Die meisten Unternehmen behandeln Patch-Management als kontinuierlichen Lebenszyklus. Das liegt daran, dass die Anbieter regelmäßig neue Patches veröffentlichen. Darüber hinaus können sich die Patching-Anforderungen eines Unternehmens ändern, wenn sich seine IT-Umgebung ändert.
Um die Best Practices für das Patch-Management darzulegen, die Administratoren und Endbenutzer während des gesamten Lebenszyklus befolgen sollten, entwerfen Unternehmen formelle Patch-Management-Richtlinien.
Der Patch-Management-Lebenszyklus umfasst folgende Phasen:
1. Vermögensverwaltung
Um die IT-Ressourcen im Blick zu behalten, erstellen IT- und Sicherheitsteams Bestände an Netzwerkressourcen wie Anwendungen von Drittanbietern, Betriebssystemen, mobilen Geräten sowie standortferne und lokale Endgeräte.
IT-Teams können auch festlegen, welche Hardware- und Softwareversionen Mitarbeiter verwenden können. Diese Asset-Standardisierung kann dazu beitragen, den Patching-Prozess zu vereinfachen, indem sie die Anzahl der verschiedenen Asset-Typen im Netzwerk reduziert. Die Standardisierung kann außerdem verhindern, dass Mitarbeiter unsichere, veraltete oder inkompatible Apps und Geräte verwenden.
2. Patch-Überwachung
Sobald die IT- und Sicherheitsteams über einen vollständigen Asset Bestand verfügen, können sie nach verfügbaren Patches Ausschau halten, den Patch-Status von Assets verfolgen und Assets identifizieren, bei denen Patches fehlen.
3. Patch-Priorisierung
Einige Patches sind wichtiger als andere, insbesondere wenn es um Sicherheitspatches geht. Laut Gartner wurden im Jahr 2021 19.093 neue Schwachstellen gemeldet, von denen Cyberkriminelle jedoch nur 1.554 in freier Wildbahn ausnutzten (Link befindet sich außerhalb von ibm.com).
IT- und Sicherheitsteams nutzen Ressourcen wie Threat Intelligence Feeds, um die kritischsten Schwachstellen in ihren Systemen zu ermitteln. Patches für diese Schwachstellen werden gegenüber weniger wichtigen Updates priorisiert.
Die Priorisierung ist eine der wichtigsten Möglichkeiten, mit denen Patch-Management-Richtlinien darauf abzielen, Ausfallzeiten zu reduzieren. Durch die Einführung wichtiger Patches können IT- und Sicherheitsteams das Netzwerk schützen und gleichzeitig die Zeit, die Ressourcen offline für Patches aufwenden, verkürzen.
4. Patch-Tests
Neue Patches können gelegentlich Probleme verursachen, Integrationen unterbrechen oder die Schwachstellen, die sie beheben sollen, nicht beheben. In Ausnahmefällen können Hacker sogar Patches kapern. Beispielsweise nutzten Cyberkriminelle einen Fehler in der VSA-Plattform von Kaseya (Link befindet sich außerhalb von ibm.com), um unter dem Deckmantel eines legitimen Software-Updates Ransomware an Kunden zu verbreiten.
Durch das Testen von Patches vor der Installation wollen IT- und Sicherheitsteams diese Probleme erkennen und beheben, bevor sie sich auf das gesamte Netzwerk auswirken.
5. Patch-Bereitstellung
„Patch-Bereitstellung“ bezieht sich sowohl darauf, wann als auch wie Patches bereitgestellt werden.
Patching-Fenster werden in der Regel für Zeiten festgelegt, in denen nur wenige oder gar keine Mitarbeiter arbeiten. Die Patch-Releases der Anbieter können sich auch auf die Patch-Zeitpläne auswirken. Beispielsweise veröffentlicht Microsoft Patches in der Regel dienstags, ein Tag, der von einigen IT-Experten als „Patch-Dienstag“ bezeichnet wird.
IT- und Sicherheitsteams können Patches auf Stapel von Assets anwenden, anstatt sie gleichzeitig im gesamten Netzwerk bereitzustellen. Auf diese Weise können einige Mitarbeiter weiterarbeiten, während sich andere zum Patchen abmelden. Das Anwenden von Patches in Gruppen bietet außerdem eine letzte Chance, Probleme zu erkennen, bevor sie das gesamte Netzwerk erreichen.
Die Patchbereitstellung kann auch Pläne zur Überwachung von Assets nach dem Patchen und zum Rückgängigmachen aller Änderungen umfassen, die unerwartete Probleme verursachen.
6. Patch-Dokumentation
Um die Patch-Compliance sicherzustellen, dokumentieren IT- und Sicherheitsteams den Patching-Prozess, einschließlich Testergebnisse, Bereitstellungsergebnisse und aller Assets, die noch gepatcht werden müssen. Diese Dokumentation hält das Asset-Inventar auf dem neuesten Stand und kann im Falle eines Audits die Einhaltung der Cybersicherheitsvorschriften nachweisen.