Virtuelles Patching: Eine bewährte Strategie zur Kostenersparnis

Transkript

1 Virtuelles Patching: Eine bewährte Strategie zur Kostenersparnis Ein Sonderbericht der Ogren Group Dezember 2011

2 Die Fakten Sicherheitsverantwortliche geraten mit herkömmlichen arbeitsintensiven IT-Patching- Prozessen an die Grenzen, da Sicherheitslücken mit diesen Methoden nicht schnell genug geschlossen werden können. Die Experten entscheiden sich daher für virtuelles Patching, um Server und Desktops vor neuen Cyberbedrohungen zu schützen. Das virtuelle Patching bietet eine bewährte Strategie: Es ermöglicht einen frühzeitigen Schutz der Sicherheitslücken innerhalb weniger Stunden nach deren Bekanntgabe Wochen oder gar Monate, bevor herkömmliche Patches veröffentlicht werden. Außerdem erreichen Sicherheitsverantwortliche durch diese Strategie überzeugende Kosteneinsparungen, da die Häufigkeit von Patch- und Software-Wartungszyklen reduziert wird. Die bisherige Methode zur Implementierung ständiger Software-Patches und -Upgrades ist viel zu arbeitsintensiv und greift in die Anwendungen ein. Sie kann daher der Geschwindigkeit auftretender Angriffe nicht standhalten. Bereits einen Tag nach Bekanntgabe einer Sicherheitslücke sind Angriffe im Umlauf. Der größte Schaden durch automatisierte Angriffe entsteht innerhalb der ersten 2 Wochen nach Bekanntgabe der Sicherheitslücke; 80 % der Angriffe treten innerhalb der ersten 60 Tage auf. Selbst bei entschlossenem Bemühen um konforme Server- und Desktopkonfigurationen benötigt ein Durchschnittsunternehmen immer noch mehr als 30 Tage für das Patching von Standardbetriebssystemen und -anwendungen und sogar Monate oder Jahre für komplexe Geschäftsanwendungen. Virtuelle Patches überprüfen und säubern den Netzwerkverkehr mittels hostbasierter Filter und beheben oder sperren Eingabeströme in Anwendungen, die andernfalls Sicherheitslücken ausnutzen könnten, noch bevor die Malware das anfällige Ziel erreicht und ohne Anwendungen und Geschäftsabläufe zu stören. Die Ogren Group ist der Meinung, dass Unternehmen, die das virtuelle Patching in ihre Prozesse für das Schwachstellenmanagement einbinden, überzeugende Kosteneinsparungen erzielen: Wehrt Datenschutzverletzungen ab, indem kritische Sicherheitslücken in Servern und Desktops schnell behoben werden. Virtuelles Patching verhindert das Ausnutzen bekannter Schwachstellen innerhalb weniger Stunden nach Bekanntgabe. Ermöglicht geregelte Patch-Wartung auf Grundlage von IT-Zeitplänen. Sicherheitsteams recherchieren, testen und verteilen herkömmliche Patches kontrolliert und müssen seltener nervenaufreibende Notfall-Patches durchführen. IT- Abteilungen sparen Ressourcen, indem das Intervall zwischen standardmäßigen Patch-Zyklen verlängert wird. Verschiebt Upgrade-Kosten durch Verlängerung der Laufzeit älterer Systeme. Viele Unternehmen arbeiten mit veralteten Anwendungen oder Betriebssystemen, für die der Support bereits eingestellt wurde und somit keine Patches oder Upgrades mehr verfügbar sind. Virtuelles Patching ermöglicht es IT-Teams, die Laufzeit älterer Anwendungen zu verlängern und damit Kosten für erneuten Entwicklungsaufwand oder Upgrades hinauszuzögern.

3 Ermöglicht kostengünstige Sicherheit für virtualisierte Umgebungen. Unternehmen setzen auf virtualisierte Anwendungen, um Vorteile wie nachweisliche Kosteneinsparungen und verbesserten Schutz zu nutzen. Virtuelles Patching auf dem Server oder jeder einzelnen VM schützt virtualisierte Umgebungen vor Angriffen auf Schwachstellen, die nach der Erstellung der VMs entdeckt wurden. Dieser von Trend Micro in Auftrag gegebene Sonderbericht bestätigt die Einsparungen bei Sicherheits- und Betriebskosten durch hostbasiertes virtuelles Patching mit Deep Security und OfficeScan Produkten. Die Informationen in diesem Bericht stammen aus der Ogren Group Forschung und aus Interviews mit Sicherheitsbeauftragten großer weltweit agierender Unternehmen. Virtuelles Patching Virtuelles Patching ist eine hostbasierte Sicherheitsfunktion, die Schwachstellen in Anwendungen und auf Endpunkten abschirmt, bis eine dauerhafte Behebung, z. B. im Rahmen der Patch-Verwaltung und Softwarewartung, erfolgen kann. Statt ausführbare Programme zu ändern, was eine aufwändige Qualitätssicherung und Verwaltung von Softwareressourcen nach sich ziehen würde, agiert das virtuelle Patching in Datenströmen im Netzwerk. Hierbei werden der eingehende Verkehr geprüft und Anwendungen vor Angriffen abgeschirmt, selbst wenn die Schwachstelle nicht dauerhaft gepatcht ist. Virtuelles Patching erweitert die Patch-Prozesse des Unternehmens und reduziert den Gesamtaufwand erheblich: Einfache Anwendung im Netzwerkpfad ohne Änderung der Anwendungs- oder Desktopumgebung. Für das virtuelle Patchen ist keine Änderung der Anwendung oder des Betriebssystems erforderlich. Dies reduziert den Aufwand für das Testen und Verteilen von Patches und manchmal auch für die Wiederherstellung nach fehlerhaften Patches. Verringert den Anreiz, Regeln der Netzwerk-Firewall und des Routers zu nutzen, um Patches zu vermeiden. Viele Sicherheitsteams passen Firewall- oder Router- Regeln an, um die Anwendung von Software-Patches zu vermeiden. Dies kann unnötigerweise berechtigten Datenverkehr zu anderen Anwendungen sperren und zu unerwünschten Nebeneffekten bei der Wartung im Netzwerk führen. Hält die Verfügbarkeit von Produktionsanwendungen aufrecht und verbessert die SLA-Leistung. Schwachstellen in wichtigen Anwendungen können durch virtuelles Patching ohne erforderliche Ausfallzeiten abgeschirmt werden. Virtuelles Patching beschleunigt die Patch-Wirkung und bietet damit eine kontinuierliche Einhaltung von Richtlinien für wichtige Anwendungen und Endpunkte. Sicherheits- und IT-Teams verringern die Betriebskosten durch weniger Software-Patch-Zyklen und Software-Wartungsprozesse. Darüber hinaus bietet virtuelles Patching die einzige pragmatische Methode zur Abschirmung veralteter Anwendungen, bei denen die Verteilung von Patches mit hohen Entwicklungskosten oder langen Ausfallzeiten verbunden und daher indiskutabel ist.

4 Schnell auf neue Schwachstellen reagieren Eine der wichtigsten und am häufigsten angewandten Maßeinheiten im Bereich Sicherheit ist die Zeit, die zwischen der Bekanntgabe einer Schwachstelle durch einen Anbieter und der Verteilung des geeigneten Patches in betroffenen Systemen liegt. Sicherheitsteams können nicht beeinflussen, wann Angriffe über das Netzwerk ausgeführt werden. Die IT kann jedoch steuern, wie viel Zeit einem Angreifer bleibt, um eine ungepatchte Schwachstelle innerhalb der Unternehmensinfrastruktur anzugreifen. In vielen Fällen dauert es 30 Tage oder mehr, um ein Patch für Betriebssysteme zu entwickeln, zu testen und zu verteilen. Patches für Anwendungen erfordern häufig noch mehr Zeit. Virtuelles Patching schränkt die Risiken durch Sicherheitslücken für Server und Desktops ein, indem innerhalb weniger Tage meistens sogar Stunden automatisch ein Patch zur Verfügung steht. Die Kosteneinsparungen durch virtuelles Patching wurden durch Sicherheitsteams in Unternehmen bestätigt: Das Risiko eines Angriffs auf eine Schwachstelle wird reduziert und damit die erforderliche Bekanntmachung des Verlusts datengeschützter Informationen vermieden. Da die Sicherheitslücke schnell abgeschirmt wird, verringert sich das Risiko des Verlusts vertraulicher Daten und der damit verbundenen Bekanntmachungskosten erheblich. Die Notwendigkeit von sofortigem Notfall-Patching oder umgehenden Software- Korrekturen wird verringert. Virtuelles Patching verschafft dem IT-Team Zeit, um dauerhafte Patches und Software-Korrekturen ordentlich zu planen. Es werden weniger Ressourcen auf die Verteilung von Notfall-Patches höchster Priorität oder schneller technischer Korrekturen am Quellcode verwendet. Service-Level-Agreement-Leistungen und die Verfügbarkeit von Anwendungen werden verbessert. Virtuelles Patching schützt Anwendungs- und Desktopumgebungen automatisch, indem Schwachstellen ohne Ausfallzeiten gepatcht werden. Die Laufzeit älterer Anwendungen und Plattformen verlängern Viele Unternehmen verfügen über aufgabenkritische Anwendungen auf Betriebssystemplattformen, die nicht mehr vom Anbieter des Betriebssystems unterstützt werden oder die für eine Patch-Verteilung als zu fehleranfällig eingeschätzt werden. Ein Upgrade veralteter Anwendungen auf neuere Betriebssystemversionen ist eventuell nicht ohne Weiteres möglich, da zu wenig Priorität auf die Entwicklung neuerer umsatzgenerierender Anwendungen gesetzt wird, das Risiko einer längeren Ausfallzeit der Anwendung besteht oder die Kosten für die Neuerstellung einer Anwendung prohibitiv hoch sind. Virtuelles Patching bietet dem IT-Team eine Alternative, um die Lebensdauer von Anwendungen auf veralteten Betriebssystemplattformen zu verlängern, indem Probleme bei der Richtlinieneinhaltung, der Sicherheit und den Betriebskosten für das Unternehmen verringert werden. Virtuelles Patching erübrigt möglicherweise die Notwendigkeit teurer Support- Verträge für veraltete Betriebssysteme. Support-Verträge für Windows 2000 beispielsweise kosten ab $ pro Quartal und Oracle hat einen Pay-per-Patch- Plan für Solaris 8 eingeführt.

5 Kosten für den Austausch veralteter Anwendungen werden hinausgezögert. Virtuelles Patching kann die Lebensdauer von Anwendungen, die auf nicht unterstützten Betriebssystemen basieren, verlängern und damit Investitionen in neue Server, Betriebssystemlizenzen und Upgrades von Anwendungssoftware hinauszögern. Das IT-Team kann intern entwickelte Anwendungen durch benutzerdefinierte virtuelle Patches schützen. Es ist einfacher, einen virtuellen Patch im Datenstrom des Netzwerks zu verteilen, als Anwendungssoftware neu zu entwickeln. Mit virtuellem Patching können Unternehmen daher Entwicklungskosten sparen, indem speziell entwickelte virtuelle Patches für veraltete Anwendungen verwendet werden. Virtuelles Patching stellt möglicherweise die einzige pragmatische Möglichkeit dar, um Schwachstellen veralteter Anwendungen abzuschirmen. Veraltete Anwendungen oder Produktionssysteme, z. B. auf Oracle Datenbanken basierende Systeme, sind eventuell zu fehleranfällig für invasive Software-Patches, können aber durch virtuelles Patching weiterhin vor Angriffen geschützt werden. Virtuelle Patches von Trend Micro Die bekanntesten Trend Micro Sicherheitslösungen für Server und Anwenderendpunkte, Deep Security und OfficeScan, bieten frühzeitiges virtuelles Patching innerhalb von Unternehmensnetzwerken. Virtuelles Patching von Trend Micro spart Zeit und Aufwand für das IT-Personal im gesamten Patch-Prozess von der Benachrichtigung über verfügbare Patches über die Identifizierung betroffener Anwendungen bis hin zur Minimierung der Stellen, an denen virtuelle Patches erforderlich sind: Konsolidiert Benachrichtigungen über bekannt gegebene Schwachstellen und verfügbare virtuelle Patches. Virtuelles Patching von Trend Micro nutzt Beziehungen zu Anbietern wichtiger Infrastruktursoftware und anderen Branchenorganisationen wie CERT, SANS, Bugtraq, VulnWatch, PacketStorm und Securiteam, um Sicherheitsteams fortlaufend über die Abschirmung von Schwachstellen und die Verfügbarkeit von Patches zu informieren. Erkennt automatisch Anwendungen und Schwachstellen. Virtuelles Patching von Trend Micro erkennt Anwendungen und überprüft diese auf Schwachstellen, um IT-Teams priorisierte Empfehlungen zu geben. Eine einzige Instanz für virtuelles Patching schirmt mehrere virtuelle Maschinen ab. Für Anwendungen virtualisierter Rechenzentren erspart virtuelles Patching von Trend Micro in Form einer einzigen virtuellen Appliance dem IT-Team Zeit- und Arbeitsaufwand, indem Schwachstellen in Anwendungen auf allen virtuellen Maschinen des Servers automatisch abgeschirmt werden. Alternativ hierzu kann virtuelles Patching auch auf einer Pro-VM-Basis ausgeführt und verwaltet werden. Trend Micro bietet Unternehmen umfassendes virtuelles Patching für Server und Endpunkte als Modul von Deep Security sowie als Intrusion Defense Firewall Plugin für die Endpunktsicherheitslösung OfficeScan an. Sicherheitsteams in Unternehmen können damit virtuelles Patching auf Servern und Desktops unternehmensweit mit einheitlichen Oberflächen für die Verwaltung und Berichterstellung verteilen.

6 Deep Security bietet softwarebasierte integrierte Sicherheit für Systeme in Standalone-, virtuellen und cloudbasierten Umgebungen mit einer zentral verwalteten Lösung, einschließlich folgender Funktionen: Deep Packet Inspection (IDS/IPS, Schutz von Webanwendungen und Anwendungssteuerung) Anti-Malware Bidirektionale Stateful-Firewall Integritätsüberwachung Protokollprüfung OfficeScan Anwender in Unternehmensumgebungen profitieren von Vorteilen des virtuellen Patching mit dem Intrusion Defense Firewall Plugin. So steht eine einfach zu verwaltende Lösung einschließlich folgender Funktionen zur Verfügung: Virtuelles Patching für Betriebssysteme und bestimmte gängige Anwendungen Vertretbare Sicherheitsrichtlinien, die den eingehenden Datenverkehr bestimmter Anwendungen, z. B. sozialer Netzwerke, sperren können. Firewall-Schutz für mobile und externe Unternehmensendpunkte Beseitigung infizierter Daten aus dem Netzwerkverkehr Automatische Anpassung der Sicherheitskonfiguration basierend auf dem Endpunktstandort Zentrale Verwaltung und Berichterstellung Den Forschungsergebnissen der Ogren Group zufolge integrieren Unternehmen virtuelles Patching von Trend Micro nicht nur in ihre Sicherheitsprozesse, sondern entwickeln diese Sicherheitsprozesse auch weiter, um die Kostenvorteile zu nutzen, die sich aus virtuellem Patching ergeben. Durch die Weiterentwicklungen beim virtuellen Patching und die nachweislichen Kosteneinsparungen im IT-Bereich können Sicherheitsteams bedeutende Verbesserungen zum Schutz des Unternehmens einschließlich folgender Vorteile realisieren: Integration in Schwachstellenverwaltungsprozesse zur Automatisierung des Schutzes. Automatisierung ist der Schlüssel zur weiteren Reduzierung von Kosten für die Verwaltung konformer Server und Desktops. Trend Micro integriert virtuelles Patching in Lösungen zur Schwachstellenverwaltung führender Anbieter, um die Erkennung, Bewertung und den Schutz von Servern und Desktops zu automatisieren. Integration in Virtualisierungsprozesse, um virtualisierte Anwendungen und virtuelle Desktopinfrastrukturen wirksam zu schützen. Der innovative Ansatz von Trend Micro, eine einzige virtuelle Appliance für den Malware-Schutz auf einem Server zu verwenden, der auch die Software für virtuelles Patching umfasst, kommt in vielen großen Unternehmen zum Einsatz. Die virtuelle Appliance von Trend Micro erfordert keine Agenten, die auf jeder virtuellen Maschine einzeln verteilt werden müssen. Dies verbessert die Leistung, erhält die VM-Dichte und schützt VMs automatisch, die andernfalls nur unter hohem Aufwand gepatcht werden könnten.

7 Integration in cloudbasierte Sicherheitssysteme, um Server und Desktops kostengünstig zu schützen. Trend Micro nutzt das Smart Protection Network, um die neuesten virtuellen Patches an Deep Security und OfficeScan zu übermitteln. Fazit und Empfehlungen IT-Abteilungen entwickeln ihre Infrastruktur weiter, um Betriebskosten zu reduzieren, Auflagen zur Richtlinieneinhaltung auf effiziente Weise gerecht zu werden und dem Unternehmen neue Services flexibel bereitzustellen. Nach Meinung der Ogren Group bietet virtuelles Patching mit den Trend Micro Produkten Deep Security und OfficeScan ein überzeugendes Beispiel für eine Kosteneinsparungsstrategie mit bedeutenden Sicherheitsvorteilen: Schnelle Reaktion, um Sicherheitslücken für wichtige Server und Desktops zeitnah zu beseitigen. Virtuelles Patching schützt Schwachstellen frühzeitig ohne erforderliche Anwendungskorrektur und reduziert damit die benötigte Zeit zum Testen und Verteilen wichtiger Patches. Systematische Patch-Wartung auf Grundlage weniger häufig ausgeführter IT-Operationspläne. Sicherheitsteams recherchieren, testen und verteilen herkömmliche Patches kontrolliert und mit längeren Verteilungszyklen. Verlängerte Laufzeit älterer Anwendungen. Virtuelles Patching kann Schwachstellen in Anwendungen unter älteren Betriebssystemen wie Windows 2000 und Solaris 8, in die Sie investiert haben, beheben und damit teure Support-Verträge vermeiden. Weniger Unterbrechungen im Geschäftsablauf und reduzierte Kosten für Notfall-Patching und Software-Fixe. Die von Trend Micro automatisch gelieferten virtuellen Patches ermöglichen es IT-Mitarbeitern, auch schwerwiegende Schwachstellen in Software nach geregelten Zeitplänen zu patchen und zu korrigieren. Die Ogren Group empfiehlt Unternehmen, die nachweislichen Kostenvorteile von virtuellem Patching zu nutzen. Insbesondere Services für virtuelles Patching reduzieren den finanziellen und zeitlichen IT-Aufwand und verbessern gleichzeitig die Sicherheit von Anwendungen für Rechenzentren. Nach Meinung der Ogren Group sollte virtuelles Patching von Trend Micro, bereitgestellt über Deep Security und OfficeScan Agenten, von jedem Sicherheitsteam in die engere Wahl genommen werden, das nach einer Lösung für eine schnellere Schwachstellenabschirmung und umfassendes Patching sucht.

8 Arbeitsblatt zu den Kosteneinsparungen durch virtuelles Patching Virtuelles Patching verringert Sicherheitsrisiken und senkt gleichzeitig die Betriebskosten. Die individuell zu erwartenden Kosteneinsparungen eines Unternehmens variieren in Abhängigkeit von der jeweils angewandten Strategie. Mithilfe dieses Arbeitsblattes können Sie die Kosteneinsparungen aufgliedern, die sich durch virtuelles Patching für Ihr Unternehmen ergeben. Patch-Prozess effizienter gestalten Virtuelles Patching dient vor allem dazu, das Unternehmen vor bösartigem Code und dem Diebstahl vertraulicher Daten und geistigen Eigentums zu schützen. Die entsprechenden Filter sind innerhalb weniger Stunden verteilt und schützen Anwendungen, bis dauerhafte Patches und Software-Fixes installiert werden können. Jährliche Kosten für dringende Out-of-Band-Patches reduzieren Jährliche Kosten für dringende Software-Fixes reduzieren Häufigkeit standardmäßiger Patch-Zyklen reduzieren Einsparungen durch verbesserte Anwendungsverfügbarkeit Risiko von Kosten durch Datenschutzverletzungen reduzieren Kosten für Patch-Rollbacks reduzieren Kosten für die Recherche nach verfügbaren Patches reduzieren Erforderlicher Zeitfaktor, um Patches bei gewichteten IT-Laborkosten zu testen und zu installieren. Für bestimmte Anwendungen umfasst dies Outsourcing-Kosten oder die Abrechnung über interne Kostenstellen. Durch virtuelles Patching können Sie möglicherweise das standardmäßige Intervall zwischen Patch-Zyklen verlängern. Dies spart IT-Arbeitszeit ein, die für andere Aktivitäten genutzt werden kann, und verringert Ausfallzeiten. Anwendungen bleiben bei virtuellem Patching in Betrieb. Dadurch erhöht sich die Verfügbarkeitszeit und damit potenziell auch der Umsatz oder die SLA-Leistung. Die Verminderung von Sicherheitslücken verringert die Wahrscheinlichkeit des Verlusts vertraulicher Daten und anfallender Kosten durch Datenschutzverletzungen. Patches greifen in den Ablauf von Anwendungen und Betriebssystemen ein. Nicht selten kommt es bei Patch- Installationen zu Betriebsunterbrechungen von Produktionssystemen, so dass das Patch wieder entfernt werden muss. Virtuelles Patching mit Deep Security überwacht automatisch Anbieterempfehlungen und Informationsquellen zu Sicherheitslücken einschließlich CERT, SANS, Bugtraq und VulnWatch, um IT-Mitarbeiter umfassend über verfügbare Patches zu informieren.

9 Aufwand für Anwendbarkeitsprüfung von Patches reduzieren Unantastbare Anwendungen schützen Virtuelles Patching mit Deep Security erkennt Anwendungen und entsprechende Patchlevel automatisch. Zudem reduziert virtuelles Patching den Anreiz, Patch- Installationen durch die Implementierung von Firewall- und Router-Regeln zu umgehen. Einige Anwendungen werden als für die Installation von Patches ungeeignet eingestuft, da der Prozess übermäßige Kosten oder ein zu hohes Ausfallrisiko bedeutet. Dies ist zum Beispiel häufig bei Oracle Datenbankservern der Fall. Die Laufzeit älterer Plattformen und Anwendungen verlängern Der finanzielle Aufwand zur Einhaltung von Richtlinien ist bei veralteten Anwendungen, insbesondere unter den Betriebssystemen Windows 2000, Oracle 10.1, Red Hat 3 und Solaris 8, häufig sehr hoch. Virtuelles Patching verbessert die Rendite von veralteten Anwendungen, indem es die Laufzeit verlängert. Jährliche Kosten von Support- Verträgen für veraltete Plattformen reduzieren Kosten für die Migration veralteter Anwendungen reduzieren Entwicklungskosten für den Erhalt veralteter Anwendungen reduzieren Anbieter berechnen Gebühren pro Patch oder fordern hohe Preise für den Support bereits eingestellter Softwareprodukte. Durch verlängerte Anwendungslaufzeiten lassen sich erforderliche Investitionen in Server, Plattformen, Software und Anwendungsentwicklung hinauszögern. Mit virtuellem Patching bleiben Anwendungen verfügbar und ermöglichen es der IT-Abteilung, den Aufwand für dauerhafte Softwarekorrekturen zu verschieben. IT-Initiativen wie virtuelle Rechenzentren, virtuelle Desktop-Infrastrukturen und der Schutz cloudbasierter Anwendungssysteme sind strategische Entscheidungen mit längerfristigen Kostenvorteilen. Virtuelles Patching mit Trend Micro Deep Security und OfficeScan erbringt direkte Kosteneinsparungen durch schnelle Abschirmung neuer Schwachstellen und Verlängerung der Laufzeit von veralteten Anwendungen. Dieses Arbeitsblatt unterstützt IT-Mitarbeiter darin, die Auswirkungen von virtuellem Patching für das Unternehmen zu analysieren.