Was ist Patch-Management (und -Automatisierung)?

Unter Patch-Management versteht man die Kontrolle von Administrationsteams über Updates von Betriebssystemen (BS), Plattformen oder Anwendungen. Es umfasst die Identifikation von Systemfunktionen, die verbessert oder korrigiert werden können, das Erstellen dieser Verbesserung oder Korrektur, das Release des Update-Pakets sowie die Validierung der Installation dieser Updates. Patching ist – neben Software-Updates und der Neukonfiguration des Systems – ein wichtiger Bestandteil des Schwachstellen- und Lifecycle-Managements von IT-Systemen.

Patches sind neue oder aktualisierte Codezeilen, die das Verhalten von Betriebssystemen, Plattformen oder Anwendungen bestimmen. Sie werden normalerweise nach Bedarf veröffentlicht, um Fehler im Code zu beheben, die Leistung vorhandener Funktionen zu verbessern oder neue Features hinzuzufügen. Patches stellen keine neu kompilierten Betriebssysteme, Plattformen oder Anwendungen dar, sondern werden als Updates für vorhandene Software veröffentlicht.

Sie können sich auch auf die Hardware auswirken, wenn wir beispielsweise Patches veröffentlichen, die die Speicherverwaltung verändern, Lastbeschränkungen erstellen und die Hardware für Sprungvorhersagen-Hardware als Reaktion auf die auf Mikrochips abzielenden Meltdown- und Spectre-Angriffe von 2018 trainieren. 

Da Änderungen wie diese normalerweise schneller verteilt werden können als kleinere oder größere Software-Releases, werden Patches regelmäßig als Netzwerksicherheits-Tools gegen Cyberangriffe, Sicherheitsverletzungen und Malware verwendet. Das sind Schwachstellen, die durch neu auftretende Bedrohungen, veraltete Patches oder Systemfehlkonfigurationen verursacht werden.

Beim Patchen ohne einen klar definierten Patch-Management-Prozess kann es schnell unübersichtlich werden. 

IT-Umgebungen in Unternehmen können Hunderte von Systemen enthalten, die von großen Teams betreut werden. Dies wiederum erfordert Tausende von Sicherheits-Patches, Bug Fixes und Konfigurationsänderungen. Selbst mit einem Scan-Tool kann sich das manuelle Durchsuchen von Datendateien zur Identifikation von Systemen, Updates und Patches als sehr mühsam erweisen. 

Mithilfe von Patch-Managementtools können Sie klare Berichte darüber erstellen, welche Systeme gepatcht sind, welche gepatcht werden müssen und welche nicht konform sind.

Nicht gepatchte und veraltete Systeme können eine Ursache für Compliance-Probleme und Sicherheitslücken darstellen. Tatsächlich sind die meisten ausgenutzten Sicherheitslücken den Sicherheits- und IT-Teams bereits bekannt, wenn eine Verletzung auftritt.

Ihre Patching-Strategie sollte auch Cloud- und containerisierte Ressourcen berücksichtigen, die über Basis-Images bereitgestellt werden. Stellen Sie sicher, dass die Basis-Images mit den Sicherheits-Baselines Ihres Unternehmens konform sind. Überprüfen und patchen Sie Basis-Images regelmäßig, wie bei physischen und virtualisierten Systemen. Wenn Sie ein Basis-Image patchen, sollten Sie Ihre Container und Cloud-Ressourcen basierend auf diesem Image neu erstellen und neu bereitstellen.

Die Implementierung einer Richtlinie für ein umsichtiges Patch-Management erfordert Planung. Patch-Management-Lösungen können jedoch mit Automatisierungssoftware kombiniert werden, um die Konfigurations- und Patch-Genauigkeit zu verbessern, menschliche Fehler zu reduzieren und Ausfallzeiten zu begrenzen.

Mithilfe von Automatisierung lässt sich die Zeit, die IT-Teams mit repetitiven Aufgaben wie dem Identifizieren von Sicherheitsrisiken, dem Testen von Systemen und dem Bereitstellen von Patches auf Tausenden von Endpunkten verbringen, drastisch reduzieren. Durch die Verwaltung dieser zeitaufwändigen Prozesse mit weniger manuellem Einsatz werden Ressourcen freigesetzt, sodass Teams proaktivere Projekte priorisieren können.

Beispielsweise lassen sich mit wenigen Red Hat® Ansible® Automation Platform Modulen Patch-Prozesse teilweise automatisieren, darunter das Aufrufen von HTTP-Patch-Methoden, die Anwendung von Patches mit dem Patch-Tool GNU sowie das Anwenden (oder Zurücksetzen) von verfügbaren System-Patches. 

In vielen Organisationen arbeiten mehrere Server für einen Kunden zusammen. Da ihre Funktionen miteinander verknüpft sind, müssen diese Server in einer bestimmten Reihenfolge neu gestartet werden, wenn Patches bereitgestellt werden. Bei Ansible Automation Platform stellt das Ansible Playbook sicher, dass dieser Vorgang korrekt und konsistent erfolgt. Ihre IT-Teams müssen sich also nicht darum kümmern.