Mit Virtual Patching Schwachstellen wirksam beseitigen

bei

 / 7. October. 2021

Basis für eine verbesserte Security

Ein wirksames und zeitnahes Patchen von Sicherheitslücken ist essentiell, um Cyberangriffen rechtzeitig zuvorzukommen. Doch die Patch-Verwaltung ist aufwendig und benötigt Zeit. Virtual Patching dagegen führt sofort zu einer deutlich erhöhten Security, denn es signalisiert, dass Schwachstellen geschlossen sind. Das schwächt die Angriffsbasis für Cyberkriminelle.

Ob Handel, Industrie oder Behörden – kaum ein gesellschaftlicher Bereich, der nicht auf Basis von Datenspeicherung, -analyse und -verarbeitung arbeitet. Mit der Datenverarbeitung hängt über Organisationen und Unternehmen jedoch auch das Damoklesschwert gezielter Cyberattacken. Sind diese erfolgreich, können die Kosten für die betroffenen Institutionen in die Millionen gehen. So zieht der Bitkom in ihrem aktuellen Bedrohungsbericht für 2020 eine Schadensbilanz von 223 Milliarden Euro jährlich durch Cyberangriffe – mehr als das Doppelte des Zeitraums 2018/19, als es 103 Milliarden Euro pro Jahr waren. Von den befragten Firmen sind 88 Prozent bereits Opfer von Angriffen geworden. Vor allem der Mittelstand ist betroffen, wobei es in erster Linie zu Ransomware-Attacken kommt. Es ist davon auszugehen, dass sich die Bedrohungslage weiter verschärft, denn Cyberkriminelle nutzen zunehmend auch automatisierte Systeme und Algorithmen, um ungepatchte Sicherheitslücken bei ihren potenziellen Opfern zu ermitteln. Unternehmen oder Behörden gelingt es nur unzureichend, sich dagegen zu wappnen. Ein Grund dafür ist ein unzureichendes Patch-Management der Hard-, Soft- und Firmware.

Wo das Patch-Management mit der Zeit kämpft

Was macht ein wirksames und rechtzeitiges Patchen so schwierig? Zunächst einmal sind moderne IT-Infrastrukturen in der Regel über Jahre gewachsen. Sie sind damit äußerst komplex und wenig transparent, so dass die Patch-Verwaltung zu einer aufwendigen und ressourcenintensiven Aufgabe geworden ist. Hinzu kommt: In bestehenden IT-Umgebungen werden noch immer veraltete Systeme gehostet, doch diese werden in der Regel nicht mehr durch die Hersteller unterstützt und es sind keine Patches mehr für sie vorgesehen. Und wenn es möglich ist, einen Patch in eine Client-Server-Architektur einzuspielen, ist ein zeitintensiver Test erforderlich. Doch gerade dann, wenn eine neue Schwachstelle aufgedeckt wird, dürfen Anwender im Wettlauf mit möglichen Cyberangriffen keine Zeit verlieren. Weitere Risiken für das Patching lauern außerhalb der IT-Umgebung. So lassen sich die angeschlossenen Geräte häufig nicht patchen, weil dies die Herstellergarantie auf zugesicherte Funktionen aushebeln würde. Dies ist vor allem bei Produktionsanlagen oder medizinischen Geräten heikel. Auch hier kommt der Zeitfaktor ins Spiel, denn Geräte- und Anlagenhersteller ebenso wie Softwarespezialisten benötigen ebenfalls einige Zeit, um nach Bekanntwerden einer Schwachstelle einen Patch einzuspielen. Dies kann beispielsweise bei einem SCADA-System, das technische Prozesse in einer automatisierten Fertigung steuert, bis zu 150 Tage in Anspruch nehmen – zu lange, um wirklich viel Sicherheit zu bieten. Betreibern bleibt im Grund nur die Möglichkeit, ungepatchte Systeme zu betreiben – obwohl sie sich Sicherheitslücken auf keinen Fall leisten können. Dies ist jedoch keine langfristige Lösung, denn nicht nur hochsensible Daten oder die eigene Reputation stehen bei einem erfolgreichen Angriff auf dem Spiel. Auch die Verfügbarkeit wichtiger Strukturen ist in Gefahr, vor allem für die Betreiber kritischer Infrastrukturen (KRITIS).

Klassische Exploit-Filter versus Virtual Patching

Häufig kommen auf Netzwerkebene Exploit-Filter in herkömmlichen IDS/IPS-Lösungen (Intrusion Detection System/Intrusion Prevention System) und Next-Generation-Firewalls zum Einsatz. Diese sollen Angriffe abwehren, die auf nicht gepatchte Schwachstellen erfolgen. Doch der Einsatz dieser Exploit-Filter hat einige Nachteile. Zunächst wirken sie lediglich gegen bekannte Angriffe. Ist ein Schadcode nur leicht abweichend programmiert, kann er die Schwachstelle mühelos passieren – der Filter ist wirkungslos. Für diesen neuen Exploit muss dann ein neuer, passender Filter entwickelt werden. Nicht nur, dass damit die Anzahl der Filter wächst und der Netzwerkverkehr verlangsamt wird. Diese meist unter hohem Zeitdruck entwickelten Filter sind fehleranfällig und decken die bestehende Schwachstelle nicht ausreichend ab. Damit steigt die Anzahl der False Positive-Meldungen. Ein Patching per Exploit-Filter kann Cyberattacken also nur in einem gewissen Maße wirklich effektiv ausschalten. Weitaus mehr Sicherheit bietet Virtual Patching, denn hier werden Schwachstellen auf Netzwerkebene automatisch geschlossen. In modernen IPS- und Firewall-Lösungen eingesetzte Virtuelle Patches decken Schwachstellen komplett ab und schützen sie damit auch vor künftigen Exploits. Die Technologie blockiert hierzu die von Cyberkriminellen zum Ausnutzen von Schwachstellen versendeten Datenpakete, beispielsweise einen unautorisierten Zugang zu einem System, einer Software oder einem Netzwerk-Element. Der Virtual Patch lässt den Angriff fehlschlagen, auch wenn die Schwachstelle weder von Herstellerseite noch durch Updates gepatcht ist. Diese Strategie sichert Sicherheitslücken so wirksam ab, dass selbst ungepatchte Systeme gegen künftige Attacken geschützt sind. Zudem sorgt Virtual Patching für einen Zeitvorsprung, denn die erkannten Lücken lassen sich später genauer in den Fokus nehmen und endgültig schließen. Dies ist notwendig, denn selbst wenn eine Schwachstelle durch einen Virtual Patch entschärft wurde, bleibt die Bedrohung bis zur Aktualisierung des Systems bestehen – wenn auch in geringerem Ausmaß.

Schneller sein als die Angreifer

Der Zeitvorsprung, den Virtual Patching bietet, ist entscheidend, denn je länger es dauert, eine Schwachstelle zu beheben, desto mehr Zeit erhalten Cyberkriminelle, um sie auszunutzen. Das IT-Marktforschungsunternehmen Omdia hat in einer aktuellen Analyse das Gefährdungspotenzial von Sicherheitslücken untersucht. Dabei beschränkte es sich auf Schwachstellen, die von insgesamt elf Sicherheitsanbietern aufgedeckt wurden und mit einer CVE (Common Vulnerability and Exposure)-Nummer gekennzeichnet sind. Es zeigte sich, das mit 62 Prozent die Mehrheit der insgesamt rund 1370 Schwachstellen, die für 2020 gemeldet wurden, als „hoch riskant“ einzustufen sind. Schwachstellen mit mittlerem Gefährdungspotential machen rund 20 Prozent aus, während nur drei Prozent aller Sicherheitslücken als unbedenklich eingestuft werden. Es ist jedoch davon auszugehen, dass die Zahl der Zero-Day-Schwachstellen noch weitaus höher liegt. Diese machen etwa 15 Prozent der aufgedeckten Bedrohungen aus und sind damit eine bedeutende Bedrohung für die Informationssicherheit. In der Zero-Day-Initiative (ZDI) arbeiten unabhängige Sicherheitsforscher, Technologieanbieter und Sicherheitsspezialisten weltweit zusammen, um diese Schwachstellen zu ermitteln. Mit Erfolg: Im vergangenen Jahr konnte die vom Sicherheitsspezialisten Trend Micro getragene ZDI rund 60 Prozent aller weltweit bekannten Vulnerabilities erstmals aufdecken. Trend Micro steht aufgrund seiner Größe und umfangreichen Erfahrung auch in der oben erwähnten Omdia-Analyse bezüglich der Anzahl der ermittelten Sicherheitslücken unter den elf in die Betrachtung einbezogenen Unternehmen an erster Stelle. Das Unternehmen bietet Virtual Patching an, das auf Daten der ZDI basiert.

Virtual Patching bringt viele Vorteile

Um den Wettlauf mit der Zeit in Bezug auf Bedrohungen zu gewinnen, ist Virtual Patching das Mittel der Wahl. Es ermöglicht ein automatisiertes Patch-Management in komplexen, hybriden Infrastrukturen und schließt bestehende Schwachstellen sofort. So sind die Systeme automatisch innerhalb von 24 Stunden nach Bekanntwerden einer Sicherheitslücke geschützt. Während die Patch-Technologie Angriffe auf diese Schwachstelle blockt, lassen sich Hersteller-Patches in Ruhe einspielen und testen. Die Technologie reduziert die Anzahl der False Points erheblich und schützt ungepatchte Legacy-Systeme, ebenso wie Server, die nur schwer upzudaten sind. Das reduziert auch den Druck auf die IT-Abteilung, die nicht selbst in die Software und Systeme eingreifen muss. Für Schwachstellen, die zuerst von der ZDI gefunden werden, stellen die der ZDI angegliederten Security-Anbieter – darunter Trend Micro – einen virtuellen Patch bereits vor Veröffentlichung der Schwachstelle bereit. So gewinnen Unternehmen im Durchschnitt 96 Tage Zeit – der durchschnittliche Zeitraum, den es bedarf, um eine dem Virtual Patching ähnliches Schutzniveau zu erreichen.

Über den Autor / die Autorin:


Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er bei Trend Micro seine jetzige Position als Security Evangelist antrat, beschäftigte er sich unter anderem als Solution Architect (EMEA) viele Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren.