Effektives Patch-Management mit Zero Trust

Nach Ansicht mancher Sicherheitsexperten lässt sich das Patch-Management auf den bekannten Nike-Slogan reduzieren: Just Do It. Wer jedoch Erfahrung in der Verwaltung von Netzwerken hat, weiß, dass es nicht so einfach ist. Natürlich kommt es immer wieder vor, dass verfügbare Patches für kritische Schwachstellen aus reiner Nachlässigkeit nicht angewandt werden. Jedoch gibt es auch legitime Gründe dafür, bei bestimmten Systemen oder Software auf Patches zu verzichten, so z. B. bei Produktivsystemen, die ständig laufen müssen (etwa in medizinischen Einrichtungen). Daneben gibt es Legacy-Systeme mit Abhängigkeiten, die bei Anwendung eines Patches nicht mehr funktionieren würden. Und es gibt Fälle, in denen durch Patches zusätzliche Schwachstellen entstehen, sodass das IT-Team keine andere Wahl hat, als die Patchebene wieder zurückzusetzen. Fest steht aber auch: Viele Datenpannen, die in letzter Zeit Schlagzeilen machten, waren auf fehlende Patches zurückzuführen. Equifax, WannaCry und der britische National Health Service sind nur einige der spektakulärsten Beispiele für Sicherheitsverletzungen, die durch ungepatchte Systeme verursacht wurden.

Unternehmen, die bekannte Sicherheitslücken nicht durch Patches schließen, nehmen – ausdrücklich oder stillschweigend – Risiken in Kauf. Zwar müssen bestehende Risiken keinesfalls immer um jeden Preis gemindert werden.¹ Sehr wohl stehen die Verantwortlichen jedoch in der Pflicht, die Risiken zu kennen, einzuschätzen und zu kommunizieren, die jeweils mit ihrem Handeln bzw. Nichthandeln verbunden sind. Bei Cybersicherheitsrisiken, die aufgrund von Entscheidungen zum Patch-Management entstehen, muss das Unternehmen auf die potenziellen Folgen von Schwachstellen im System X hingewiesen werden: Fernzugriff Unbefugter auf die Ressourcen Y, Datenverluste, DoS-Angriffe (Denial of Service), Infizierung durch Malware usw. Damit dies überhaupt möglich wird, benötigen IT- und Sicherheitsteams bessere Methoden für das Patch-Management. Angesichts der hohen Anzahl gemeldeter bzw. veröffentlichter Schwachstellen kann sich kein Unternehmen leisten, hier tatsächlich nach dem Motto „Just Do It“ vorzugehen. Patch-Management auf Ad-hoc- oder Einzelfallbasis wird mit Sicherheit dazu führen, dass kritische Patches übersehen bzw. falsch angewendet und unbekannte, unvorhergesehene oder unbeabsichtigte Risiken unfreiwillig in Kauf genommen werden – oder Schlimmeres.

Organisationen brauchen einen besseren Ansatz. Dave Lewis, Advisory CISO bei Duo Security, bringt es auf den Punkt: „Unternehmen müssen lernen, besser zu patchen, intelligenter zu patchen und die Qualität und Effizienz ihres Patch-Managements zu optimieren.“ Es würde den Rahmen dieses Blogbeitrags sprengen, im Einzelnen auf die richtige Führung eines kompletten Patch-Management-Programms einzugehen. Stattdessen soll hier ein Ansatz vorgestellt werden, der sich in der Praxis bewährt hat und IT- und Sicherheitsteams bei der Entwicklung einer sinnvollen Patch-Management-Strategie unterstützen kann: die Implementierung eines Zero-Trust-Netzwerks.

Die Herausforderungen heutiger Netzwerke

Die Zeiten, in denen Netzwerke am Organisationsstandort lokal installiert waren, intern verwaltet wurden, und flache Architekturen aufwiesen, sind vorbei. Die Umstellung auf Cloud- und virtuelle Umgebungen, Nutzung von Mitarbeitergeräten (BYOD), verteilte Netzwerke usw. stellt IT- und Sicherheitsteams vor völlig neuartige Herausforderungen, die sich nur durch neue Methoden bewältigen lassen. Da Patch-Management und andere Cybersicherheitsinitiativen die Verfügbarkeit und Zuverlässigkeit der dynamischen, automatisch skalierenden Netzwerke von heute beeinträchtigen können, müssen Technologieteams bessere Lösungsansätze finden.

Sicherheitsexperten schreien es seit Jahrzehnten von den Dächern: Es ist gefährlich, alle wertvollen Ressourcen an einem Ort aufzubewahren! Netzwerksegmentierung kann jedoch ein schwieriger, langwieriger und kostspieliger Prozess sein. Ähnlich wie beim Patch-Management gilt auch hier, dass die Segmentierung (ganz zu schweigen von der neueren „Mikrosegmentierung“) oft zugunsten anderer Aufgaben vernachlässigt wird, die sich leichter bewältigen lassen. Tatsächlich kann Segmentierung bzw. Mikrosegmentierung mit veralteten Methoden und Technologien selbst hochqualifizierte Netzwerk-Spezialisten an den Rand der Verzweiflung treiben. Dabei bietet sie eine überaus effektive Möglichkeit zur besseren Verwaltung geschäftskritischer Systeme und aller anfallenden Aktualisierungen dieser Systeme.

Zero Trust als bessere Alternative

Zero Trust stellt die herkömmlichen Netzwerkkonzepte auf den Kopf. Traditionell galt für den Zugriff auf das Unternehmensnetzwerk und innerhalb des Netzwerks das Prinzip „Vertraue, aber überprüfe“. Beim Zero-Trust-Ansatz hingegen müssen sämtliche User, Anwendungen, Hosts, der gesamte Traffic usw. anhand einer Reihe unveränderlicher Attribute überprüft werden, bevor sie kommunizieren dürfen. Diese Attribute bilden sozusagen den „Fingerabdruck“ der betreffenden Entität. Zudem bezieht sich das Vertrauen, das Anwendungen, Prozessen, Usern usw. nach erfolgreicher Überprüfung gewährt wird, jeweils nur auf diese einzige Verbindung. Jedes Mal, wenn eine Kommunikation über ein Zero-Trust-Netzwerk initiiert wird, muss die betreffende Entität erneut verifiziert werden. So lässt sich sicherstellen, dass kein Angreifer die Kommunikation abgefangen, sich hinter genehmigten Kontrollen versteckt oder Malware in das System eingeschleust hat.

Was das mit Patch-Management zu tun hat? In einem Zero-Trust-Netzwerk gilt für alle Systeme – Server, Anwendungen, Datenbanken, Hosts usw. – das Prinzip der minimalen Rechtevergabe. Nur Systeme, Anwendungen usw., die wirklich Zugriff auf ein anderes System, eine andere Anwendung usw. benötigen, werden automatisch so konfiguriert, dass sie Kommunikation von anderen Netzwerkverbindungen senden und empfangen können. Herkömmliche Netzwerke hingegen bestehen bis zu 98 % aus Kommunikationspfaden, die weder genutzt noch verwaltet werden. Konkret heißt das, dass sowohl legitime Anwendungen und Services als auch schädlicher Traffic über diese Pfade kommunizieren können. Zero Trust blockiert alle ungenutzten bzw. unnötigen Verbindungen und schränkt dadurch den Gesamtumfang der möglichen Kommunikation drastisch ein. Je weniger Ressourcen mit einem ungepatchten System kommunizieren, desto geringer ist auch die Wahrscheinlichkeit, dass Sicherheitslücken durch Exploits ausgenutzt werden.

Außerdem enthalten die für ein Zero-Trust-Netzwerk erstellten Fingerabdrücke Informationen zu Produkt- bzw. Gerätenamen, Versionen und Patchebenen. So können die Systemadministratoren über Probleme im Patch-Management benachrichtigt werden und die beste Entscheidung im Interesse des Unternehmens treffen. Beispielsweise könnten Sicherheitsteams eine Richtlinie implementieren, die besagt: „Vor einer Verbindung warnen, wenn 2.3.35 oder 2.5.17 in Version 2.3 von Apache nicht ausgeführt wird.“ Anhand dieser Informationen kann das Sicherheitsteam entscheiden: Soll die Anwendung segmentiert werden, bis sie repariert ist? (Diesen Weg würde man wohl nur im Ausnahmefall gehen.) Oder akzeptiert man das Risiko, den Patch nicht anzuwenden, und erklärt der Geschäftsleitung, warum das in diesem Fall die bessere Alternative ist?²

Patch-Management-Tools können Organisationen natürlich dabei unterstützen, im Blick zu behalten, was wo in ihrer unübersichtlichen Netzwerkumgebung passiert. Sie können jedoch nicht verhindern, dass Software kommuniziert, falls Malware vor einem Patch oder gar dessen Entwicklung ins System gelangt. Durch Isolierung und Eingrenzung kritischer Ressourcen in einem Zero-Trust-Netzwerk können Organisationen ungepatchte Sicherheitslücken erkennen, bevor sie ausgenutzt werden. Außerdem nützt kein noch so effektives Patch-Management etwas, wenn kein Patch für die jeweilige Sicherheitslücke vorhanden ist. Für Zero-Day-Angriffe und andere Situationen, die sich durch Patching nicht lösen lassen (siehe die eingangs in diesem Beitrag erwähnten Fälle), müssen „Organisationen ihre Systeme so auslegen, als ob ständig ein Zero-Day-Angriff bevorstünde und nicht mit einem Patch zu rechnen ist“, so der Gründer von Security Weekly Labs, Adrian Sanabria, in einem Blogbeitrag über den Apache-Struts-Exploit. Eine Zero-Trust-Netzwerkarchitektur gewährleistet Systemhärtung unabhängig vom Patch-Level der betreffenden Organisation und empfiehlt sich daher als intelligentere Methode, eine Wiederholung des Equifax-Desasters zu verhindern. Zero Trust bietet die granulare Kontrolle über verteilte Netzwerkumgebungen, die sich jedes Sicherheitsteam wünscht. So können Unternehmen ungestört ihre Geschäftsziele verfolgen, ohne unnötige oder unkontrollierte Risiken einzugehen.

1. Laut einer Studie von Kenna Security und des Cyentia Institute haben zwar 23 % der veröffentlichten Sicherheitsrisiken einen zugehörigen Exploit-Code. In der Praxis wurden jedoch weniger als 2 % dieser Sicherheitsrisiken ausgenutzt. Herkömmliche Maßnahmen zu ihrer Behebung gestalten sich dadurch sehr ineffizient, kostspielig und zeitaufwendig.

2. Dem Bericht „Prioritization to Prediction“ von Kenna/Cyentia zufolge ist nur schwer vorhersehbar, welche gemeldeten CVE-Schwachstellen tatsächlich für Exploits ausgenutzt werden und sogar in Zero-Trust-Umgebungen problematisch bleiben. Erschwerend hinzu kommt, dass einige CVE-Schwachstellen bereits vor ihrem Bekanntwerden ausgenutzt werden, was die Effektivität von Maßnahmen beträchtlich verringert.