Patch Management gilt heute als entscheidender Erfolgsfaktor zur Absicherung von IT-Systemen. Aber was, wenn es keine Patches gibt oder sich die Systeme aus Kompatibilitätsgründen nicht patchen lassen? [...]
Patch Management gilt unter anderem als eines der essenziellen Elemente, um IT-Systeme vor Cyberangriffen zu schützen und die Systemfunktionalität durchgehend zu gewährleisten. Es kann allerdings vorkommen, dass es zum Beispiel für Software von Maschinen, die Teil einer umfangreichen IIoT-Struktur sind, keine Paches gibt. Auch gibt es Systeme, die aus Garantie- oder Supportgründen gar nicht gepatch werden dürfen. In solchen Fällen hilft es, den Fokus darauf zu lenken, welches Ziel mit dem Patch eines Systems erreicht werden soll.
Virtual Patching – Definition
Beim Patchen von Applikationen oder Betriebssystemen sind Fehlerbehebungen oder kleinere Funktionserweiterungen üblicherweise das Ziel. Letztere sind aus Sicht der Security irrelevant. Im ersten Fall bedeuten sie das Schließen einer Sicherheitslücke. Hier setzt auch Virtual Patching an. Eine Sicherheitslücke kann auf zweierlei Arten geschlossen werden:
- Beheben der Ursache: Der virtuelle Patch schließt die Sicherheitslücke durch Code-Optimierung, so dass die Vulnerability/Schwachstelle geschlossen wird.
- Beheben des Symptoms: Der virtuelle Patch verändert nicht die Applikation bzw. den Code. Vielmehr werden Sicherheitsregeln etabliert, die das Ausnützen der Sicherheitslücke verhindern.
Was virtuelles Patchen bringt
Es gibt eine Reihe von Gründen bzw. Szenarien, in denen sich virtuelles im Vergleich zu „echtem“ Patchen anbietet – oder auch die einzige Option darstellt:
- Für eine Applikation werden keine Patches mehr angeboten, da zum Beispiel der Wartungsvertrag abgelaufen ist, der Hersteller nicht mehr existiert oder die Software nicht mehr durch den Hersteller gepflegt wird.
- Speziell im sogenannten OT-Umfeld sind Hersteller von Fertigungsanlagen sehr restriktiv im Hinblick auf Patches. Viele Hersteller testen ihre Software nur mit einem bestimmten Release-Stand. Ausschließlich für diesen bieten sie Support und Garantie. Wird hier ein Patch aufgebracht, verfallen unter Umständen Support- bzw. Garantieansprüche.
- Überbrücken der Zeit zwischen dem Erkennen einer Schwachstelle und ihrer Behebung mit Hilfe eines Patches.
- Patchen – also die Veränderung einer Applikation bzw. ihres Codes – birgt immer ein gewisses Risiko. Das heißt, Unternehmen müssen im Zuge des Patches regelmäßig testen, ob die Applikationen sich noch so verhalten, wie vor dem Patchen. Je nach Sicherheitsrelevanz der Applikation bzw. dem Änderungsvolumen des Patches verändert sich das Risiko und der damit verbundene Patch-Aufwand. Gegebenenfalls steht dieser Aufwand nicht im Verhältnis bzw. ist durch das Herstellerunternehmen nicht in angemessener Zeit zu stemmen.
So funktioniert Virtual Patching
Beim Patchen geht es in der Regel darum, Sicherheitslücken zu schließen. Das kann zum einen programmatisch erfolgen. Es kann aber auch dadurch erreicht werden, dass das Ausnutzen von Sicherheitslücken gezielt unterbunden wird.
Hierzu gibt es wiederum unterschiedliche Ansätze. Sie alle haben gemein, dass zunächst die Schwachstellen auf den zu sichernden Endgeräten erkannt werden müssen. Um dies zu erreichen, werden sogenannte Vulnerability Scanner eingesetzt, die eine Reihe von Tests durchführen, um die Sicherheitslücken zu erkennen. Diese sind in sogenannten CVEs (Common Vulnerabilities and Exposures) beschrieben. Hier finden sich in der Regel auch Informationen darüber, wie eine Sicherheitslücke zu schließen ist.
Wenn man bedenkt, dass auf typischen IT-Systemen in der Regel nur ein Teil der dort installierten Software/Funktionen genutzt wird, kann im einfachsten Fall durch den Einsatz von sogenannten Applikationskontrollen das Ausführen von betroffenen Applikationen unterbunden werden.
Je nach Intelligenz und Granularität der Applikationskontrolle kann das Beschneiden der Funktionalität auf ein Minimum reduziert werden. So kann zum Beispiel explizit die Verwendung von Subprozessen kontrolliert bzw. die Parametrisierung von Funktionsaufrufen überwacht werden. In der Regel sind Applikationen ja nicht grundsätzlich unsicher, vielmehr ist es häufig eine sehr spezielle Funktionalität oder deren Aufruf bzw. der Zeitpunkt, zu dem diese aufgerufen wird.
Virtuelles oder reguläres Patching?
Der eine oder andere Leser denkt jetzt sicherlich: Wenn virtuelles Patchen so einfach ist, warum betreiben Softwarehersteller und Unternehmen immer noch den Aufwand des „echten“ Patchens? Virtual Patching darf nicht darüber hinwegtäuschen, dass die Ursache für eine Sicherheitslücke weiterhin besteht. Das wäre in etwa vergleichbar mit der Medizin, wenn lediglich die Schmerzen aber nicht deren Ursache therapiert werden. Dennoch sollte Virtual Patching als wichtige Ergänzung in der Sicherheitsstrategie von Unternehmen seinen Platz finden.
*Martin Mangold ist als Vice President Cloud Operations für das weltweite Cloud Business der DriveLock SE verantwortlich. Zu seinem Aufgabenspektrum gehören der RZ-Betrieb, die technische Unterstützung von Sales, sowie die Beratung und Supervision von Produktmanagement und -entwicklung. Der Diplom-Informatiker hat mehr als 20 Jahre Erfahrung in der Beratung und Implementierung von Lösungen im Bereich Client und Service-Management. Seit 2011 liegt sein Fokus auf Cloud-basierten Lösungen.
Be the first to comment