Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag

Machen Sie mit IPS den Patch Tuesday
zu einem ganz normalen Tag
Machen
Sie mit
IPS den Security
Patch Tuesday zu einem ganz normalen Tag
Check
Point
Endpoint
Inhalt
Einführung.............................................................................................. 3
Verfahrensentwicklung........................................................................... 3
Schwächen des Modells........................................................................ 3
Kein angemessener Zeitrahmen...................................................... 4
Vorhersehbarkeit.............................................................................. 4
Schmerzhafte Unterbrechung.......................................................... 5
Ein besserer Ansatz................................................................................ 5
2
Check Point Software Technologies Ltd.
Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag
Einführung
Fragen Sie einen Netzwerkadministrator, was ihn am meisten frustriert – Sicherheitspatches und der Patch Tuesday werden sicher unter den Antworten sein.
Nicht zuletzt dank Microsoft, die den zweiten Dienstag im Monat nutzen, um
Patches für eine große Anzahl an Software heraus zu geben, ist dieser Tag unter
Technologen als „Patch Tuesday“ bekannt. Sicherlich hilft dieser Prozess,
Sicherheitslevel zu verbessern, kann aber auch ein solches Chaos anrichten,
dass Administratoren diese Patch Tuesdays als besondere Belastungsprobe
für ihre Netzwerke sehen.
Es gibt aber einen besseren Weg, um sich vor Sicherheitslücken zu schützen. Im
Allgemeinen stellt ein Intrusion Protection System (IPS) den besten Ansatz dar. Es
erkennt Sicherheitslücken in Echtzeit, ohne das Netzwerk zum Erliegen zu bringen. Dieses White Paper befasst sich mit den typischen Schwierigkeiten der Patch
Tuesdays und dem präventiven Schutz, den Intrusion Prevention- und Intrusion
Protection-Systeme leisten.
Check Point bietet
folgenden Schutz an:
• IPS-1 – Standalone,
dediziertes IPS
• SmartDefense – IPSFunktionen, die in die Check
Point Sicherheitsgateways
integriert sind
• SmartDefense Services –
Updates für Ihren Schutz
Verfahrensentwicklung
Normale Dienstage wurden nicht über Nacht zu Patch Tuesdays. Ab Windows 98
band Microsoft den „Windows Update“-Prozess in seine Betriebssysteme ein,
der automatisch neue Patches für Windows und alle seine Komponenten findet.
Diese Strategie krankte an zwei Problemen bei ganz unterschiedlichen Kunden.
Unerfahrene Anwender wussten nichts von der Update-Funktion und nutzten sie
nicht. Erfahrene Anwender in großen Unternehmen sahen Probleme mit der Verwaltung dieser Funktion, da es kaum noch sicher zu stellen war, dass alle Systeme
in einem bestimmten Netzwerk auf dem neusten Stand waren.
Mit dem neuen Patch Tuesday sammelt Microsoft nun neue Sicherheitspatches
über einen Monat und liefert diese dann gesammelt am zweiten Dienstag des
Monats aus. Das erlaubt den Systemadministratoren, sich auf den Test und
Einsatz der Patches vorzubereiten.
Es überrascht nicht, dass sich andere Anbieter diesem Modell angeschlossen
haben. Beim letzten Test lieferten mehr als zwei Dutzend große Anbieter ihre
Patches am zweiten Dienstag des Monats aus. Während diese Strategie hilft,
Netzwerke auf dem neusten Stand zu halten, bringt sie eine Reihe von Problemen mit sich, die die Netzwerksicherheit gefährden.
Schwächen des Modells
Ein beliebter Scherz unter Insidern ist, dass man einen Netzwerkadministrator zur
Weißglut bringen könne, indem man ihn frage, wie der Patch Tuesday laufe.
In anderen Kreisen ist der Patch Tuesday als „schwarzer Dienstag“ bekannt.
Warum kochen die Gefühle so hoch? Warum wird dieser Prozess derart negativ
bewertet? Warum scheitert der Patch Tuesday, allen guten Absichten zum Trotz,
dabei, Netzwerke vor den grundlegenden Gefahren zu schützen?
Die letzte Frage ist dabei wohl die mit Abstand wichtigste. Einem Bericht von
Verizon Business nach werden die meisten Datenlecks erst nach Monaten
entdeckt und oft nicht sofort beseitigt. Das bedeutet Monate, wenn nicht gar
Jahre, mangelnden Schutzes.
1
2008 Data Breach Investigation Report, Verizon Business
Check Point Software Technologies Ltd.
3
Machen
Sie mit
IPS den Security
Patch Tuesday zu einem ganz normalen Tag
Check
Point
Endpoint
Die Antwort liegt in den systembedingten Mängeln von Patches mit festem Zeitplan. Der Patch Tuesday hat drei große Nachteile: Er ist nicht rechtzeitig, gibt
Hackern einen Zeitplan für den Angriff und unterbricht den normalen Netzwerkbetrieb. Im Großen und Ganzen ist das Hauptproblem des Patch Tuesday, dass
Patches allein keine umfassende Lösung für die Sicherheitsprobleme heutiger
Netzwerke darstellen.
Kein angemessener Zeitrahmen
Das erste große Problem des Patch Tuesday ist der Zeitrahmen. Da Patches nach
einem vorgegebenen Plan veröffentlicht werden, müssen Microsoft und andere
Anbieter mit Termindruck kämpfen, um die Patches zum nächsten Patch Tuesday
fertig zu stellen. Wenn eine Sicherheitslücke erst zu spät entdeckt wird, ist der
passende Patch möglicherweise nicht zum entsprechenden Termin bereit und
wird bis zum nächsten Patch Tuesday zurück gehalten, was eine Verzögerung von
einem Monat oder mehr bedeuten kann. Heikle Sicherheitslücken können so über
Jahre ungeschützt bleiben
Microsoft und andere Hersteller versuchen, diesem Problem mit zusätzlichen
Patches außerhalb des üblichen Rhythmus zu begegnen, die besonders kritische
Probleme adressieren. Diese außerplanmäßigen Updates versetzen Administratoren jedoch in helle Aufregung und sobald die Kunden zu außerplanmäßigen
Patches übergehen, ist das Ausgangsproblem wieder da.
Vorhersagbarkeit
Das nächste Problem des Patch Tuesday ist seine Vorhersagbarkeit. Auch Hacker
wissen, dass Organisationen ihre Patches am zweiten Dienstag jedes Monats
erhalten, so dass sie ihre Attacken auf das Zeitfenster abstimmen können, in
dem die Verwundbarkeit des Unternehmensnetzwerks am größten ist. Das ist der
Zeitraum zwischen der Entdeckung einer Sicherheitslücke und der lückenlosen
Anwendung des Patches in der gesamten Organisation. Diese Zeit unterscheidet
sich von der Zeit, bis der Patch verfügbar ist, da einige Organisationen Patches
nicht sofort anwenden oder es komplett versäumen, sie in der gesamten Organisation anzuwenden. Nach einem Bericht von Verizon Business waren in 71% der
Fälle, in denen bekannte Sicherheitslücken ausgenutzt wurden, die schützenden
Patches seit über einem Jahr verfügbar. 2
Sicherheitslücke veröffentlicht
Signatur / Patch verfügbar
Verletzliches Zeitfenster
Hacker erstellt Exploit
Zeit
Signatur / Patch
wird angewendet
Aus der Perspektive eines Hackers ist es verständlich, genau dieses Zeitfenster
auszunutzen.
2
4
Check Point Software Technologies Ltd.
Ibid
Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag
Einige Hacker beginnen sofort am Patch Tuesday, an Exploits zu arbeiten, da
sie wissen, dass die meisten Organisationen die Patches nicht sofort anwenden.
Dieses Phänomen ist als „Exploit Wednesday“ bekannt. Durch die Ausnutzung von
nicht ausgebesserten Sicherheitslücken sofort nach dem Patch Tuesday haben
die Programmierer von Schadsoftware 29 Tage Zeit, um Verwüstung anzurichten,
bevor die Hersteller den Fehler beheben.
Zudem warten einige Hacker mit den Attacken auf eine Sicherheitslücke sogar
bis direkt nach dem Patch Tuesday, so dass Microsoft bis zum nächsten Update
warten muss, um die Lücke zu beheben. Das erweitert das Zeitfenster rund um
den Patch Tuesday noch und kann Hackern über einen Monat Zeit geben, um
verwundbare Systeme anzugreifen.
Schmerzhafte Unterbrechungen
Das dritte große Problem des Patch Tuesday ist, dass dieser den Netzwerkbetrieb
stark beeinträchtigen kann. Bis ein Patch im ganzen Netzwerk angewendet wurde,
bleibt der Schutz unvollständig. Schon ein fehlender Patch auf einem einzigen
Gerät kann die ganze Organisation in Gefahr bringen. Mit Dutzenden Servern und
tausenden Endgeräten ist es gerade in großen Organisationen leicht, einige Geräte
zu übersehen.
Zudem können einige Patches inkompatibel mit verwendeter Software sein – ein
bedeutendes Problem für große Unternehmen, die strenge Softwarerichtlinien
haben und aufwändige Tests vor der Anwendung eines Patches erfordern. Andere
Patches erfordern einen Neustart des jeweiligen Computers, was ebenfalls den
Geschäftsbetrieb behindern kann. Im Jahr 2007 war zum Beispiel Skype nach
einem Patch Tuesday für zwei Tage nicht verfügbar. Der Unternehmensleitung zu
Folge war dieses Problem durch einen vorher unentdeckten Fehler in der Software
hervorgerufen worden, der durch eine ungewöhnlich hohe Anzahl an Neustarts
aktiviert wurde.
Im Endeffekt sind Patches eine notwendige, aber mühsame Übung, die trotzdem
noch Lücken im Schutz einer Organisation lässt.
Ein besserer Ansatz
Geplante wie ungeplante Patches haben ihre Vorzüge und Nachteile, aber die
wirkliche Lösung für maximale Netzwerksicherheit liegt nicht allein in Patches.
Während eine durchdachte und gut verwaltete Patch-Strategie ein Muss ist,
können deren Schwächen durch die Implementierung eines widerstandsfähigen
Intrusion Prevention Systems (IPS) minimiert werden. Ein solches System erkennt
und blockiert Gefahren beim Versuch, in das Netzwerk einzudringen, bevor sie
Server und Endgeräte erreichen.
Anstatt auf Patches zu warten und diese dann möglichst schnell in einem komplexen
System einzusetzen, kann ein IPS mit seinem präventiven Ansatz helfen. Ein IPS
bietet schnell Schutz für die ganze Organisation und erlaubt den Administratoren
so den nötigen Spielraum, um Patches auf Server und Endgeräte aufzuspielen.
Bessere IPSs stützen sich dabei nicht nur auf Signaturen und reagieren auf Sicherheitslücken, sondern bieten breit angelegten Schutz. Durch den Schutz gegen
Angriffsklassen und die Durchsetzung der richtigen und standardkonformen
Nutzung von Protokollen, anstatt Signaturen einzelner Angriffe zu blockieren, kann
das IPS dabei helfen, den Angreifern immer einen Schritt voraus zu sein.
Check Point Software Technologies Ltd.
5
Machen
Sie mit
IPS den Security
Patch Tuesday zu einem ganz normalen Tag
Check
Point
Endpoint
Diese Art des Schutzes bedeutet, dass das System gegen Sicherheitslücken
nicht nur vor der Veröffentlichung des Patches geschützt ist, sondern manchmal
sogar bevor die Sicherheitslücke entdeckt oder veröffentlicht wird. Während
die Anwendung von Patches weiter in hohem Maße empfohlen wird, bedeutet
das Vorhandensein von präventivem Schutz durch ein IPS nicht nur, dass das
Zeitfenster der Verwundbarkeit geschlossen wird, sondern auch, dass das Testen
und Einspielen von Patches ruhiger und besonnener geschehen kann.
Mit einem zentralen Management kann ein gutes IPS sicher stellen, das alle
verwundbaren Bereiche eines Systems geschützt sind. Mit wenigen Klicks in der
Benutzeroberfläche kann eine ganze Organisation auf den neuesten Stand des
Schutzes gebracht werden.
Mit diesem umfassenden Ansatz, der die starken Funktionen eines IPS mit einer
gezielten Strategie für Patches verbindet, können sich Netzwerkadministratoren besser auf Patch Tuesdays vorbereiten und ihr Netzwerk zwischen Updates
schützen. Check Point bietet eine Vielzahl an Lösungen, um Netzwerkinfrastruktur und Daten zu schützen, einschließlich IPS-Fähigkeiten bestimmter
Appliances und volle IPS-Funktion in den umfassenden Sicherheitsgateways.
Weitere Informationen zu präventivem und leicht einzusetzenden Maßnahmen zum Schutz Ihres Netzwerks vor dem Patch finden Sie unter
http://www.checkpoint.com/defense/advisories/public/index.html.
6
Check Point Software Technologies Ltd.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führendes
Unternehmen für die Sicherung des Internet. Das Unternehmen ist weltweit Marktführer für Unternehmensfirewalls, Personal Firewalls, Datensicherheit und VPN.
Das einzige Augenmerk von Check Point ist IT-Sicherheit mit einem umfangreichen
Portfolio an Lösungen für Netzwerksicherheit, Datensicherheit und Sicherheitsmanagement. Mit seiner NGX-Plattform bietet Check Point eine einheitliche Sicherheitsarchitektur für eine breite Palette an Sicherheitslösungen, um Geschäftskorrespondenz und Unternehmensnetzwerke und Anwendungen, externe Mitarbeiter
und Außenstellen sowie die Extranets von Partnern zu schützen. Das Unternehmen
bietet zudem mit der Pointsec-Produktlinie branchenführende Sicherheitslösungen
zum Schutz und zur Verschlüsselung sensibler Geschäftsdaten auf PCs und mobilen Geräten. Die preisgekrönte ZoneAlarm Internet Security Suite von Check Point
und weitere Sicherheitslösungen für Endverbraucher schützen Millionen Privat-PCs
vor Hackern, Spyware und Datendiebstahl. Die Leistungsfähigkeit der Check PointLösungen wird durch ihre Open Platform for Security (OPSEC) noch gesteigert,
der Allianz für die Zusammenarbeit hunderter „Best-of-breed“-Lösungen führender
Firmen. Check Point-Lösungen werden von einem weltweiten Partner-Netzwerk
vertrieben, integriert und gewartet. Unter den Kunden von Check Point befinden
sich 100 Prozent der Fortune 100 sowie zehntausende Unternehmen und Organisationen aller Größen.
Check Point-Büros
Hauptsitz - weltweit
5 Ha‘Solelim Street
Tel Aviv 67897, Israel
Tel: 972-3-753-4555
Fax: 972-3-624-1100
E-Mail: [email protected]
Hauptsitz - USA
800 Bridge Parkway
Redwood City, CA 94065
Tel: 800-429-4391; 650-628-2000
Fax: 650-654-4233
URL: http://www.checkpoint.com
©2009 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check
Point Endpoint Security, Check Point Endpoint Security On Demand, Check Point Express, Check Point Express CI, the Check
Point logo, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer,
Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection
Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ
Engine, MailSafe, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec
Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@
Home, Safe@Office, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote,
SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard,
SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SMP, SMP On-Demand, SofaWare, SSL Network
Extender, Stateful Clustering, the totalsecurity logo, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping,
UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1
Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient,
VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm ForceField, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, ZoneAlarm
Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software
Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names
mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document
are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, and 7,165,076 and may be
protected by other U.S. Patents, foreign patents, or pending applications.
Februar 2009