung eines Patches einen Angriff verhindert hätte. Und ein Drittel gab an, dass sie vor dem Angriff von der Schwachstelle wussten, aber nichts unternahmen. Beängstigend.

Ein solider Patch-Management-Prozess ist also ein wesentlicher Bestandteil eines ausgereiften Sicherheitsrahmens. Je schneller Sie den richtigen Patch auf die richtige Anwendung anwenden können, desto sicherer wird Ihre Umgebung sein.

 

Die Patch-Verwaltung ist zwar eine Herausforderung, aber nicht unmöglich. Es gibt eine Reihe von Best Practices für die Patch-Verwaltung, die Unternehmen zu ihrem Vorteil nutzen:

  1. Zunächst wird eine umfassende Bestandsaufnahme der gesamten Software und Hardware in der Umgebung durchgeführt. Sobald ein Unternehmen ein klares Bild von seinem Bestand hat, vergleicht es die bekannten Schwachstellen mit dem Inventar, um schnell herauszufinden, welche Patches wichtig sind.
  2. Ich habe bereits erwähnt, dass Unternehmen im Durchschnitt 18.000 Stunden pro Jahr damit verschwenden, die falschen Systeme zu patchen. Es gibt eine Möglichkeit, dies zu vermeiden. Obwohl alle Systeme gepatcht werden sollten, ist es sinnvoll, jedem Element im Inventar Risikostufen zuzuweisen. So kann beispielsweise das Patchen einiger Komponenten eine geplante Aktivität sein, während die Anwendung von Sicherheitsupdates gegen wichtige CVEs im Linux-Kernel für das Unternehmen kritisch ist. Eine goldene Regel lautet: Je anfälliger ein Element für Angriffe ist, desto schneller sollte es gepatcht werden.
  3. Unternehmen sind es gewohnt, Softwareversionen (und die Software selbst) zu konsolidieren. Je mehr Versionen einer Software das Unternehmen verwendet, desto höher ist das Risiko einer Gefährdung. Außerdem entsteht dadurch ein hoher Verwaltungsaufwand. Überprüfen Sie in regelmäßigen Abständen die gesamte verwendete Software und ihren Zweck. Wenn Sie mehrere Softwareversionen finden, die dieselbe Funktion erfüllen, wählen Sie eine aus und entsorgen Sie den Rest.
  4. Eine weitere gängige Praxis bei der Patch-Verwaltung besteht darin, sich über die Patch-Ankündigungen der Hersteller auf dem Lauf enden zu halten und einen Prozess zu erstellen, der sicherstellt, dass jeder Patch in den Patch-Plan aufgenommen werden kann.
  5. Manchmal erfordert die Anwendung eines Patches mehr Zeit - dann nämlich, wenn die Änderungen vorgenommen werden müssen, damit der Patch funktioniert. In solchen Fällen müssen die Unternehmen das Risiko so weit wie möglich abmildern. Es ist wichtig, die Auswirkungen und die Wahrscheinlichkeit einer Sicherheitslücke zu verringern, bis der Patch sicher angewendet werden kann.
  6. Egal, wie sehr Sie sich darauf freuen, einen neuen Patch in die Hände zu bekommen und ihn auf alle Prod-Server auf einmal anzuwenden - testen Sie ihn zuerst. Denn jede Umgebung ist einzigartig - selbst ein einfacher Patch kann Probleme verursachen oder Ihre Server zum Absturz bringen. Normalerweise nehmen Unternehmen eine kleine Teilmenge ihrer Systeme und wenden den Patch auf diese an, um sicherzustellen, dass keine größeren Probleme auftreten.

Linux-Kernel patchen

99 % der Patching-Arten erfordern keinen Systemneustart. Aber wenn es um Linux-Kernel-Patches geht, wenden 99 % der Unternehmen Patches auf die gleiche Weise an: durch einen Neustart ihrer Server. Da der Neustart einer Serverflotte Kopfzerbrechen bereitet, wird er so lange wie möglich aufgeschoben. Das bedeutet, dass Patches nicht so früh wie möglich angewendet werden. Diese Diskrepanz zwischen der Ausgabe von Patches und der Anwendung von Patches birgt Risiken und birgt auch Fehlverhalten.

Außerdem können die meisten Unternehmen nicht offline gehen, so dass es eine Herausforderung ist, die Systemsoftware auf dem neuesten Stand zu halten. Unternehmen gehen damit um, indem sie Wartungsfenster oder Neustartzyklen entwickeln und diese strikt einhalten. Diese Praktiken erfordern viel Zeit für die Planung und eine Menge Ressourcen für die Umsetzung, und sie enden immer noch mit einem Systemneustart und dem Beginn eines weiteren Neustartzyklus. Hier ist ein typischer Patch-Prozess.

 

  1. Zunächst müssen Sie wissen, was Sie patchen müssen. Das bedeutet, dass Sie über ein genaues Systeminventar verfügen müssen, das alle Dienste und Plattformen im gesamten Unternehmen abdeckt.
  2. Dann müssen Sie die Auswirkungen ermitteln und eine Art Veränderungsmanagement einführen.
  3. Man muss testen, und das muss wiederholbar und überprüfbar sein.
  4. Und dann die Freude, mit Dutzenden von Beteiligten über Wartungsfenster zu verhandeln, die alle darauf bedacht sind, ihre SLAs und Betriebszeitrekorde nicht zu gefährden.
  5. Dann machen Sie die Aktualisierung. Das ist oft der einfachste Teil, außer für die Ingenieure, die lange aufbleiben und am Wochenende arbeiten müssen.
  6. Schließlich planen Sie einen weiteren Neustart-Zyklus. Und so geht es weiter.

 

Aber warum ist dieser Prozess so aufwendig? Was ist der wahre Grund dafür? Ich werde es Ihnen sagen. Es liegt daran:

  1. Reboots sind schwer zu handhaben.
  2. Reboots erfordern die Planung von Ausfallzeiten.
  3. Reboots machen nervös - Was ist, wenn das System nicht mehr zurückkommt?
  4. Je mehr Server Sie haben, desto problematischer ist ein Neustart.

Viele Unternehmen mussten mit ungepatchter Software arbeiten mehr als 30 Tage lang arbeiten! 
Viele Fälle zeigen, dass schon ein Tag mit einem einem ungeschützten System zu einer Datenpanne führen kann 
und Milliarden von Dollar an Verlusten führen kann. 

 

KernelCare-Kunden haben vollständig gepatchte Server, die seit mehr als 6 Jahren ohne Unterbrechung laufen, und es unterstützt alle wichtigen Linux-Distributionen. Es funktioniert in der Cloud oder vor Ort, hinter Firewalls oder in Air-Gapped-Umgebungen. Es gibt sofort einsetzbare Unterstützung für Schwachstellen-Scanner und Patch-Management-Lösungen sowie für benutzerdefiniertes Kernel-Patching.

Das funktioniert folgendermaßen:

Patching-Prozess-Diagramm (1)

 

KernelCare hat Unternehmen mit mehr als 300 000 Servern geholfen, ihren SOC2-Konformitätsstatus zu erreichen. Hier sind ein paar von ihnen.

  1. Efinity Insurance - Ein Online-Versicherer mit Kunden in 14 Ländern und einer Menge persönlicher Daten. Sie verdienen ihr Geld mit dem Verkauf eines Echtzeit-Versicherungsangebotsdienstes. Er ist in Java implementiert und läuft auf CentOS in AWS. Aus verschiedenen Gründen kann die App nicht geclustert werden. Deshalb haben sie sich an uns gewandt, um ihre Server konform, d. h. gepatcht, zu halten, ohne die Verfügbarkeit des Dienstes zu verlieren. Lesen Sie mehr in dieser Fallstudie.
  2. Einer unserer Kunden ist ein berühmtes Unternehmen für digitale Online-Zahlungen, ein Fortune-500-Unternehmen mit Hunderten von Millionen Kunden, maßgeschneiderten Linux-Kerneln und streng abgeschirmten Systemen. Ich bin sicher, Sie würden sie kennen, wenn ich den Namen verraten dürfte, aber wir haben eine NDA mit ihnen unterschrieben, also tut es mir leid. Alles, was ich sagen kann, ist, dass sie auch KernelCare verwenden, um Hunderte verschiedener Kernel ohne Neustart mit Sicherheitspatches zu versorgen, was für kontinuierliche elektronische Zahlungsdienste unerlässlich ist. Lesen Sie mehr in dieser Fallstudie.
  3. Eine bekannte Videokonferenzlösung für Unternehmen. Deren Compliance-Analyst wandte sich zuerst an uns. Es stand ein SOC2-Audit an und die Neustartzyklen hinderten sie daran, die Compliance-Kriterien zu erfüllen. Sie testeten KernelCare 2 Monate lang und gingen dann zu einem formellen PoC über. Dieser lief nur 7 Tage, bevor sie KernelCare in die Produktion überführten. Wir halfen ihnen bei der Integration mit Ansible, um KernelCare auf über 7.000 Servern zu installieren. Wir bekamen auch großartiges Feedback und arbeiteten mit ihnen an der Integration mit dem Qualys-Schwachstellen-Scanner, der komplett saubere Scans sehen musste.

KernelCare verbessert die Konformität von mehr als 300 Tausend Servern verschiedener Unternehmen, bei denen die Verfügbarkeit von Diensten und der Datenschutz die wichtigsten Bestandteile des Geschäfts sind: Finanz- und Versicherungsdienstleistungen, Anbieter von Videokonferenzlösungen, Unternehmen, die Opfer häuslicher Gewalt schützen, Hosting-Unternehmen und öffentliche Dienstleister.

Wir bieten flexible Preise für verschiedene Serverflotten, eine kostenlose Testversion für alle und maßgeschneiderte Proof of Concepts für Kunden mit individuellen Infrastrukturen.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

 

 

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter