Remote Patching

Damit das Home Office nicht zum Einfallstor für Cyberangriffe wird

Chris Goettl ist Direktor des Produkt-Managements für Security-Produkte bei Ivanti.
Die globale Corona-Pandemie hat zu einer drastischen Verschiebung hin zur mobilen Arbeit geführt, die viele Unternehmen in Sachen IT-Sicherheit unvorbereitet getroffen hat.
Im Home Office weist bereits die erste Verteidigungslinie einer Defense-in-Depth-Strategie, also das regelmäßige Aufspielen von Sicherheitsupdates, erste Lücken auf.
Im Home Office weist bereits die erste Verteidigungslinie einer Defense-in-Depth-Strategie, also das regelmäßige Aufspielen von Sicherheitsupdates, erste Lücken auf.
Foto: Rawpixel.com - shutterstock.com

Insbesondere im Bereich Patch Management merken viele IT-Abteilungen, dass ihre Lösungen dieser neuen Ära der Remote-Arbeit nicht mehr gewachsen sind: Laptops befinden sich aktuell vorwiegend außerhalb des Firmennetzes und die Verteilung aktueller Patches kann nicht sichergestellt werden. Konkret heißt das, dass bereits die erste Verteidigungslinie einer Defense-in-Depth-Strategie, also das regelmäßige Aufspielen von Sicherheitsupdates, Lücken aufweist.

Die Herausforderungen reichen von überlasteten VPN-Bandbreiten, die Sicherheits-Updates erschweren über das Management von Drittanbieter-Updates bis hin zum plötzlichen Wechsel zur BYOD-Policy (Bring your own Device). Manch eine IT-Abteilung hat sich in der aktuellen Krise mit kurzfristigen und teils provisorischen Lösungen beholfen. Doch vieles spricht dafür, dass verbreitete Remote-Arbeit keine vorrübergehende Erscheinung ist. Laut mehreren Studien wünscht sich die Mehrheit der Arbeitnehmer auch weiter, ortsunabhängig arbeiten zu können.

Spätestens jetzt wird es also Zeit über langfristige Lösungen nachzudenken. IT- & IT-Sicherheits-Teams sollten daher sehr schnell Konzepte implementieren, wie sich die Vielzahl an Geräten im Home Office zentralisiert updaten lässt.

VPN wird zum Traffic-Nadelöhr und behindert Sicherheits-Updates

Viele Lösungen wie Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) und andere sind für zentral gesteuerte Aktualisierungen darauf angewiesen mit der Infrastruktur vor Ort zu kommunizieren. Der VPN-Datenverkehr muss daher so gestaltet werden, dass Updates möglich sind ohne die laufenden Prozesse zu beeinträchtigen.

Einer Sättigung der ohnehin schon kostbaren VPN-Bandbreite durch den Update-Verkehr kann mit einer Konfiguration der Systeme begegnet werden, sodass diese ihre Updates direkt von Windows Update beziehen. Dabei droht jedoch die Gefahr, dass der IT die Kontrolle und der Überblick über das Patching verloren geht.

Drittanbieter-Updates bleiben eine Herausforderung

Für die Teilnehmer an einer Microsoft ELA, dürfte sich die Umstellung der Remote-Nutzer auf InTune beschleunigen. InTune ist Teil der Microsoft Enterprise Mobility Suite (EMS) und ermöglicht die Verwaltung von Endgeräten mit Windows Betriebssystemen über einen Webbrowser, etwa um Viren-Scans durchzuführen oder Updates aufzuspielen. Auch wenn die Abdeckung mit Microsoft-Updates damit gelöst ist, bleiben Programme von Drittanbietern eine Herausforderung.

Denn die eingeschränkte MSI-Option zur Aktualisierung von InTune, limitiert die Mehrheit der externen Installationsprogramme erheblich. Microsoft arbeitet an einer API, die die notwendige Erweiterung bringen soll. Da sich diese allerdings noch in der Beta-Phase befindet, wurden Drittanbieter wie Adobe, Google und Mozilla angewiesen, sie aktuell ausschließlich für Testzwecke zu verwenden.

Bring your own Device-Policy riskiert Schatten-IT

In vielen Unternehmen ist BYOD (Bring your own Device) bereits seit Jahren erprobte Realität. Für diejenigen, die diesen Schritt in der Vergangenheit gescheut hatten, wurden die damit verbundenen Herausforderungen über Nacht sehr schmerzhaft. Denn der Zugriff auf Unternehmensdaten von Geräten, die sich der eigenen Kontrolle entziehen, birgt enorme Sicherheitsrisiken. Neben den regulären Sicherheitsmaßnahmen muss gewährleistet sein, dass das Patch Management auch diese Geräte einschließt.

Cloud-basiertes Patch Management am VPN vorbei

Viele dieser Herausforderungen lassen sich mittels Hybrid- und Cloud-basierten Patch-Management-Lösungen bewältigen. Am Markt gibt es mittlerweile Hybrid-Optionen, die innerhalb weniger Stunden implementiert werden können. Diese stellen sicher, dass Agenten auch außerhalb des Netzwerks von einer Verwaltungsoberfläche aus gesteuert werden können. Entscheidendes Merkmal dabei: Der Zugriff auf den Server aus dem Internet entfällt.

Die Agenten - zum Beispiel auf den Laptops im Home Office - kommunizieren stattdessen über einen sicheren Cloud-Dienst mit dem Patchmanagement. Von diesem erhalten sie Richtlinien in denen festgelegt wird, welche Patches zu welchem Zeitpunkt installiert werden sollen. Der Download der Patches selbst erfolgt dann direkt vom Download-Center des Herstellers.

Die Agenten senden schließlich Berichte an die Verwaltungsoberfläche zurück, in denen aufgeführt ist, welche Updates durchgeführt wurden. So wird die VPN-Bandbreite entlastet und sichergestellt, dass konsistente Berichte über den Patch-Status der betroffenen Geräte vorliegen. Diese können damit weiterhin ordnungsgemäß aus der Distanz verwaltet werden, ohne dass das VPN überlastet wird.

Systemverwaltung aus der Cloud

Langfristig wird eine Hybrid- und Cloud-Unterstützung für alle Systemverwaltungs-Toolsets wie Remote Control, Fehlerbehebungs-Tools und Sicherheitslösungen zum Standard. Unternehmen werden nach den aktuellen Erfahrungen sicherstellen wollen, dass der Support ihrer Systeme von den eigenen Netzwerken bis zu Home Office Umgebungen und von On-Premise-Rechenzentren bis zu privaten und öffentlichen Cloud-Rechenzentren gewährleistet ist. Toolsets, die ein nahtloses Patch-Management ohne die Notwendigkeit von VPN-Verbindungen nicht bieten, werden für den Remote-Arbeitsplatz mittelfristig nicht mehr geeignet sein.