Patch-Management

BSI: »Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind so klein wie möglich zu halten«.

Patch-Management

Patch-Management für Unternehmen

Sicherheitsupdates und Patches sicher im Netzwerk verteilen

Patch-Management gehört zu den grundlegenden Maßnahmen zur Verbesserung der IT-Sicherheit. Anders ausgedrückt: Wer Patches (engl. für Flicken) und Sicherheitsupdates nicht regelmäßig und zeitnah einspielt, öffnet Cyberkriminellen buchstäblich die Tür. Laut CVEdetails kommen über 85 % der eindeutigen Sicherheitslücken (CVE) in Nicht-Microsoft-Applikationen und Betriebssystemen vor, die in jedem Netzwerk zu finden sind. Patch-Management ohne Berücksichtigung von Drittanbieter Software von z.B. Adobe, Oracle, Google, Apple und Mozilla kann deshalb nicht ausreichend sein.

Komplettes Patch-Management, also die aktive Suche nach neuen (Sicherheits-) Patches, deren Funktions-, Kompatibilitätstest und Installation, ist eine regelmäßige und verantwortungsvolle IT-Aufgabe. Ist eine Schwachstelle erst einmal bekannt und ausreichend dokumentiert ist sie ein einfach anzugreifendes Ziel. Während es bei Unternehmen durchschnittlich 9 Monate dauert bis Patches im Netzwerk verteilt werden, benötigen Hersteller von Exploit-Kits meist nur eine Woche um neue Sicherheitslücken auszunutzen. 2014 waren zehn bekannte Sicherheitslücken für 97 % aller Angriffe verantwortlich. Dementsprechend genügt es nicht, Patches irgendwann einzuspielen, sondern zeitnah nach deren Freigabe. Denn zwischen der Erkennung von Schwachstellen und der Patch-Freigabe dauert es bereits durchschnittlich drei Monate.

Wird der Patch ohne Kompatibilitätsprüfung in der eigenen IT-Infrastruktur verteilt, kann das negative Auswirkungen wie z.B. Ausfall einiger Systeme haben. Anbieter von systemkritischen Applikationen können sogar vor der Einspielung neuer Updates warnen.

Eine Priorisierung und Gruppierung der IT-Landschaft durch Asset-Management Funktionen hilft besonders gefährdete Systeme kurzfristig abzusichern und problematische Systeme auszuklammern. Eine Patch-Managementlösung unterstützt Sie bei dieser Mammutaufgabe und liefert zusätzlich aktuelle Statusreports.

Übrigens: In 2018 wurden laut der Datenbank CVE-Details bei den Top-50 Softwareherstellern insgesamt 8359 eindeutige Vulnerabilitäten (CVE) erkannt.

Schnellnavigation
Patch-Management

Patch-Management

Video

Funktionsübersicht Ivanti Patch-Management

Video ansehen

Fragen Sie einen Experten

Ivanti Patch-Management

Seit Januar 2016 ist Shavlik Patch Management Teil von Ivanti.Das neue Ivanti Security Controls sowie Ivanti Patch for SCCM (Microsoft System Center Configuration Manager) unterstützen Sie bei der Absicherung der IT durch Updates und Sicherheitsupdates für Microsoft, über 80 weiteren Herstellern und insgesamt über 1800 Standard-Applikationen.

Ivanti stellt nur vorab getestete Patches und Sicherheitsupdates zum Download bereit. Mit Ivanti Security Controls für Windows- und Red Hat Enterprise Linux Umgebungen laden Sie jeden Patch nur einmalig herunter. Sicherheitshalber sollten Sie die Auswirkungen der Updates vor der Verteilung in Ihrem Netzwerk in einer Testumgebung testen. Mit dem integrierten IT-Asset-Management gruppieren Sie Computer und Server nach bestimmten Eigenschaften oder Standorten, klammern kritische Systeme aus und priorisieren anfällige Computer. Der Scheduler sorgt für eine störungsfreie Patch-Verteilung oder verlegt die Installation der (Sicherheits-) Updates bei Servern auf ein noch freies Wartungsfenster. Im Standard-Anwendungsfall funktioniert die Lösung ohne Clientauf den jeweiligen Systemen.

Erfahren Sie mehr über Ivanti Security Controls auf unserem YouTube-Kanal.

Ivanti Patch for SCCM liefert aktuelle Patch- und Sicherheitsupdates als Katalogdatei in SCCM. Die Verteilung von Drittanbieter Patches erfolgt dann wie gewohnt über SCCM und WSUS Funktionen.

Ivanti Security Controls

Das komplette Patch-Management in einer Softwarelösung! Mit Ivanti Security Controls (vormals Patch for Windows Servers) verteilen Sie Patches, Software- und Sicherheitsupdates von Microsoft und über 70 Drittherstellern – ohne Client - auf Workstations, Servern und virtuellen Umgebungen.

Ivanti Patch for SCCM

Ivanti Patch for Microsoft SCCM ermöglicht die Patch-Verteilung von Drittanbieter-Applikationen wie Adobe Reader, Mozilla Firefox, Google Chrome, Oracle Java und über 70 weiteren Herstellern ohne zusätzliche Software direkt über die SCCM-Infrastruktur. Ivanti Patch integriert sich komplett in SCCM und liefert geprüfte Katalog-Updates.

Komplettes Patch-Management

Ivanti Security Controls: Patch-Management für Microsoft und Nicht-Microsoft Software und Betriebssysteme »clientless« verteilen. Übersichtliche Auswertungen, Application Whitelisting und Compliance-Reporting.

Datenblatt lesen

Ivanti Security Controls

Ivanti Security Controls bietet das komplette Patch-Management Leistungsspektrum und ist die all-in-one Lösung für zeitnahe Patch-Verteilung auch in großen, heterogenen, dezentralen und virtuellen IT-Umgebungen.

Unter Patch-Management versteht man die Verteilung und Installation von jeweils für die Systeme relevanten Patches und Sicherheitsupdates. Ivanti Security Controls (vormals Ivanti Patch for Windows) kann mehr: Sie erhalten nur vorab getestete Updates und sparen dadurch kostbare Zeit bei der Patch-Verteilung und minimieren Risiken. Über IT-Asset-Managementfunktionen gruppieren Sie Ihre IT-Infrastruktur in logische Segmente und schließen kritische Server aus. Virtuelle Infrastrukturen und Templates können online und offline gepatcht werden. Ivanti arbeitet ohne Client und zeigt in Echtzeit den Update-Status Ihrer Server, Workstations, Linux-Systemen und virtuellen Umgebungen.

Security Insider testet im April 2017 die Vorgängerversion Ivanti Patch for Windows. Sie hinterlässt bei den Testern einen »hervorragenden Eindruck«. Zum Security Insider Testbericht

Funktionsumfang von Ivanti Security Controls

Ivanti Security Controls (vormals: Shavlik Protect) überprüft freigegebene Patches und Sicherheitsupdates von Microsoft und über 70 weiteren Drittanbietern, wie beispielsweise Apple, Google, Mozilla, Adobe, Citrix uvm. (siehe Liste unterstützter Hersteller und Produkte). Nur funktionierende Patche und Sicherheitsupdates werden als verifizierte XML-Datei gesichert übermittelt.

Alle heruntergeladenen Patche werden von Ivanti Security Controls automatisch auf Relevanz für die jeweiligen Server, virtuellen Systeme und Workstations überprüft und nach Freigabe »silent« verteilt. Patche und Sicherheitsupdates werden nur dort installiert, wo sie auch notwendig sind. Ivanti Security Controls erkennt Patches nicht nur über Registry-Einträge, sondern überprüft alle Dateien, die mit dem Patch installiert werden auf Aktualität (Datum, Größe etc.). Ein Rollback von Patches und Updates kann direkt über die Konsole durchgeführt werden.

Zu jeder Zeit haben Sie den Überblick über die Patch-Verteilung und den Patch-Status in Ihrer Organisation. Die mitgelieferten Patch-Beschreibungen ergänzen die Herstellerinformationen. Unterschiedlich granulare Reports und Berichte informieren sowohl die zuständigen Administratoren als auch die IT-Manager oder Datenschutzbeauftragten mit angepasster Informationsdichte über die aktuelle Patch-Quote.

Mit Application Control erstellen Sie Whitelists von Applikationen und Executables.

Ohne Client! Oder mit ...

Für die meisten Patch-Managementlösungen ist ein erweiterter oder zusätzlicher Client notwendig, der jeweils auf den Systemen installiert und gewartet werden muss. Nicht so bei Ivanti Patch Management! Der Scan auf fehlende Patches, die Verteilung und die anschließende Auswertung funktionieren komplett ohne Client.

Sollten Notebooks und einzelne Computer nicht dauerhaft mit Ihrem Netzwerk verbunden sein, überprüft der optionale Ivanti Patch Client bei jeder Verbindung aktiv auf fehlende Patche und installiert sie lokal.

Security Controls lkann auch virtuelle Infrastrukturen ohne Client patchen und zwar sowohl online als auch offline. Mehr dazu unter »Einzigartige VMware-Funktionen«.

Integriertes IT-Asset-Management

Mit dem integrierten Asset-Management gruppieren Sie Ihr IT-Netzwerk logisch nach Servern, Workstations, Standorten, Test-Computern, Workstations mit Standardkonfiguration, Betriebssystemen uvm. Sind Patches für kritische Systeme wie CRM- und Produktionsserver nicht freigegeben, können sie aktiv exkludiert werden.

Die Asset-Management Funktion in Ivanti Patch-Management priorisiert kritische Systeme und Applikationen, erhöht die Effizienz und minimiert mögliche Systemausfälle durch inkompatible Patche.

Einzigartige VMware Funktionen

Ebenfalls ohne zusätzlichen Client patchen Sie mit Ivanti Security Controls alle VMware Templates und VMware Instanzen, egal ob diese gerade online oder offline sind. Dazu zählen ESXI-Hypervisoren, Windows Hyper-V Server, Citrix XenApp und Citrix Presentation Server.

Mit der integrierten Snapshot-Technologie erstellen Sie jederzeit VMware Snapshots für ein nachträgliches Recovery oder stellen damit den ursprünglichen Zustand wieder her. Die VMware Offline-Patch Verteilung ohne Client finden Sie nur bei Ivanti Patch for Windows.

Aufgrund des hohen Leistungsumfangs gewinnt Security Controls damals noch unter dem Namen Shavlik Protect, den Best of VMworld 2016 Gold Award im Bereich Security.

Hohe Flexibilität

Notwendige Aktionen vor einer Patch-Installation sowie Reboots danach sind automatisierbar. Verteilen Sie alle Patches auch außerhalb der üblichen Bürozeiten. Mit dem integrierten Scheduler »wecken« Sie Workstations außerhalb der Arbeitszeit auf und fahren diese nach der Installation auch wieder herunter. Sicherheitsupdates bei Servern verlegen Sie damit in ein freies Wartungsfenster. 

Integrierte IT-Script-Funktionen erlauben Individualisierungen bei einzelnen Systemen und Automatisierungen von Funktionen und Workflows. Weitere IT-Scripte sind über Ivanti Patch for Windows Power-Pack Add-on verfügbar. 

Ivanti Patch-Management ist skalierbar auch in großen bzw. verteilten Umgebungen einsetzbar. Distribution-Server ermöglichen das Patch-Deployment in anderen Standorten und Load-Balancing.

Umfangreiches Reporting

Um compliant zu sein ist die Dokumentation von aktuellen Ist-Zuständen oder historischen Statusmeldungen zum Beispiel nach Datenpannen essentiell. Ivanti Security Controls hat bereits alle wichtigen Reports vorgefertigt hinterlegt. Einige Management-Reports geben Verantwortlichen den gewünschten Überblick.

Dokumentierte SQL Datenbankabfragen erlauben die Verarbeitung aller zur Verfügung gestellten Patch-Informationen in anderen Lösungen.

NEU: Application Control

Security Controls ist mehr als nur Patch-Management. Die integrierte Funktion Application Control erlaubt das Whitelisting von bekannten und vertrauenswürdigen Anwendungen. Nur die erlaubten Applikationen und ausführbaren Dateien können dann auf Systemen gestartet bzw. genutzt werden.

Application Control ist eine wichtige Ergänzung für Patch-Management und schützt zusätzlich gegen Zero-Day Attacken, Malware und Cyberangriffe.

Eigene Patche erstellen und verteilen

Mit Custom Patches ermöglicht Ihnen Ivanti Patch-Mangement die Erstellung von Patches und Updates für spezielle eigene Applikationen oder für Applikationen für die keine Update-Routinen vorgesehen sind. Die Verteilung dieser Updates, die Gruppierung betroffener Systeme sowie das Reporting erfolgt mit Security Controls analog zu allen anderen Patches und Updates.

Lizenzierung

Bei der Lizenzierung von Ivanti Security Controls wird grundsätzlich zwischen Servern und Workstation unterschieden. Virtuelle Systeme zählen wie ihre physikalischen Pendants.

Das Patch-Management gibt es sowohl als Perpetual-Lizenz als auch als Subscription. Ein gültiger Wartungsvertrag (in Subscription während der Laufzeit enthalten) ist obligatorisch, um die neusten Patch-XML-Dateien herunterladen und verteilen zu können. Alle Patches werden vor der Freigabe umfangreich getestet.

Zusätzliche Konsolen können für die Administration in größeren Infrastrukturen oder in verteilten Standorten sinnvoll sein. Die Patches und Sicherheitsupdates können zentral heruntergeladen  und an die jeweiligen Konsolen (= Distribution Server) in anderen Standorten weitergeleitet werden. Die Patch-Verteilung erfolgt dann durch die lokalen Konsolen des jeweiligen Standorts oder Netzwerk .

Patch-Management über SCCM

Auch Drittanbieter Patches und Sicherheitsupdates über Microsoft SCCM verteilen und damit den Nutzen erweitern.

Datenblatt lesen

Ivanti Patch for SCCM

Patch-Management ohne die Berücksichtigung von Drittanbieter Standardlösungen ist ungenügend: 86 % aller Sicherheitslücken kommen in Nicht-Microsoft Betriebssystemen und Applikationen vor (Quelle: National Vulnerability Database) vor. Verteilen Sie mit Ivanti Patch for SCCM über 1800 Drittanbieter-Applikationen von Adobe, Google, Mozilla, Citrix, Apple uvm. ohne zusätzliche Infrastruktur über Microsoft SCCM.

Mit Microsoft System Center Configuration Manager haben Sie eine hervorragende Plattform um Microsoft Patches und Sicherheitsupdates auf alle Workstation Ihres Unternehmens zu verteilen.

Den angebotenen Verteilungsoptionen für alle Drittanbieter Standard-Applikationen wie Flash Player, Adobe Reader, WinZip, Firefox, Chrome, Apple Safari uvm. fehlt es an Funktionalität. Viele Unternehmen verzichten deshalb auf die Verteilung von Drittanbieter Patches.

Die durch Ivanti Patch für SCCM gelieferten aktuellen und getesteten Patches und Sicherheitsupdates werden in Microsoft SCCM eingelesen und darüber verteilt. Sie reduzieren die Risiken, die durch Drittanbieterlösungen entstehen. Erweitern Sie den Nutzen Ihrer Microsoft SCCM-Investition. Das native Plugin erlaubt nahtloses Patchen von Drittanbieter-Applikationen ohne zusätzliche Infrastruktur.

Video

Funktionsübersicht Ivanti Patch for SCCM

Video noch unter dem ehemaligen Produktnamen.

Video ansehen

Fragen Sie einen Experten

Umfassende Katalogdatei

Vorab getestete Patches, Updates und Sicherheitsupdates von Drittanbietern, werden als Katalog in Microsoft SCCM eingelesen. Ivanti Patch integriert sich nahtlos in SCCM. Eingelesene Patches können selektiv ausgewählt und in der SCCM Konsole veröffentlicht werden. Alle von Ivanti Patch unterstützten Drittanbieter-Hersteller und Applikationen finden Sie auf der Seite Products Supported in Ivanti Windows Patch Catalog des Herstellers Ivanti

Keine zusätzliche Infrastruktur

Sie arbeiten in der bekannten Microsoft SCCM-Konsole und verwenden die SCCM- und WSUS-Infrastruktur um Drittanbieter-Patches und Sicherheitsupdates im Netzwerk zu verteilen. Sie benötigen keine zusätzlichen Agents oder Konsolen. Mit Ivanti Patch by Shavlik maximieren Sie den Return on Investment (ROI) Ihrer SCCM-Investition und erhöhen signifikant Ihre IT-Sicherheit. Ivanti Patch for SCCM amortisiert sich durch die geringen Kosten und den geringen Aufwand äußerst schnell.

In drei Schritten

Sehen Sie nachfolgend, wie Sie in nur 3 Schritten mit Microsoft System Center Configuration Manager auch Drittanbieter Patches und Sicherheitsupdates verteilen.

Data Loss Prevention

Ergänzend zu Ivanti Patch-Management kann die Safend Data Protection Suite die Sicherheit an den Endgeräten durch Port- und Device Control, Verschlüsselung und Datenklassifizierung weiter erhöhen. Testen Sie das Zusammenwirken beider Programme und entscheiden Sie selbst.

Data Loss Prevention