Hvad er Virtual Patching?
En ondsindet angriber vil altid være på udkig efter svage punkter eller sårbarheder i et netværk. De går rundt på internettet og leder efter svagheder i software-, hardware- eller forbindelsesenhedskonfigurationer, som de kan udnytte.Virtuel patchinger en måde at sikre sig, at de ikke lykkes.
Hackere er altid et skridt foran software- og hardwareproducenter, da de fortsætter med at opsøge disse sårbarheder. Dette gørvirtuel patching af en kritisk del af et netværks- eller systemadministrators opgaver.
OK, men hvad er patching?
Patching er processen med at opgradere software til deres nyeste og mest sikre versionermed håb om at lukke eventuelle 'huller' - kendt som 'sårbarheder' - i en applikation eller et operativsystem. Hensigten er at lukke dem fra at blive brugt som 'udnyttelse', hvorved cyberkriminelle får uautoriseret adgang til dem.
Der er et vindue, mellem en sårbarhed, der opdages, og mulighederne for, at en udnyttelse bliver brugt, som først lukkes, når en administrator har 'lappet' hullet og gjort netværket og applikationerne sikre igen.
I større netværk kan dette være en kedelig affære sompatching udføres individuelt, vært for vært eller enhed for enhed. Det er også en gentagen begivenhed, da sårbarheder er det en for almindelig begivenhed .
Hvad er virtuel patching?
Når det kommer tilvirtuel patching, det erogså processen med at fjerne eventuelle sårbarheder. Men i dette tilfælde,den fokuserer på at stoppe sårbarheder og udnyttelser på netværksniveau og ikke end-point softwareløsninger.
I dette tilfælde er den faktiske opgave meget mindre kedelig, fordi udrulningen er fokuseret på nogle få netværksenheder. Med andre ord,det rulles ud via et netværk– ogadresserer sårbarhederne ved endepunkternefraselve netværket.
Ser man nærmere på processen –det udruller et lag af sikkerhedspolitikkerder ved at analysere datapakker og trafik forhindrer og opsnapper udnyttelsen af sårbarheder.
For at en virtuel patching-løsning skal være effektiv, skal den have følgende egenskaber:
- Dyb pakkeinspektion– at inspicere og derefter stoppe ondsindede pakker og ondsindede aktiviteter i at gemme sig i web- og netværkstrafik.
- Forebyggelse– når pakkerne er blevet identificeret, skal de destrueres, før de når deres tilsigtede målværter.
- Kan implementeres hvor som helst– det skal kunne køres i både cloud- og on-premises netværksarkitekturer.
Nødvendighed for virtuel patching
Nu burde vi have en idé omhvadvirtuel patching gør. Men lad os tage et kig påhvorforvi har brug for det:
- Det forhindrer risikoen for et vellykket brud eller angreb, indtil en leverandørleveret patch frigives, eller mens patchen testes og anvendes.
- Det reducerer eventuelle konflikter i at dukke op i softwaremiljøet, da der er en mindre chance for at introducere konflikter, fordi biblioteker og supportkodefiler ikke ændres.
- Det forhindrer nedetid for missionskritiske systemer, der ikke kan tages offline.
- Det reducerer omkostningerne til tid og penge brugt på at udføre nødpatching.
- Det giver virksomheder mulighed for at opretholde normale patch-cyklusser.
Det kan man sigevirtuel patching er vigtig for sikkerheden af digitale aktiver, som kræver betydelig planlægning samt nul nedetid, før en permanent patch kan implementeresat beskytte dem.
Eksempler på sådanne systemer ville være rørledningsovervågningssystemer eller maskiner, der kører kritiske systemer - som spiller en afgørende rolle i en nations infrastrukturer som vandkraftdæmninger og elektriske net, som ikke kan nedbrydes.
Og så er der det faktum, at i disse dage med cloud-baserede og fjernhostede arkitekturer, har virksomheder muligvis ikke direkte, problemfri adgang til deres digitale aktiver.Den eneste måde, de kan sikre deres luger på, indtil deres hosting- eller cloud-tjenesteudbyder patcher demer ved hjælp af virtuel patching.
Virtuel patching – Fordele
Fordelene ved virtuel patching inkluderer:
- Når det er gjort i tide, kan det beskytte en virksomhed og dens kunder før et brud eller uautoriseret adgang.
- Det viser, at en virksomhed er en professionel enhed, der proaktivt tager skridt til at sikre sin egen sikkerhed – især hvis der er en bølge af angreb, og den forbliver upåvirket af dem.
Virtuel patching – Ulemper
Ser vi på nogle ulemper, har vi:
- Når det gøres forkert eller for sent, kan det betyde en katastrofe for både virksomheder og kunder - det betyder, at en professionel er forpligtet til at udføre virtuel patching. Dette skyldes, at en enkelt fejlkonfiguration kan resultere i behandlingsfejl, bringe virksomheden til at gå i stå eller endda nedbryde hele netværket fuldstændigt.
- Medmindre det gøres med den korrekte ressourceallokering, kan andre kritiske processer forsinke eller endda gå ned på grund af virtuel patching, der fortærer båndbredde på grund af fejlkonfigurationer eller trafik, der bliver omdirigeret til netværk, der ikke kan understøtte den pludselige tilstrømning, for eksempel.
Derfor skal det bemærkes, aten effektiv virtuel patch sørger for, at sårbarhederne bliver rettet - dvs. lappet - uden at ændre en applikation eller systemets kode eller omdirigere trafiktil infrastrukturer, der ikke kan understøtte overspændinger.
Den virtuelle patching-proces
Her er de seks væsentlige trin i en typisk virtuel patching-kampagne:
- Opmærksomhed– virtuel patching påbegyndes eller er nødvendig, så snart en administrator er opmærksom på sårbarheden. Dette kunne være via advarsler modtaget fra en WAF , SIEM , IDS , eller IPS efter angrebsforsøg, efter brud eller i stedet for mistænkelig aktivitet. Det kan også være takket være proaktive handlinger, der er truffet efter kritisk alarm rådgivning eller patchopdatering bulletiner fra software og hardware producenter eller deres styrende organer.
- Analyse– når truslen er blevet opdaget og positivt identificeret, er det tid til at analysere situationen på stedet. Typisk vil administratorer gøre status over alle deres aktiver og finde ud af, hvilke der skal lappes, og hvilken softwareversion der skal bruges. For at dette skal virke, skal de selvfølgelig også vide, hvordan sårbarhederne udnyttes, og hvad der skal gøres for at forhindre det i at ske.
- Strategilægning– på dette tidspunkt, når al information er inde, er det tid til at begynde at oprette IPS-regler; gennemgang og styrkelse af politikker, søgning efter programrettelsesværktøjer og kortlægning af, hvilken enhed der skal rettes først eller sidst, og forberedelse til nedbrud ved at implementere planer for genopretning af katastrofer osv., kan også være en del af dette trin.
- Afprøvning– dette er stadiet, hvor alle scenarier udspilles, alle huller er stoppet, og alt bliver kastet mod systemet for at se, om det holder. Det ville også være ideelt at udføre denne testfase på et dummy-netværk (eller et testmiljø). Denne fase er gentagen og udtømmende, indtil alle lys er grønne, og det anses for sikkert at begynde at påføre plasteret.
Nogle testværktøjer, der kan bruges, omfatter:
- En webbrowser – for at teste om der er kommunikation mellem systemer eller om webapplikationer fungerer som de skal.
- Linux-kommandolinjekommandoer til at teste forbindelse og tilgængelighed – f.eks krølle og Wget .
- Web-app-scannere, sikkerheds- og hændelsestestværktøjer samt penetrationstestværktøjer som OWASP ZAP og ModSecurity AuditViewer .
- Applikation aka Virtual Patching– her skubbes patcherne ud og påføres hver enhed eller hjemmeside i produktionsmiljøet. Der er værktøjer, der kan hjælpe på dette stadium, og som vi vil se senere.
- Overvågning– når dette stadie er nået, er det tid til at se, hvor vellykkede de tidligere trin havde været. Alle ændringer i ydeevne, svartider, servicelevering, procesafslutning og lignende bør overvåges. Enhver afvigelse bør undersøges for at opdage anomalier og deres årsager. Hvis det fører til den virtuelle patching, betyder det, at den er tilbage til trin 4, testfasen – og ind i en loop – indtil de forventede rigtige resultater er opnået.
Hvad ville påvirke en virtuel patching-kampagne?
En vellykket virtuel kampagne kræver omhyggelig planlægning. Her er nogle af de spørgsmål, der skal stilles for at gøre det sådan:
- Bestem omfanget af kampagnen– er de data, der skal beskyttes, gemt centralt, eller er de spredt til flere netværkssegmenter?
- Vær opmærksom på arkitekturen til at dække alle de sårbare aktiver– hvad er netværkskonfigurationen, og hvordan flyder data gennem netværket?
- Kendskab til producenter og involverede teknologier– hvilken type hardware og applikationer kører på netværket, og er der systemer fra flere leverandører?
- Operativsystemer involveret for at undgå konflikter– kører netværket Windows, UNIX eller Linux operativsystemer eller en kombination?
- Adgang og tilladelser kræves for at nå aktiver– administreres netværket lokalt eller outsourcet til en tredjeparts sikkerhedsudbyder?
- Virtuelt patching teams muligheder– vil det virtuelle patching-system blive drevet af medarbejdere eller en administreret sikkerhedstjenesteudbyder?
At besvare alle disse spørgsmål vil resultere i en veldefineret plan og et team, der ved, hvad de skal gøre - hvilket resulterer i en vellykket virtuel patching.
Hvad ville der ske uden virtuel patching?
For at besvare dette spørgsmål er vi nødt til at se på de værst tænkelige scenarier:
- Netværk og system går på kompromis– det er indlysende. Men så kan et websted føre til det fulde kompromittering af et netværk, alle de andre enheder, der er tilsluttet det, såvel som de applikationer og software, der kører på dem.
- Kompromitteretssikkerhedsforanstaltninger– når først uautoriseret adgang lykkes, kan den useriøse bruger stort set se 'blueprint' af den sikkerhed, der er blevet på plads, og bruge denne viden til at omgå den og iscenesætte yderligere forbedrede angreb som distribuerede angreb på både lokale og globale netværk.
- Eksponering for kritiske data– ét script, indsprøjtet i den rigtige input-funktion (en URL, tekstboks, forespørgselsboks osv.) kan tillade uautoriseret adgang til SQL-data, som f.eks. aldrig bør deles.
- Økonomisk tab– nedbrudte hjemmesider holder kunder væk. Dette dræber en virksomheds indkomst- og indtægtsstrømme, der er baseret på sådanne websteder. Og så er der selvfølgelig spørgsmålet om udnyttelser, der bruger sårbarheder til at stjæle værdifulde personlige og økonomiske oplysninger og bruge dem til at tjene penge i det virkelige liv. Alene at bekæmpe de efterfølgende retssager ville knække de fleste virksomheder.
- Omdømmetab– ingen virksomhed kan se ud til at være en professionel enhed, hvis den bliver ved med at have regelmæssige systemnedbrud, endsige brud, der fører til datatab. Erhvervsverdenen, og især de betalende kunder, forventer, at fortrolige data opbevares, ja, i fortrolighed.
Bundlinie: ingen ville have at gøre med en virksomhed, der havde en hjemmeside, der altid er nede, ejer et netværk, der bliver ved med at gå ned ved hver anden transaktionsanmodning, eller kører servere, der lækker data så hurtigt, som de kan fange dem.
Er der nogen virtuelle patching-værktøjer?
Når vi når slutningen af dette indlæg, vil det komme som en kærkommen nyhed, at der er værktøjer derude til at hjælpe administratorer med virtuel patching.
Men før vi hopper ind i selve værktøjerne, lad os se påhvad gør et værktøj til det bedste til virtuel patching.
Funktionerne, der ville gøre det sådan, inkluderer:
- End-to-end synlighed– den bør dække hele arkitekturen, uanset hvilket operativsystem, processer, tjenester og hardware, der bruges.
- Nøjagtighed– et virtuelt patchingværktøj skal være i stand til at identificere problemet, før det kan anbefale en løsning eller pege på alternative måder at håndtere det på; det bør derfor være i stand til at stole på en stor database, der gør det muligt at dække en bredere, nyere række af sårbarheder.
- Auto-patching– Værktøjet skal være i stand til at udsende den korrekte type og version af patches og derefter installere eller anvende dem uden manuel indgriben. faktisk burde den kende rækkefølgen af de patches, der anvendes, for at undgå konflikter eller endnu værre nedbrud.
- Fjernadgang– administratoren behøver ikke at være på campus, når en patching-kampagne udrulles; det er lige meget, om det er et lokalt, cloud- eller hybridnetværk - det skal være eksternt tilgængeligt, når der skal foretages patchning.
- Afprøvning– Værktøjet skal kunne køre test for at se, om patchen var vellykket, før det kalder kampagnen for en succes. Faktisk burde det være i stand til at teste patching-kampagnen begge delefør og efterpatching-processen.
Eksempler her kunne være at teste patches på isolerede eksempelnetværk eller endda på individuelle undernet i stedet for senere at finde ud af (når den forkerte patch har styrtet hele netværket), at de ikke virker.
- Pris og licens– selvom 'gratis' altid er den bedste pris, betyder det ikke, at det ikke er en bedre mulighed at betale lidt mere for premium, missionskritiske funktioner; især, hvis det kan gøre en bedre Tricket er at finde det gode sted mellem pris, funktioner og de nuværende krav.
De bedste virtuelle patchingsværktøjer
1. SolarWinds Virtual Patching for Endpoint Security (GRATIS PRØVE)
Dette er et virtuelt patch-værktøj til virksomhedsnetværksadministratorer. Det er et kraftfuldt værktøj fra den førende producent af netværks- og serverstyrings- og overvågningsværktøjer.
Nogle funktioner:
- Dette værktøj kan patch maskiner, selv når de er blevet slukket.
- Den viser tilgængelige patches, manglende patches og den overordnede tilstand af hele arkitekturen – alt sammen i ét dashboard.
- Det kan også automatisk levere og opdatere tredjepartssoftware som VMware.
- Det tilbyder nem opgørelse, rapportering, research og planlægning.
Du kan tjekke ud30-dages fuldt funktionel gratis prøveperiodeafSolarWinds Virtual Patching for Endpoint Security.
SolarWinds Virtual Patching for Endpoint Security Start 30-dages GRATIS prøveperiode
2. ManageEngine Patch Manager Plus
Her har vi et andet populært virtuelt patching-værktøj, der kan prale af en bred vifte af funktioner. Den er ideel til større arkitekturer, der har en blanding af operativsystemer og adskillige tredjepartssoftwareløsninger.
Ser på flere funktioner:
- Det kan implementeres i skyen eller lokale infrastrukturer.
- Værktøjet kan patche populære hverdagsapplikationer, der bruges i et normalt arbejdsmiljø; eksempler inkluderer Adobe og WinRAR.
- Den har let tilpasselige implementeringspolitikker for at imødekomme unikke krav og indsigtsfuld rapportering for at holde øje med patch-kampagner.
- For en hurtig løsning kommer dette værktøj med forudbyggede og testede patches til at klare en krise.
PrøveManageEngine Patch Manager Plus GRATIS i 30 dage.
3. Avast Business Patch Management
Dette virtuelle patch-værktøj er til virksomhedsarkitekturer, der er afhængige af Windows-produkter. Det er endnu et værktøj fra en førende producent af antivirus- og sikkerhedsværktøjer. Med dette værktøj har administratorer mulighed for at fjernsikre deres aktiver.
Nogle flere funktioner:
- Det har evnen til hurtigt at patche tusindvis af maskiner i løbet af få minutter, hvilket sparer tid og energi for travle administratorer.
- Bortset fra Windows kan den lappe andre populære kontorproduktivitetsværktøjer som Oracle, iTunes og Adobe, for at nævne nogle få.
- Det har evnen til at nå aktiver, uanset hvor de måtte være – bag en firewall, på fjerntliggende websteder, og selv når de er mobile.
- Alt styres og overvåges fra et brugervenligt, indsigtsfuldt og integreret dashboard, der dækker patching, opdagelse, distribution af opdateringer og rapportering.
PrøveAvast Business Patch Management GRATIS i 30 dage.
Tag virtuel patching alvorligt
Virtuel patching er en opgave, der skal være en del af enhver samvittighedsfuld administrators pligt. Det er et ansvar, der er afgørende for en virksomheds overlevelse.
Vi håber, at dette indlæg og de foreslåede værktøjer vil hjælpe administratorer med at løse denne opgave lidt lettere. Fortæl os, hvad du synes. Efterlad os en kommentar nedenfor.