Verbesserung der IT-Sicherheit durch Patch-Management

BSI: »Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind so klein wie möglich zu halten«.

Patch-Management

Patch-Management für Unternehmen

Sicherheitsupdates und Patche im Netzwerk verteilen

Patch-Management gehört zu den grundlegenden Maßnahmen zur Verbesserung der IT-Sicherheit. Anders ausgedrückt: Wer Patche (engl. für Flicken) und Sicherheitsupdates nicht regelmäßig und zeitnah einspielt, öffnet Cyberkriminellen buchstäblich die Tür. Oberflächlich betrachtet, scheinen die Schwachstellen in den Betriebssystemen von Microsoft häufiger und schwerwiegender zu sein, als die Lücken in Drittanbieter Software von z.B. Adobe, Oracle, Google, Apple und Mozilla. Tatsächlich sind laut CVEdetails aber 86 % der eindeutigen Sicherheitslücken (CVE) in Nicht-Microsoft-Applikationen und Betriebssystemen zu finden.

Patch-Management, also die aktive Suche nach neuen (Sicherheits-) Patches, deren Funktions-, Kompatibilitätstest und Installation, ist eine regelmäßige und verantwortungsvolle IT-Aufgabe. Ist eine Schwachstelle erst einmal bekannt, ist sie meist auch ausreichend dokumentiert und ein einfach anzugreifendes Ziel. Während es bei Unternehmen durchschnittlich 9 Monate dauert bis Patche im Netzwerk verteilt werden, benötigen Hersteller von Exploit-Kits meist nur eine Woche um neue Sicherheitslücken auszunutzen. 2014 waren zehn bekannte Sicherheitslücken für 97 % aller Angriffe verantwortlich. Dementsprechend genügt es nicht, Patches irgendwann einzuspielen, sondern zeitnah nach deren Freigabe. Denn zwischen der Erkennung von Schwachstellen und der Patch-Freigabe dauert es bereits durchschnittlich drei Monate.

Wird der Patch ohne Kompatibilitätsprüfung in der eigenen IT-Infrastruktur verteilt, kann das negative Auswirkungen wie z.B. Ausfall einiger Systeme haben. Anbieter von systemkritischen Applikationen können sogar vor der Einspielung neuer Updates warnen.

Eine Priorisierung und Gruppierung der IT-Landschaft durch Asset-Management Funktionen hilft besonders gefährdete Systeme kurzfristig abzusichern und problematische Systeme auszuklammern. Eine Patch-Managementlösung unterstützt Sie bei dieser Mammutaufgabe und liefert zusätzlich aktuelle Statusreports.

Übrigens: In 2018 wurden laut der Datenbank CVE-Details bei den Top-50 Softwareherstellern insgesamt 8359 eindeutige Vulnerabilitäten (CVE) erkannt.

Schnellnavigation
Patch-Management

Patch-Management

Patch-Management testen

Video

Funktionsübersicht Ivanti Patch-Management

Video ansehen

Ivanti Patch-Management

Seit Januar 2016 ist Shavlik Patch-Management Teil von Ivanti. Patch-Management mit Ivanti Security Controls sowie Ivanti Patch für Microsoft System Center Configuration Manager (Microsoft SCCM) unterstützen Sie bei der Absicherung der IT durch Updates und Sicherheitsupdates für Microsoft, über 70 weiteren Herstellern und insgesamt über 1800 Standard-Applikationen.

Ivanti Patch-Management stellt vorab getestete Patches und Sicherheitsupdates für Microsoft und über 70 weitere Hersteller von Standardlösungen wie beispielsweise Adobe, Apple, Citrix, Google, Mozilla, Oracle, WinZip uvm. zur Verfügung.

Mit Ivanti Security Controls powered by Shavlik für Windows- und Red Hat Enterprise Linux Umgebungen laden Sie jeden Patch nur einmalig herunter und testen die Auswirkungen der Updates vor der Verteilung in Ihrem Netzwerk. Mit dem integrierten IT-Asset-Management gruppieren Sie Computer und Server nach bestimmten Eigenschaften oder Standorten, klammern kritische Systeme aus und priorisieren anfällige Computer. Der Scheduler sorgt für eine störungsfreie Patch-Verteilung oder verlegt die Installation der Patches und Sicherheitsupdates bei Servern auf ein noch freies Wartungsfenster. Im Standard-Anwendungsfall funktioniert die Lösung ohne Client auf den jeweiligen Systemen.

Erfahren Sie mehr über Patch-Management mit Ivanti Patch auf unserem YouTube-Kanal und in unserem 45 minütigen Webinar. Zur Anmeldung

Ivanti Patch for SCCM liefert aktuelle Patch- und Sicherheitsupdates als Katalogdatei in SCCM. Die Verteilung von Drittanbieter Patches erfolgt dann wie gewohnt über SCCM und WSUS Funktionen.

Ivanti Security Controls

Das komplette Patch-Management in einer Softwarelösung! Mit Ivanti Security Controls (vormals Patch for Windows Servers) verteilen Sie Patches, Software- und Sicherheitsupdates von Microsoft und über 70 Drittherstellern – ohne Client - auf Workstations, Servern und virtuellen Umgebungen.

Ivanti Patch for SCCM

Ivanti Patch for Microsoft SCCM ermöglicht die Patch-Verteilung von Drittanbieter-Applikationen wie Adobe Reader, Mozilla Firefox, Google Chrome, Oracle Java und über 70 weiteren Herstellern ohne zusätzliche Software direkt über die SCCM-Infrastruktur. Ivanti Patch integriert sich komplett in SCCM und liefert geprüfte Katalog-Updates für SCCM.

Ivanti Patch-Tuesday Übersicht

Erfahren Sie mehr über aktuelle Sicherheitsupdates und Patche des letzten Patch-Tuesday direkt bei Ivanti. Welche Sicherheitsupdates sind besonders kritisch? Welcher Hersteller hat noch Patche freigegeben? Obiger Link führt Sie direkt zum Ivanti Patch-Tuesday-Blog.

Aktuell: Ivanti Patch-Tuesday Übersicht für April 2019

Traditionell werden im April immer sehr viele neue Patches und Sicherheitsupdates freigegeben. Ob das einer der Gründe ist, warum diesmal bei Microsoft der »Wurm« drin war? Nach dem April Patchday häuften sich die Meldungen über Performance-Probleme bei Windows 10 1809 und Boot-Probleme in Verbindung mit einigen Anti-Viren Programmen. Trotzdem patchen? Ja, aber mit Bedacht! Immerhin schließt Microsoft 74 (davon 11 kritisch), Adobe 43 (3 kritisch) und Wireshark 10 Sicherheitslücken. Adobe Shockwave ist EoL und hier bleiben 7 Sicherheitslücken ungepatcht.

Unser Fazit: Priorisieren Sie Microsoft Windows und Browser Security-Updates sowie Adobe AIR, Flash, Acrobat Reader und Acrobat. Um zu vermeiden, dass auch bei Ihnen die oben kurz erwähnten Probleme auftreten, testen Sie die Patches und Sicherheitsupdates vorher in einer Testumgebung. Lösungen wie Ivanti Patch bieten diese Funktion an.

Mehr zu den aktuellen Updates und Sicherheitsupdates finden Sie auch hier

Ivanti Security Controls

Patch-Management für Microsoft und Nicht-Microsoft Software und Betriebssysteme »clientless« verteilen. Übersichtliche Auswertungen und Compliance-Reporting.

Datenblatt lesen

Ivanti Security Controls

Ivanti Security Controls bietet das komplette Leistungsspektrum modernen Patch-Managements und ist die All-in-one Lösung für zeitnahe Patch-Verteilung auch in großen, heterogenen, dezentralen und virtuellen IT-Umgebungen.

Neue Patch-Management Version Ivanti Security Controls verfügbar: Jetzt auch mit neuer GUI, Application Control und kompatibel zu einigen Red Hat Enterprise Linux Versionen. Release Notes & Upgrade Guide sowie Videos verfügbar.

Unter Patch-Management versteht man die Verteilung und Installation von jeweils für die Systeme relevanten Patches und Sicherheitsupdates. Ivanti Security Controls (vormals Ivanti Patch for Windows) kann mehr: Sie erhalten nur vorab getestete Updates und sparen dadurch kostbare Zeit bei der Patch-Verteilung und minimieren Risiken. Über IT-Asset-Managementfunktionen gruppieren Sie Ihre IT-Infrastruktur in logische Segmente und schließen kritische Server aus. Virtuelle Infrastrukturen und Templates können online und offline gepatcht werden. Ivanti arbeitet ohne Client und zeigt in Echtzeit den Update-Status Ihrer Server, Workstations, Linux-Systemen und virtuellen Umgebungen. Einen ersten guten Überblick in 30 min. bekommen Sie, indem Sie unser Ivanti Patch Webinar besuchen.

Security Insider testet im April 2017 die Vorgängerversion Ivanti Patch for Windows. Sie hinterlässt bei den Testern einen »hervorragenden Eindruck«.
Zum Security Insider Testbericht

 

Ivanti Patch-Management - Die Funktionen

Patch-Management Funktionsumfang

Ivanti Patch-Management (vormals: Shavlik Protect) überprüft freigegebene Patches und Sicherheitsupdates von Microsoft und über 70 weiteren Drittanbietern, wie beispielsweise Apple, Google, Mozilla, Adobe, Citrix uvm. (siehe Liste unterstützter Hersteller und Produkte). Nur funktionierende Patche und Sicherheitsupdates werden als verifizierte XML-Datei gesichert übermittelt.

Alle heruntergeladenen Patche werden von Ivanti Security Controls automatisch auf Relevanz für die jeweiligen Server, virtuellen Systeme und Workstations überprüft und nach Freigabe »silent« verteilt. Patche und Sicherheitsupdates werden nur dort installiert, wo sie auch notwendig sind. Ivanti Patch-Management erkennt Patches nicht nur über Registry-Einträge, sondern überprüft alle Dateien, die mit dem Patch installiert werden auf Aktualität (Datum, Größe etc.). Ein Rollback von Patches und Updates kann direkt über die Konsole durchgeführt werden.

Zu jeder Zeit haben Sie den Überblick über die Patch-Verteilung und den Patch-Status in Ihrer Organisation. Die mitgelieferten Patch-Beschreibungen ergänzen die Herstellerinformationen. Unterschiedlich granulare Reports und Berichte informieren sowohl die zuständigen Administratoren als auch die IT-Manager oder Datenschutzbeauftragten mit angepasster Informationsdichte über die aktuelle Patch-Quote.

Mit Application Control erstellen Sie Whitelists von Applikationen und Excutables.

Ohne Client! Oder mit ...

Für die meisten Patch-Managementlösungen ist ein erweiterter oder zusätzlicher Client notwendig, der jeweils auf den Systemen installiert und gewartet werden muss. Nicht so bei Ivanti Patch-Management! Der Scan auf fehlende Patches, die Verteilung und die anschließende Auswertung funktionieren komplett ohne Client.

Sollten Notebooks und einzelne Computer nicht dauerhaft mit Ihrem Netzwerk verbunden sein, überprüft der optionale Ivanti Patch Client bei jeder Verbindung aktiv auf fehlende Patche und installiert sie lokal.

Security Controls lkann auch virtuelle Infrastrukturen ohne Client patchen und zwar sowohl online als auch offline. Mehr dazu unter »Einzigartige VMware-Funktionen«.

Integriertes IT-Asset-Management

Mit dem integrierten Asset-Management gruppieren Sie Ihr IT-Netzwerk logisch nach Servern, Workstations, Standorten, Test-Computern, Workstations mit Standardkonfiguration, Betriebssystemen uvm. Sind Patches für kritische Systeme wie CRM- und Produktionsserver nicht freigegeben, können sie aktiv exkludiert werden.

Die Asset-Management Funktion in Ivanti Patch-Management priorisiert kritische Systeme und Applikationen, erhöht die Effizienz und minimiert mögliche Systemausfälle durch inkompatible Patche.

Einzigartige VMware Funktionen

Ebenfalls ohne zusätzlichen Client patchen Sie mit Ivanti Security Controls alle VMware Templates und VMware Instanzen, egal ob diese gerade online oder offline sind. Dazu zählen ESXI-Hypervisoren, Windows Hyper-V Server, Citrix XenApp und Citrix Presentation Server.

Mit der integrierten Snapshot-Technologie erstellen Sie jederzeit VMware Snapshots für ein nachträgliches Recovery oder stellen damit den ursprünglichen Zustand wieder her. Die VMware Offline-Patch Verteilung ohne Client finden Sie nur bei Ivanti Patch for Windows.

Aufgrund des hohen Leistungsumfangs gewinnt Security Controls damals noch unter dem Namen Shavlik Protect, den Best of VMworld 2016 Gold Award im Bereich Security.

Hohe Flexibilität

Notwendige Aktionen vor einer Patch-Installation sowie Reboots danach sind automatisierbar. Verteilen Sie alle Patches auch außerhalb der üblichen Bürozeiten. Mit dem integrierten Scheduler »wecken« Sie Workstations außerhalb der Arbeitszeit auf und fahren diese nach der Installation auch wieder herunter. Sicherheitsupdates bei Servern verlegen Sie damit in ein freies Wartungsfenster. 

Integrierte IT-Script-Funktionen erlauben Individualisierungen bei einzelnen Systemen und Automatisierungen von Funktionen und Workflows. Weitere IT-Scripte sind über Ivanti Patch for Windows Power-Pack Add-on verfügbar. 

Ivanti Patch-Management ist skalierbar auch in großen bzw. verteilten Umgebungen einsetzbar. Distribution-Server ermöglichen das Patch-Deployment in anderen Standorten und Load-Balancing.

Umfangreiches Reporting

Um compliant zu sein ist die Dokumentation von aktuellen Ist-Zuständen oder historischen Statusmeldungen zum Beispiel nach Datenpannen essentiell. Ivanti Security Controls hat bereits alle wichtigen Reports vorgefertigt hinterlegt. Einige Management-Reports geben Verantwortlichen den gewünschten Überblick.

Dokumentierte SQL Datenbankabfragen erlauben die Verarbeitung aller zur Verfügung gestellten Patch-Informationen in anderen Lösungen.

NEU: Application Control

Security Controls ist mehr als nur Patch-Management. Die integrierte Funktion Application Control erlaubt das Whitelisting von bekannten und vertrauenswürdigen Anwendungen. Nur die erlaubten Applikationen und ausführbaren Dateien können dann auf Systemen gestartet bzw. genutzt werden.

Application Control ist eine wichtige Ergänzung für Patch-Management und schützt zusätzlich gegen Zero-Day Attacken, Malware und Cyberangriffe.

Eigene Patche erstellen und verteilen

Mit Custom Patches ermöglicht Ihnen Ivanti Patch-Mangement die Erstellung von Patches und Updates für spezielle eigene Applikationen oder für Applikationen für die keine Update-Routinen vorgesehen sind. Die Verteilung dieser Updates, die Gruppierung betroffener Systeme sowie das Reporting erfolgt mit Security Controls analog zu allen anderen Patches und Updates.

Lizenzierung

Bei der Lizenzierung von Ivanti Security Controls wird grundsätzlich zwischen Servern und Workstation unterschieden. Virtuelle Systeme zählen wie ihre physikalischen Pendants.

Das Patch-Management gibt es sowohl als Perpetual-Lizenz als auch als Subscription. Ein gültiger Wartungsvertrag (in Subscription während der Laufzeit enthalten) ist obligatorisch, um die neusten Patch-XML-Dateien herunterladen und verteilen zu können. Alle Patches werden vor der Freigabe umfangreich getestet.

Zusätzliche Konsolen können für die Administration von Patch-Management in größeren Infrastrukturen oder in verteilten Standorten sinnvoll sein. Die Patches und Sicherheitsupdates können zentral heruntergeladen  und an die jeweiligen Konsolen (= Distribution Server) in anderen Standorten weitergeleitet werden. Die Patch-Verteilung erfolgt dann durch die lokalen Konsolen des jeweiligen Standorts oder Netzwerk .

Download & Angebot

Patch-Management für alle Fälle

Eine Lösung für Ihr sicheres Patch-Management.
Webinar, Angebot, Testversion

DownloadMehr erfahren

Ivanti Patch for SCCM

Auch Drittanbieter Patches und Sicherheitsupdates über Microsoft SCCM verteilen und damit den Nutzen erweitern.

Datenblatt lesen

Ivanti Patch for SCCM

Patch-Management ohne die Berücksichtigung von Standardlösungen ist ungenügend: 86 % aller Sicherheitslücken kommen in Nicht-Microsoft Betriebssystemen und Applikationen vor (Quelle: National Vulnerability Database) vor. Verteilen Sie mit Ivanti Patch for SCCM über 1800 Drittanbieter-Applikationen von Adobe, Google, Mozilla, Citrix, Apple uvm. ohne zusätzliche Infrastruktur über Microsoft SCCM.

Mit Microsoft System Center Configuration Manager (SCCM) haben Sie eine hervorragende Plattform um Microsoft Patches und Sicherheitsupdates auf alle Workstation Ihres Unternehmens zu verteilen.

Den angebotenen Verteilungsoptionen für alle Drittanbieter Standard-Applikationen wie Flash Player, Adobe Reader, WinZip, Firefox, Chrome, Apple Safari uvm. fehlt es an Funktionalität. Viele Unternehmen verzichten deshalb auf die Verteilung von Drittanbieter Patches.

Die durch Ivanti Patch für SCCM (vormals Shavlik Patch for SCCM) gelieferten aktuellen und getesteten Patches und Sicherheitsupdates werden in Microsoft SCCM eingelesen und darüber verteilt. Sie reduzieren die Risiken, die durch Drittanbieterlösungen entstehen. Erweitern Sie den Nutzen Ihrer Microsoft SCCM-Investition. Das native Plugin erlaubt nahtloses Patchen von Drittanbieter-Applikationen über Microsoft SCCM. Sie benötigen keine zusätzliche Infrastruktur.

Video

Funktionsübersicht Ivanti Patch for SCCM

Video noch unter dem ehemaligen Produktnamen.

Video ansehen

Drittanbieter-Patche über Microsoft SCCM verteilen

Umfassende Katalogdatei

Vorab getestete Patches, Updates und Sicherheitsupdates von Drittanbietern, werden als Katalog in Microsoft SCCM eingelesen. Ivanti Patch integriert sich nahtlos in SCCM. Eingelesene Patches können selektiv ausgewählt und in der SCCM Konsole veröffentlicht werden. Alle von Ivanti Patch unterstützten Drittanbieter-Hersteller und Applikationen finden Sie hier

Keine zusätzliche Infrastruktur

Sie arbeiten in der bekannten Microsoft SCCM-Konsole und verwenden die SCCM- und WSUS-Infrastruktur um Drittanbieter-Patches und Sicherheitsupdates im Netzwerk zu verteilen. Sie benötigen keine zusätzlichen Agents oder Konsolen. Mit Ivanti Patch by Shavlik maximieren Sie den Return on Investment (ROI) Ihrer SCCM-Investition und erhöhen signifikant Ihre IT-Sicherheit. Ivanti Patch for SCCM amortisiert sich durch die geringen Kosten und den geringen Aufwand äußerst schnell.

In drei Schritten

Sehen Sie nachfolgend, wie Sie in nur 3 Schritten mit Microsoft System Center Configuration Manager auch Drittanbieter Patches und Sicherheitsupdates verteilen.

Download & Angebot

Drittanbieter-Patches über SCCM verteilen

Patche und Sicherheitsupdates in SCCM einlesen und darüber verteilen. Testversion, Infos und Angebot hier anfordern.

DownloadMehr erfahren

Data Loss Prevention

Ergänzend zu Ivanti Patch kann die Safend Data Protection Suite die Sicherheit an den Endgeräten durch Port- und Device Control, Verschlüsselung und Datenklassifizierung weiter erhöhen. Testen Sie das Zusammenwirken beider Programme und entscheiden Sie selbst.

Data Loss Prevention