Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag
Transcrição
Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag
Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag Machen Sie mit IPS den Security Patch Tuesday zu einem ganz normalen Tag Check Point Endpoint Inhalt Einführung.............................................................................................. 3 Verfahrensentwicklung........................................................................... 3 Schwächen des Modells........................................................................ 3 Kein angemessener Zeitrahmen...................................................... 4 Vorhersehbarkeit.............................................................................. 4 Schmerzhafte Unterbrechung.......................................................... 5 Ein besserer Ansatz................................................................................ 5 2 Check Point Software Technologies Ltd. Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag Einführung Fragen Sie einen Netzwerkadministrator, was ihn am meisten frustriert – Sicherheitspatches und der Patch Tuesday werden sicher unter den Antworten sein. Nicht zuletzt dank Microsoft, die den zweiten Dienstag im Monat nutzen, um Patches für eine große Anzahl an Software heraus zu geben, ist dieser Tag unter Technologen als „Patch Tuesday“ bekannt. Sicherlich hilft dieser Prozess, Sicherheitslevel zu verbessern, kann aber auch ein solches Chaos anrichten, dass Administratoren diese Patch Tuesdays als besondere Belastungsprobe für ihre Netzwerke sehen. Es gibt aber einen besseren Weg, um sich vor Sicherheitslücken zu schützen. Im Allgemeinen stellt ein Intrusion Protection System (IPS) den besten Ansatz dar. Es erkennt Sicherheitslücken in Echtzeit, ohne das Netzwerk zum Erliegen zu bringen. Dieses White Paper befasst sich mit den typischen Schwierigkeiten der Patch Tuesdays und dem präventiven Schutz, den Intrusion Prevention- und Intrusion Protection-Systeme leisten. Check Point bietet folgenden Schutz an: • IPS-1 – Standalone, dediziertes IPS • SmartDefense – IPSFunktionen, die in die Check Point Sicherheitsgateways integriert sind • SmartDefense Services – Updates für Ihren Schutz Verfahrensentwicklung Normale Dienstage wurden nicht über Nacht zu Patch Tuesdays. Ab Windows 98 band Microsoft den „Windows Update“-Prozess in seine Betriebssysteme ein, der automatisch neue Patches für Windows und alle seine Komponenten findet. Diese Strategie krankte an zwei Problemen bei ganz unterschiedlichen Kunden. Unerfahrene Anwender wussten nichts von der Update-Funktion und nutzten sie nicht. Erfahrene Anwender in großen Unternehmen sahen Probleme mit der Verwaltung dieser Funktion, da es kaum noch sicher zu stellen war, dass alle Systeme in einem bestimmten Netzwerk auf dem neusten Stand waren. Mit dem neuen Patch Tuesday sammelt Microsoft nun neue Sicherheitspatches über einen Monat und liefert diese dann gesammelt am zweiten Dienstag des Monats aus. Das erlaubt den Systemadministratoren, sich auf den Test und Einsatz der Patches vorzubereiten. Es überrascht nicht, dass sich andere Anbieter diesem Modell angeschlossen haben. Beim letzten Test lieferten mehr als zwei Dutzend große Anbieter ihre Patches am zweiten Dienstag des Monats aus. Während diese Strategie hilft, Netzwerke auf dem neusten Stand zu halten, bringt sie eine Reihe von Problemen mit sich, die die Netzwerksicherheit gefährden. Schwächen des Modells Ein beliebter Scherz unter Insidern ist, dass man einen Netzwerkadministrator zur Weißglut bringen könne, indem man ihn frage, wie der Patch Tuesday laufe. In anderen Kreisen ist der Patch Tuesday als „schwarzer Dienstag“ bekannt. Warum kochen die Gefühle so hoch? Warum wird dieser Prozess derart negativ bewertet? Warum scheitert der Patch Tuesday, allen guten Absichten zum Trotz, dabei, Netzwerke vor den grundlegenden Gefahren zu schützen? Die letzte Frage ist dabei wohl die mit Abstand wichtigste. Einem Bericht von Verizon Business nach werden die meisten Datenlecks erst nach Monaten entdeckt und oft nicht sofort beseitigt. Das bedeutet Monate, wenn nicht gar Jahre, mangelnden Schutzes. 1 2008 Data Breach Investigation Report, Verizon Business Check Point Software Technologies Ltd. 3 Machen Sie mit IPS den Security Patch Tuesday zu einem ganz normalen Tag Check Point Endpoint Die Antwort liegt in den systembedingten Mängeln von Patches mit festem Zeitplan. Der Patch Tuesday hat drei große Nachteile: Er ist nicht rechtzeitig, gibt Hackern einen Zeitplan für den Angriff und unterbricht den normalen Netzwerkbetrieb. Im Großen und Ganzen ist das Hauptproblem des Patch Tuesday, dass Patches allein keine umfassende Lösung für die Sicherheitsprobleme heutiger Netzwerke darstellen. Kein angemessener Zeitrahmen Das erste große Problem des Patch Tuesday ist der Zeitrahmen. Da Patches nach einem vorgegebenen Plan veröffentlicht werden, müssen Microsoft und andere Anbieter mit Termindruck kämpfen, um die Patches zum nächsten Patch Tuesday fertig zu stellen. Wenn eine Sicherheitslücke erst zu spät entdeckt wird, ist der passende Patch möglicherweise nicht zum entsprechenden Termin bereit und wird bis zum nächsten Patch Tuesday zurück gehalten, was eine Verzögerung von einem Monat oder mehr bedeuten kann. Heikle Sicherheitslücken können so über Jahre ungeschützt bleiben Microsoft und andere Hersteller versuchen, diesem Problem mit zusätzlichen Patches außerhalb des üblichen Rhythmus zu begegnen, die besonders kritische Probleme adressieren. Diese außerplanmäßigen Updates versetzen Administratoren jedoch in helle Aufregung und sobald die Kunden zu außerplanmäßigen Patches übergehen, ist das Ausgangsproblem wieder da. Vorhersagbarkeit Das nächste Problem des Patch Tuesday ist seine Vorhersagbarkeit. Auch Hacker wissen, dass Organisationen ihre Patches am zweiten Dienstag jedes Monats erhalten, so dass sie ihre Attacken auf das Zeitfenster abstimmen können, in dem die Verwundbarkeit des Unternehmensnetzwerks am größten ist. Das ist der Zeitraum zwischen der Entdeckung einer Sicherheitslücke und der lückenlosen Anwendung des Patches in der gesamten Organisation. Diese Zeit unterscheidet sich von der Zeit, bis der Patch verfügbar ist, da einige Organisationen Patches nicht sofort anwenden oder es komplett versäumen, sie in der gesamten Organisation anzuwenden. Nach einem Bericht von Verizon Business waren in 71% der Fälle, in denen bekannte Sicherheitslücken ausgenutzt wurden, die schützenden Patches seit über einem Jahr verfügbar. 2 Sicherheitslücke veröffentlicht Signatur / Patch verfügbar Verletzliches Zeitfenster Hacker erstellt Exploit Zeit Signatur / Patch wird angewendet Aus der Perspektive eines Hackers ist es verständlich, genau dieses Zeitfenster auszunutzen. 2 4 Check Point Software Technologies Ltd. Ibid Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag Einige Hacker beginnen sofort am Patch Tuesday, an Exploits zu arbeiten, da sie wissen, dass die meisten Organisationen die Patches nicht sofort anwenden. Dieses Phänomen ist als „Exploit Wednesday“ bekannt. Durch die Ausnutzung von nicht ausgebesserten Sicherheitslücken sofort nach dem Patch Tuesday haben die Programmierer von Schadsoftware 29 Tage Zeit, um Verwüstung anzurichten, bevor die Hersteller den Fehler beheben. Zudem warten einige Hacker mit den Attacken auf eine Sicherheitslücke sogar bis direkt nach dem Patch Tuesday, so dass Microsoft bis zum nächsten Update warten muss, um die Lücke zu beheben. Das erweitert das Zeitfenster rund um den Patch Tuesday noch und kann Hackern über einen Monat Zeit geben, um verwundbare Systeme anzugreifen. Schmerzhafte Unterbrechungen Das dritte große Problem des Patch Tuesday ist, dass dieser den Netzwerkbetrieb stark beeinträchtigen kann. Bis ein Patch im ganzen Netzwerk angewendet wurde, bleibt der Schutz unvollständig. Schon ein fehlender Patch auf einem einzigen Gerät kann die ganze Organisation in Gefahr bringen. Mit Dutzenden Servern und tausenden Endgeräten ist es gerade in großen Organisationen leicht, einige Geräte zu übersehen. Zudem können einige Patches inkompatibel mit verwendeter Software sein – ein bedeutendes Problem für große Unternehmen, die strenge Softwarerichtlinien haben und aufwändige Tests vor der Anwendung eines Patches erfordern. Andere Patches erfordern einen Neustart des jeweiligen Computers, was ebenfalls den Geschäftsbetrieb behindern kann. Im Jahr 2007 war zum Beispiel Skype nach einem Patch Tuesday für zwei Tage nicht verfügbar. Der Unternehmensleitung zu Folge war dieses Problem durch einen vorher unentdeckten Fehler in der Software hervorgerufen worden, der durch eine ungewöhnlich hohe Anzahl an Neustarts aktiviert wurde. Im Endeffekt sind Patches eine notwendige, aber mühsame Übung, die trotzdem noch Lücken im Schutz einer Organisation lässt. Ein besserer Ansatz Geplante wie ungeplante Patches haben ihre Vorzüge und Nachteile, aber die wirkliche Lösung für maximale Netzwerksicherheit liegt nicht allein in Patches. Während eine durchdachte und gut verwaltete Patch-Strategie ein Muss ist, können deren Schwächen durch die Implementierung eines widerstandsfähigen Intrusion Prevention Systems (IPS) minimiert werden. Ein solches System erkennt und blockiert Gefahren beim Versuch, in das Netzwerk einzudringen, bevor sie Server und Endgeräte erreichen. Anstatt auf Patches zu warten und diese dann möglichst schnell in einem komplexen System einzusetzen, kann ein IPS mit seinem präventiven Ansatz helfen. Ein IPS bietet schnell Schutz für die ganze Organisation und erlaubt den Administratoren so den nötigen Spielraum, um Patches auf Server und Endgeräte aufzuspielen. Bessere IPSs stützen sich dabei nicht nur auf Signaturen und reagieren auf Sicherheitslücken, sondern bieten breit angelegten Schutz. Durch den Schutz gegen Angriffsklassen und die Durchsetzung der richtigen und standardkonformen Nutzung von Protokollen, anstatt Signaturen einzelner Angriffe zu blockieren, kann das IPS dabei helfen, den Angreifern immer einen Schritt voraus zu sein. Check Point Software Technologies Ltd. 5 Machen Sie mit IPS den Security Patch Tuesday zu einem ganz normalen Tag Check Point Endpoint Diese Art des Schutzes bedeutet, dass das System gegen Sicherheitslücken nicht nur vor der Veröffentlichung des Patches geschützt ist, sondern manchmal sogar bevor die Sicherheitslücke entdeckt oder veröffentlicht wird. Während die Anwendung von Patches weiter in hohem Maße empfohlen wird, bedeutet das Vorhandensein von präventivem Schutz durch ein IPS nicht nur, dass das Zeitfenster der Verwundbarkeit geschlossen wird, sondern auch, dass das Testen und Einspielen von Patches ruhiger und besonnener geschehen kann. Mit einem zentralen Management kann ein gutes IPS sicher stellen, das alle verwundbaren Bereiche eines Systems geschützt sind. Mit wenigen Klicks in der Benutzeroberfläche kann eine ganze Organisation auf den neuesten Stand des Schutzes gebracht werden. Mit diesem umfassenden Ansatz, der die starken Funktionen eines IPS mit einer gezielten Strategie für Patches verbindet, können sich Netzwerkadministratoren besser auf Patch Tuesdays vorbereiten und ihr Netzwerk zwischen Updates schützen. Check Point bietet eine Vielzahl an Lösungen, um Netzwerkinfrastruktur und Daten zu schützen, einschließlich IPS-Fähigkeiten bestimmter Appliances und volle IPS-Funktion in den umfassenden Sicherheitsgateways. Weitere Informationen zu präventivem und leicht einzusetzenden Maßnahmen zum Schutz Ihres Netzwerks vor dem Patch finden Sie unter http://www.checkpoint.com/defense/advisories/public/index.html. 6 Check Point Software Technologies Ltd. Über Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führendes Unternehmen für die Sicherung des Internet. Das Unternehmen ist weltweit Marktführer für Unternehmensfirewalls, Personal Firewalls, Datensicherheit und VPN. Das einzige Augenmerk von Check Point ist IT-Sicherheit mit einem umfangreichen Portfolio an Lösungen für Netzwerksicherheit, Datensicherheit und Sicherheitsmanagement. Mit seiner NGX-Plattform bietet Check Point eine einheitliche Sicherheitsarchitektur für eine breite Palette an Sicherheitslösungen, um Geschäftskorrespondenz und Unternehmensnetzwerke und Anwendungen, externe Mitarbeiter und Außenstellen sowie die Extranets von Partnern zu schützen. Das Unternehmen bietet zudem mit der Pointsec-Produktlinie branchenführende Sicherheitslösungen zum Schutz und zur Verschlüsselung sensibler Geschäftsdaten auf PCs und mobilen Geräten. Die preisgekrönte ZoneAlarm Internet Security Suite von Check Point und weitere Sicherheitslösungen für Endverbraucher schützen Millionen Privat-PCs vor Hackern, Spyware und Datendiebstahl. Die Leistungsfähigkeit der Check PointLösungen wird durch ihre Open Platform for Security (OPSEC) noch gesteigert, der Allianz für die Zusammenarbeit hunderter „Best-of-breed“-Lösungen führender Firmen. Check Point-Lösungen werden von einem weltweiten Partner-Netzwerk vertrieben, integriert und gewartet. Unter den Kunden von Check Point befinden sich 100 Prozent der Fortune 100 sowie zehntausende Unternehmen und Organisationen aller Größen. Check Point-Büros Hauptsitz - weltweit 5 Ha‘Solelim Street Tel Aviv 67897, Israel Tel: 972-3-753-4555 Fax: 972-3-624-1100 E-Mail: [email protected] Hauptsitz - USA 800 Bridge Parkway Redwood City, CA 94065 Tel: 800-429-4391; 650-628-2000 Fax: 650-654-4233 URL: http://www.checkpoint.com ©2009 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point Endpoint Security, Check Point Endpoint Security On Demand, Check Point Express, Check Point Express CI, the Check Point logo, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ Engine, MailSafe, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@ Home, Safe@Office, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SMP, SMP On-Demand, SofaWare, SSL Network Extender, Stateful Clustering, the totalsecurity logo, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm ForceField, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, and 7,165,076 and may be protected by other U.S. Patents, foreign patents, or pending applications. Februar 2009