Ausnutzung von Schwachstellen
Security 101: Virtuelles Patching
Virtuelles Patching — oder Schwachstellen-Shielding — fungiert als Sicherheitsmaßnahme gegen Bedrohungen, die bekannte und unbekannte Schwachstellen ausnutzen.
Save to Folio
Originalartikel von Trend Micro
Die Online-Infrastrukturen von Unternehmen werden immer komplexer – angefangen mit der Dezentralisierung bis zum Einsatz von Technologien für die Cloud, Mobilität und dem Internet-of-Things (IoT). Als Folge davon gestaltet sich auch das Patch Management immer zeitaufwändiger und ressourcenintensiv. Doch das Verzögern oder Verschieben des Aufspielens von Patches birgt ein hohes Risiko. Das zeigen auch die Zahlen für 2019, als 60% der Sicherheitsvorfälle auf nicht eingespielte Patches zurückgingen. Datendiebstähle können zu finanziellen Verlusten von Millionen Dollar führen, abgesehen von den hohen Strafen an die Behörden.
Doch nicht nur das Risiko eines Datendiebstahls droht beim Verschieben des Patchens, sondern auch Ransomware und gezielte Kampagnen missbrauchen nicht geschlossene Sicherheitslücken. Hinzu kommt, dass im Zuge der Covid-19-Pandemie Unternehmen gezwungen waren, auf die Arbeit aus dem Homeoffice zurückzugreifen. Damit aber wird das Patchen von Sicherheitslücken in Technologien, die in diesen Szenarien eingesetzt werden (etwa VPN) noch dringlicher. 2020 führte der VPN-Fehler CVE-2019-11510 zu nahezu 800.000 Erkennungen, obwohl es sich um eine relativ neue Sicherheitslücke handelt. Weitere Einzelheiten liefert der jährliche Sicherheitsbericht von Trend Micro. Was können Unternehmen tun?
Warum stellt Patching eine Herausforderung für Unternehmen dar?
Unternehmen stehen beim Aufsetzen einer Schwachstellen- und Patch-Management-Policy vor einigen Herausforderungen:
- Kontinuität von Geschäftsprozessen. Zwar ist das regelmäßige Aufspielen von Updates eine Good Practice, doch halten viele Unternehmen den Patching-Prozess für so langsam, störend und teuer, dass einige ihn aufschieben (oder gar ganz auslassen), um betriebliche Auszeiten zu vermeiden.
- Anzahl der zu patchenden Schwachstellen. Diese Hürde gilt vor allem für Organisationen, die ihre IT-Infrastrukturen ständig upgraden, da sie eine steigende Zahl von Sicherheitslücken zu patchen haben. Den Daten von Trend Micro zufolge, in die der Input von mehr als 3.500 unabhängigen Forschern der Zero Day Initiative (ZDI) einfließt, stieg die Zahl der entdeckten und gemeldeten Schwachstellen zwischen 2017 und 2018 um 34%.
- Eingeschränkte Sichtbarkeit. Größere Online-Infrastrukturen erfordern auch komplexere Update-Prozesse. Diese werden noch komplizierter, wenn die IT-Infrastruktur fragmentiert ist, verschiedene Versionen von Betriebssystemumgebungen und Anwendungen beinhaltet und dazu noch geografisch verteilt ist.
- Häufigkeit der Patch-Zyklen. Auch dies kann ein effizientes Patch Management behindern, vor allem, wenn es schwierig ist festzulegen, welche Schwachstellen die relevantesten und kritischsten sind.
- Legacy- und nicht zu patchende Systeme. Möglicherweise werden für solche Systeme, die das Ende ihres Lebenszyklus oder des Supports erreicht haben, keine Patches mehr veröffentlicht. Sie werden aber dennoch weiter eingesetzt, weil sie geschäftskritische Prozesse unterstützen. Embedded-Systeme, wie die in Point-of-Sale Terminals, IoT-Geräten und industriellen Steuerungssysteme haben häufig Softwarekomponenten, die nicht mehr gepatcht werden können.
Was passiert mit nicht gepatchten IT-Infrastrukturen?
Sobald eine Schwachstelle veröffentlicht, gemeldet oder entdeckt wird, beginnt für Unternehmen ein Wettlauf gegen die Zeit. Für Cyberkriminelle und Bedrohungsakteure stellt dies eine Chance dar. Eine durchschnittliche Organisation benötigt beispielsweise etwa 69 Tage, um eine kritische Schwachstelle in einer Anwendung zu patchen.
Diese Zeitspanne der Exponiertheit macht nicht gepatchte Systeme anfällig für Bedrohungen. Im Januar 2020 starteten Bedrohungsakteure Angriffe auf nicht gepatchte Server, um Ransomware zu installieren. Sie bedrohten die Netzwerke von mehr als 80.000 Unternehmen.
Wie kann virtuelles Patching helfen?
Virtuelles Patching — oder Schwachstellen-Shielding — fungiert als Sicherheitsmaßnahme gegen Bedrohungen, die bekannte und unbekannte Schwachstellen ausnutzen. Virtuelles Patching implementiert Schichten von Sicherheits-Policies und Regeln, die einen Exploit daran hindern, Netzwerkpfade von und zu einer Schwachstelle zu benutzen.
Eine gute virtuelle Patching-Lösung muss mehrschichtig sein. Sie sollte Fähigkeiten beinhalten, die bösartige Aktivitäten aus dem geschäftskritischen Verkehr inspizieren und blockieren, das Eindringen erkennen und verhindern, Angriffe auf webbasierte Anwendungen abwehren und flexibel in physischen, virtuellen oder Cloud-Umgebungen eingesetzt werden können.
Virtuelles Patching ergänzt die im Unternehmen vorhandenen Sicherheitstechnologien sowie die Schwachstellen- und Patch-Management-Policies. Es bietet einige Vorteile:
- Bringt zusätzliche Zeit. Virtuelles Patching gibt Sicherheitsteams die benötige Zeit, um die Schwachstelle zu prüfen und die erforderlichen permanenten Patches zu testen sowie aufzubringen. Den Entwicklern und Programmierern von In-House-Anwendungen liefert virtuelles Patching die Zeit, um Fehler im Code zu beheben.
- Vermeidet unnötige Ausfälle. Virtuelles Patching gibt Unternehmen mehr Freiheit, um Management-Policies nach eigenem Zeitplan durchzusetzen. Damit wird der potenzielle Umsatzverlust durch ungeplante oder überflüssige Störungen im Geschäftsbetrieb verringert.
- Verbessert die Richtlinien-Compliance. Virtuelles Patching unterstützt Unternehmen dabei, ihre Fristen einzuhalten, die beispielsweise von der DSGVO und der Payment Card Industry (PCI) gesetzt sind.
- Liefert eine zusätzliche Sicherheitsschicht. Virtuelles Patching beliefert Komponenten in den IT-Infrastrukturen, für die es keine neuen Patches mehr gibt (z.B. Legacy-Systeme und nicht mehr unterstützte Betriebssysteme wie Windows Server 2008) oder für die Patchen zu kostspielig wäre, mit Sicherheitskontrollen.
- Bringt Flexibilität. Virtuelles Patching verringert die Notwendigkeit von Workarounds oder Not-Patches. Es erleichtert beispielsweise die Bewertung bestimmter Punkte im Netzwerk, die Patching erfordern (oder wenn ein Patch auf alle Systeme angewendet werden muss).
Trend Micro Cloud One™ ist eine Sicherheitsservice-Plattform für Unternehmen, die in der Cloud entwickeln. Sie beinhaltet umfassende und detaillierte Lösungen, die auf Anforderungen an Sicherheit heute und in Zukunft zugeschnitten sind. Sei es für die Migration in die Cloud, die Bereitstellung Cloud-nativer Anwendungen oder die Einrichtung eines Cloud-Kompetenzzentrums –die Lösung liefert automatisierte und flexible All-In-One-Sicherheit.
Trend Micro Apex One™ bietet virtuelles Patching für den frühesten Schutz vor Sicherheitslücken über eine Vielzahl von Endpunkten hinweg, einschließlich Point-of-Sale (PoS), Internet of Things (IoT)-Geräten und Systemen mit Betriebssystemen, die nicht mehr unterstützt werden.
Trend Micro™ TippingPoint® Threat Protection System bietet virtuelles Patching und umfassenden Zero Day-Schutz über Digital Vaccine®-Filter vor angreifbaren Netzwerklücken.
Trend Micro™ Deep Discovery™ liefert Erkennung, tiefgehende Analyse und proaktive Reaktion auf Angriffe, die Exploits nutzen, und andere ähnliche Bedrohungen. Dafür setzt die Lösung auf spezialisierte Engines, anpassbare Sandboxen und eine nahtlose Korrelierung des gesamten Angriffslebenszyklus. Somit können Bedrohungen auch entdeckt werden, ohne dass ein Update der Engine oder Pattern vonnöten wäre.
Weitere Informationen dazu bietet die Infografik:
