Dieses Jahr habe ich meine Hecke schon dreimal gestutzt – das mache ich eigentlich nicht. Normalerweise lege ich ein komplettes Marathonwochenende ein, schneide die Hecke 12 Stunden lang und fahre dreimal zum Recyclinghof.
Aber ich habe von meinem Garten aus einen schönen Blick auf eine Wiese, und wenn ich mich im Schlafzimmer auf die Zehenspitzen stelle, kann ich sogar einen See sehen. Diese Aussicht verschwindet aber im Frühsommer, wenn ich die Hecke nicht zurückschneide, und dieses Jahr wollte ich sie behalten. Das bedeutete, dass ich die Hecke dreimal schneiden musste – und beim dritten Mal fühlte es sich an, als würde es sich schon ziehen, bevor ich überhaupt anfing. Aber nachdem ich die Arbeit in weniger als einer Stunde erledigt hatte, während meine Tochter mir durch den Garten folgte und das Schnittgut aufhob, dachte ich: Da könnte wirklich etwas dran sein, die Hecke regelmäßig zu stutzen.
Auch in der IT gibt es viel zu gewinnen, wenn Sie Ihr Patch-Management auf Vordermann bringen und es regelmäßig durchführen. Patch Management ist nicht gerade aufregend (es ist okay, wenn Sie jetzt ein wenig gähnen), aber es ist für die Aufrechterhaltung einer sicheren Infrastruktur unerlässlich. Und wenn es strukturiert durchgeführt wird, können Sie viel Zeit und Geld sparen.
Ein Beispiel für ein strukturiertes Patch-Management ist der Patch Tuesday.
Der Patch Tuesday ist ein von großen amerikanischen Softwareunternehmen entwickeltes Konzept zur Strukturierung der Veröffentlichung von Updates. Früher gaben die Softwarehersteller kontinuierlich Updates heraus, was bedeutete, dass das IT-Personal weltweit rund um die Uhr mit unerwarteter Arbeit konfrontiert werden konnte, um sicherzustellen, dass kritische Sicherheitsupdates auf ihre Infrastruktur angewendet wurden. Um dies zu verhindern, hat eine Gruppe großer amerikanischer Unternehmen den Patch Tuesday eingeführt. Der Hersteller sammelt die Updates und gibt sie einmal im Monat als Paket frei.
Durch die Festlegung eines bestimmten Tages im Monat können IT-Teams die Bereitstellung neuer Updates planen und das Unternehmen auf kontrollierte Weise auf bevorstehende Änderungen vorbereiten. Bei Microsoft Windows zum Beispiel können Sie mit diesem Ansatz zunächst einige PCs in der IT-Abteilung aktualisieren, bevor Sie die Updates im gesamten Unternehmen einführen. Sie könnten auch mit einer Testumgebung beginnen, um sicherzustellen, dass die neuen Updates erst nach gründlichen Tests in die Produktion einfließen.
Es kann sein, dass ich meine Hecke nur an einem Dienstag in den Sommermonaten schneiden muss, weil sie dann am stärksten wächst. Mit dem Patch Tuesday (und ähnlichen Strategien) wird es für IT-Abteilungen jedoch einfach und vorhersehbar, regelmäßige Updates zu planen und durchzuführen, um Endgeräte und Infrastruktur das ganze Jahr über sicher zu halten.
Warum Dienstag?
Patch Tuesday. Das klingt sehr US-amerikanisch, fast wie der Super Bowl Sunday, aber am Patch Tuesday geht es nicht um Bier, Snacks oder Football. Allerdings macht es durchaus Sinn, dass er auf einen Dienstag fällt. Der Montag ist frei, um eventuelle Probleme vom Wochenende zu beheben, bevor man sich mit neuen Herausforderungen durch ein Update beschäftigt. Außerdem bleibt am Dienstag vor dem Wochenende so viel Zeit wie möglich, um Probleme zu lösen, die sich aus den Updates ergeben könnten.
Ein Beispiel für ein Unternehmen, das den Patch Tuesday nutzt, ist Microsoft. Microsoft haben den zweiten Dienstag des Monats gewählt, um ihn strategisch vom Monatsende zu distanzieren. Viele Unternehmen verhängen einen Änderungsstopp um das Monatsende herum, um Probleme im Zusammenhang mit der Buchhaltung, der Gehaltsabrechnung und anderen ähnlichen Prozessen zu vermeiden.
Wo fange ich an?
Das Patch-Management kann überwältigend wirken, zumal die meisten Unternehmen viele verschiedene IT- und Sicherheitslösungen einsetzen. Wie meine Kollegen, die an Projekten zur Mikrosegmentierung arbeiten, oft erwähnen, sollten Sie jedoch mit den kritischsten oder am stärksten gefährdeten Systemen beginnen. Beispiele hierfür sind Ihre Perimeter-Firewalls oder Ihr Rechenzentrum.
Verschaffen Sie sich zunächst einen Überblick über die Software-Lebenszyklus-Strategie der Anbieter, die Sie nutzen. Wenn der Anbieter eine Patch Tuesday-Strategie verfolgt, sollten Sie überlegen, wie Sie diese in Ihre eigenen Prozesse einbinden können, um proaktiver zu werden.
Die Secure Firewall von Cisco erhält beispielsweise zweimal im Jahr geplante Updates, während die IOS-XE-Software von Cisco vier Updates pro Jahr erhält, allerdings nicht an einem bestimmten Tag. In diesen Fällen müssen Sie einen Prozess implementieren, der in Gang gesetzt wird, wenn neue Software verfügbar ist.
Sie sollten auch einen klaren Prozess für den Umgang mit kritischen Updates außerhalb des regulären Update-Zeitplans haben. Dies kann der Fall sein, wenn eine Sicherheitslücke veröffentlicht oder online bekannt wird und das Problem so schwerwiegend ist, dass der Hersteller entscheidet, dass es nicht bis zum geplanten Aktualisierungsfenster warten kann. Leider kommt dies immer häufiger vor – nicht weil sich der Code verschlechtert, sondern weil die IT immer komplexer wird und unsere Gegner (Hacker, Cyberkriminelle) immer geschickter und zahlreicher werden.
Was bietet so ein strukturierter Prozess uns als Unternehmen?
Vor kurzem hörte ich von mehreren Geräten bei einem Kunden, die seit 9 Jahren (seit ihrer Inbetriebnahme) nicht mehr aktualisiert worden waren. Da der Kunde mit der Aktualisierung so weit im Rückstand lag, waren mehrere Schritte erforderlich, um die Geräte auf den aktuellen, sicheren Stand zu bringen. Das bedeutete, dass der Aktualisierungsprozess 14 Tage dauern würde und mehrere Wartungsfenster erforderlich waren, um alles auf die neueste stabile (und sichere) Softwareversion zu bringen. Dies bedeutete einen erheblichen Aufwand an Zeit, Mühe und Geld für Hardware, die bereits am Ende ihres Lebenszyklus angelangt war und ersetzt werden sollte. Der Kunde entschied sich schließlich für ein Hardware-Upgrade, anstatt die Geräte zu aktualisieren.
Wenn wir proaktiv Updates durchführen, sobald neue Software auf den Markt kommt, ergeben sich mehrere Vorteile:
- Wir sammeln laufend Erfahrungen mit dem Aktualisierungsprozess und müssen nicht mehr nach Handbüchern oder dem Speicherort für neue Software-Downloads suchen.
- Ein klar definierter und erprobter Plan für die Aktualisierung. Vielleicht sollten wir mit der IT-Abteilung beginnen, um eine Störung der Produktionsanlagen zu vermeiden, falls Probleme auftreten.
- Vertrautheit mit unseren Prüfplänen – was muss unbedingt getestet werden, was funktioniert vor der Aktualisierung und was funktioniert danach.
- Und, am wichtigsten, verbesserte Sicherheit.
Exploit Wednesday
Der Hauptnutzen ist natürlich das Schließen von Sicherheitslücken. Der Tag nach dem Patch Tuesday wird oft als Exploit Wednesday bezeichnet. Wenn ein neues Update veröffentlicht wird, enthält es in der Regel Informationen über die behobenen Sicherheitslücken. Wird das Update jedoch nicht umgehend eingespielt, können diese jetzt veröffentlichten Schwachstellen von Hackern ausgenutzt werden. Daher ist es von entscheidender Bedeutung, dass Sie die Updates Ihrer Anbieter stets im Auge behalten. Wenn Sie dies nicht intern bewältigen können, sollten Sie Ihren Service Provider bitten, Sie bei der Verwaltung der Patches zu unterstützen.
Wenn Sie also alles selbst in die Hand nehmen und die Termine für den Exploit Wednesday planen möchten, lohnt es sich, ein strukturiertes Patch-Management in Betracht zu ziehen.Bei mir und meiner Hecke sorgen drei Schnitte pro Jahr – verteilt auf den Früh- und Spätsommer – für Effizienz und dafür, dass ich die Aussicht das ganze Jahr über genießen kann. Welche Zahl ist für Sie und Ihre Patch-Management-Strategie die richtige, um Ihre Ziele zu erreichen?