gesponsertMit Client-Management IT-Bedrohungen abwehren & mehr SOAR oder Windows-Updates über ein System orchestrieren

Gesponsert von

Aagon GmbH

Veraltete Software lockt Hacker an. Wer über eine zentrale Konsole den Überblick behält, kann Angriffen vorbeugen. Zentrales Client Management ermöglicht zudem smartere Windows-Updates u.v.m.

Seit Microsoft im Oktober 2021 mit Windows 11 gestartet ist, stehen Betriebssystem-Updates wieder weit oben auf den To-do-Listen der IT-Administrationsabteilungen. Viele arbeiten hier noch immer mit den Windows Server Update Services (WSUS), die gleichwohl einige Nachteile aufweisen: So sind bei großen Datenmengen die Unternehmensleitungen oft überlastet, was immer wieder zu Performance-Problemen führt. Abseits der Windows-Bordmittel gibt es aber Alternativen wie das Complete Windows Update Management (CAWUM) der Firma Aagon, Spezialist für Unified Endpoint Management (UEM)-Systeme.

Windows-Updates gezielter durchführen

Updates über CAWUM laufen schneller und beanspruchen weniger Bandbreite. Der Service ermittelt, welche Patches ein Client benötigt und verschickt dann nur diese. Nicht jeder Rechner macht nämlich bestimmte Updates mit. Über die Inventarfunktion des Client-Management-Systems ACMP Suite (ebenso ein UEM-Modul wie CAWUM) kann man daher gut erkennen, welcher Arbeitsplatz hardwaretechnisch auf Windows 11 vorbereitet ist und welcher nicht. So muss man aussichtslose Updates gar nicht erst starten.

Rechtzeitiges Aufspielen neuer Softwareversionen, Überwachung abgelaufener Lizenzen und insgesamt weniger Laufarbeit, darum geht es originär beim Management mittlerer und großer Netzwerke über ein UEM. Der Nutzen für die IT-Administration: weniger Vorort-Einsätze und verringerter manueller Aufwand.

Davon nicht mehr zu trennen ist die IT-Sicherheit. Sie ist mittlerweile zum zentralen Punkt eines zeitgemäßen Client Managements geworden. Denn genau das, was ein UEM-System wie die ACMP Suite überwacht, lockt auch Hacker und Betrüger magisch an: veraltete Programme, Sicherheitslücken und fehlerhafte Konfigurationen. Diese gilt es im Blick zu behalten, und zwar unkompliziert, detailliert und aktuell.

SOAR: Daten sammeln, um rechtzeitig reagieren zu können

Informationen über Sicherheitsbedrohungen sind also einzuholen, um auf Basis dieser Faktenlage aktiv zu werden. Dafür hat sich mittlerweile der Terminus SOAR (Security Orchestration, Automation and Response) eingebürgert. Hierbei geht es im Prinzip um eine Kombination aus Software und Verfahren, mit denen ein Unternehmen aus unterschiedlichen Quellen Daten über Sicherheitsbedrohungen sammeln und auf deren Basis automatisch reagieren kann.

Ziel ist es, dadurch das Bedrohungs- und Schwachstellenmanagement des Unternehmens zu verbessern. Die automatisierte Reaktion auf Schwachstellen führt dazu, dass das gesamte Schwachstellenmanagement effizienter wird und mögliche Bedrohungen so früh wie möglich erkannt und behoben werden.

Schwachstellen-, Update- und Patch-Management in einer Konsole vereint

Im Hinblick auf die zunehmende Flut an Bedrohungen in der IT-Welt kommt heute niemand mehr umhin, sich mit dem Thema SOAR auseinanderzusetzen und damit, wie es sich konkret anwenden lässt. Wie lässt sich SOAR nun im eigenen Unternehmen konkret durchführen? Die Antwort: durch Einsatz eines Client-Management-Systems, über das die IT-Abteilung sämtliche Clients aus einer zentralen Console heraus verwalten kann. Dafür muss das UEM alle funktionalen Bestandteile enthalten, die im Rahmen des SOAR-Konzeptes erforderlich sind: Schwachstellen- (Vulnerability-) Management als zentraler Bestandteil sowie Update- und Patch-Management, und dies in Verbindung mit automatisierten Prozessen. Mit einem modularen System wie der ACMP Suite können Unternehmen SOAR-Prozesse umsetzen und kostspielige Sicherheitsvorfälle im Vorhinein erkennen und vermeiden.

Agent liest Schwachstellen auf dem Client aus

Auf den zu überwachenden Clients wird dabei ein Agent installiert, der sämtliche (sicherheitskritischen) Merkmale des Arbeitsplatzes ausliest. Die gesammelten Inventardaten dienen als Grundlage für alle weitergehenden Funktionen. Wird auf einem Client etwa eine Schwachstelle gefunden, kann der Rechner automatisiert zur Isolation in einen Container geschoben werden. Alle gefundenen Schwachstellen können nach der CVE-ID oder nach der CVSS-Bewertung gefiltert werden. So ist es möglich, nach einer CVE-ID zu suchen und sich alle betroffenen Clients im „Handumdrehen“ anzeigen zu lassen.

Über das Patch-Management hat die IT-Administrationsabteilung jederzeit den Patch-Status aller Clients im Blick. Diese werden umfassend gescannt und veraltete, sicherheitskritische Software wird proaktiv beseitigt. Das vermeidet Sicherheitsrisiken von vornherein. Auf allen Rechnern gibt es einen einheitlichen Versionsstand, was wiederum Ausfallzeiten und den Support-Aufwand minimiert.

Schnelle Bereitstellung von Client Command für Log4j

Ganz offensichtlich, wie wichtig ein gutes und schnelles Schwachstellen- und Patchmanagement ist, wurde es angesichts der Log4j-Sicherheitslücke Ende 2021, von der Unternehmen ebenso wie Behörden bedroht waren. Das BSI hatte eine Cyber-Sicherheitswarnung der Warnstufe Rot herausgegeben, denn von der Sicherheitslücke war eine Vielzahl von Anwendungen aufgrund der Integration der Java-Bibliothek betroffen.

Aagon stellte den Anwenderinnen und Anwendern seines Client-Management-Systems innerhalb von 48 Stunden ein Skript zur Verfügung, mit dem binnen kürzester Zeit die gesamte Client-Landschaft nach der betroffenen Log4j Bibliothek gescannt werden konnte. Das Skript (in der Aagon-Terminologie „Client Command“) arbeitet auf PowerShell-Ebene und scannt den ausführenden Agent in dem Netzwerk. Per Windows Management Instrumentation (WMI) wurden die lokalen Datenträger ermittelt und dort alle in Frage kommenden Dateien mit einem PowerShell-Statement geprüft.

Das Ergebnis sowie die Pfade von betroffenen Dateien wurden in benutzerdefinierte Felder geschrieben. Anschließend konnten die IT-Abteilungen das Ergebnis des Scans über den Report einsehen. So stand innerhalb kürzester Zeit fest, ob die Systeme von Log4j betroffen waren oder nicht. Ein ernster Prüfstein, der verdeutlicht hat: „Security Orchestration, Automation and Response“ über ein zentrales Client-Management-System realisiert – funktioniert. Auch – und gerade – wenn es hart auf hart kommt.

(ID:48481377)