Thought Leadership
Viele Nutzer sorgen sich momentan vor Meltdown und Spectre. Und diese Sorge ist nicht unberechtigt: Das Angriffsszenario Spectre betrifft fast alle Computer der vergangenen 20 Jahre, die mit Intel-, AMD- und ARM-Prozessoren ausgestattet sind. Bei Meltdown sind neben Intel einige ARM-Prozessoren betroffen.
Und die Bandbreite an Geräten ist groß: von Computern für End-Anwender bis hin zu Servern, einschließlich von Servern, die als „Platform As a Service“-Infrastruktur in der Cloud genutzt werden.
Durch Schwachstellen in der Hardware-Architektur der Prozessoren können Angreifer einen Schad-Code ausführen, um die Begrenzungen zu umgehen, die den Speicher der einzelnen Anwendungen und das Kernbetriebssystem voneinander isolieren. Aufgrund dieser Sicherheitslücken wird es für nicht vertrauenswürdige Schad-Programme möglich, geheime Daten – wie etwa Passwörter im Speicher – zu lesen, auf die sie sonst keinen Zugriff hätten. Aus diesen Lücken ergeben sich gleich ein gutes Dutzend verschiedene Angriffsmöglichkeiten. Meltdown und Spectre sind zwei dieser Angriffsvarianten. Grund für diese Anfälligkeit ist das leistungsoptimierte Design vieler Prozessoren: Im Speculative-Execution-Verfahren werden zeitnah benötigte Berechnungen vorab spekulativ durchführt und die Ergebnisse gespeichert.
Kurz gesagt: Meltdown und Spectre stellen ein großes Problem für Organisationen oder Unternehmen dar, wenn diese Schwachstelle weiterhin offenliegen. IT-Experten müssen also diese Sicherheitslücken effizient und schnell angehen, auch weil sie sehr wahrscheinlich auf einer Vielzahl der verwendeten Hardware zu finden sind. Eine weitere, große Herausforderung ist, dass nicht nur die betroffene Hardware Sicherheits-Updates benötigt, sondern auch das Betriebssystem und die installierte Software. Zudem traten zunächst unerwartete Schwierigkeiten auf: Die ersten Sicherheits-Updates der Hersteller erwiesen sich als fehlerhaft; viele PCs erlitten Leistungseinbußen oder starteten willkürlich. Deshalb wurden diese Patches zurückgezogen und dann schrittweise wieder veröffentlicht. Die jetzt verfügbaren Patches müssen genau koordiniert werden, weil sie nicht für alle Geräte gleichermaßen geeignet sind, sondern etwa nur für ganz bestimmte Hardware-Versionen.
Es ist für IT-Teams generell eine Herausforderung, Patches schnell auf Geräte mit ganz unterschiedlichen Voraussetzungen auszurollen. Eine noch größere Herausforderung ist es, wenn sie sich dabei nicht sicher sein können, welche Geräte die Updates überhaupt vertragen und welche negativen Auswirkungen diese haben könnten. Und jetzt? Erstmal gar nichts tun? Das wird das Problem nicht lösen. Stattdessen sollten die verschiedenen IT-Teams aus den Bereichen Security und IT-Operations an einem Strang ziehen und die Herausforderung in mehreren Stufen angehen: Zunächst müssen sie sich einen Überblick über die betroffenen Geräte und deren Kompatibilität mit den Patches verschaffen. Außerdem sollte eine risikobasierte Analyse durchgeführt werden, welche Systeme zuerst gepatcht werden müssen, weil sie möglichen Attacken besonders ausgesetzt sind. Anschließend müssen die verschiedenen Patches unternehmensweit installiert werden. Und last but not least: Nach der Installation sollte eine Überprüfung erfolgen, ob die Patches erfolgreich waren.
Schritt 1: Überblick über die betroffenen Geräte
IT-Experten benötigen zunächst einen Überblick über Geräte und deren Konfiguration, also Hardware-Typ, Art der Prozessoren und Betriebssystem-Versionen. Durch diese genaue und aktuelle Bestandsaufnahme aller Systeme in der Netzwerk-Umgebung und aller damit zusammenhängender Datenpunkte erhält man einen genauen Einblick, welche Geräte für Sicherheits-Updates geeignet sind. Tanium bietet hierfür etwa eine Lösung, mit der umfassende Hardware-Informationen gesammelt werden können, einschließlich Details zu CPUs und Prozessoren. Um diese Informationen zu erhalten, reicht eine einfache Frage in natürlicher Sprache, etwa „Get CPU details.“ Ein weiteres Modul von Tanium, Tanium Asset, baut auf diese Informationen auf, indem es viele Merkmale der Endpoints — zum Beispiel Hardware, Betriebssystem, installierte Software und Sicherheits-Updates, in einen vollständigen Inventory-Report aufnimmt.
Gerade im Falle von Meltdown und Spectre benötigen IT-Teams eine genaue Kenntnis über all diese Faktoren. Dies ist auch deshalb nötig, weil viele Anwendungen von Drittanbietern wie etwa Internet-Browser auch von Spectre betroffen sind und deshalb ebenfalls Updates benötigen. All diese Vorgänge müssen von den IT-Teams genau überwacht werden können. Dabei ist es ein immenser Vorteil, wenn die Teams alle relevanten Informationen von einem einzigen Dashboard ablesen können, anstatt fünf verschiedene Tools im Blick haben zu müssen. Das bietet zum Beispiel die Tanium Plattform.
Schritt 2: Ausrollen der Patches
Erst wenn die IT-Experten dieses Vorwissen gesammelt haben, geht es ans eigentliche Patchen. Dabei sollte das Ausrollen aller notwendigen Patches – für Hardware, Software und Betriebssysteme – an einer zentralen Stelle überwacht werden können, wie gerade eben in Schritt 1 beschrieben. Welche Sicherheits-Updates werden benötigt? Auf der Meltdown and Spectre Website gibt es einen aktuellen Überblick, welche Updates von Hardware- oder Software-Herstellern erforderlich sind. Diese Patches sollten – wie es generell für alle Sicherheits-Updates gilt – schnell unternehmensweit ausgerollt und aktiviert werden können. Und falls etwas schief geht und ein Patch unerwartete Reaktionen hervorruft, sollte er gegebenenfalls auch wieder zügig rückgängig gemacht werden können. Mit Hilfe der Tanium Architektur können solche Patches schnell über einen einzelnen Tanium Server auf den relevanten Geräten verteilt und installiert werden – selbst wenn es sich um hunderttausende Endpoints in einem Unternehmen handelt.
Gerade bei den komplexen Sicherheits-Updates gegen Meltdown und Spectre ist Wachsamkeit geboten, um wirklich alle Details im Blick zu haben: Beispielsweise gibt es noch eine besondere Extra- Herausforderung: Einige Antivirus-Programme sind nicht kompatibel mit den entsprechenden Windows-Updates, so dass hier zunächst ein Eintrag in der Registry geprüft werden muss. Dieser gibt an, ob das jeweilige Programm kompatibel ist. Dazu kurz einige Hintergrund-Informationen: Hersteller von Antiviren- und Anti-Malware-Programmen sollten diesen Registrierungsschlüssel setzen, wenn ihre Software mit den Patches von Meltdown und Spectre kompatibel ist. Diese Einstellung steuert, ob ein System automatische Updates erhält. Einige Anbieter von Sicherheitslösungen haben sich allerdings zunächst dazu entschieden, diesen Registrierungsschlüssel nicht selbst zu setzen, sondern die Verantwortung dafür an die Nutzer abzugeben. Andere Hersteller wiederum setzen diesen Schlüssel zwar – aber erst nach einiger Zeit. Dies führte zu einigen Unklarheiten und Verwirrung – insbesondere für Unternehmen mit mehreren Sicherheitsprodukten, die eventuell alle mit der gleichen Registry-Einstellung interagieren. Eine „Single Source of Truth“ ist sehr hilfreich, um die notwendige Einstellung zu erzielen, und auch um mit einem einzigen Kontrollpunkt für das Setzen des Registrierungswerts zu arbeiten. Durch diesen Kontrollpunkt können außerdem auch Aktualisierungen gepusht werden. Die Tanium Lösung stellt genauso eine „Single Source of Truth“ bereit.
Schritt 3: Erfolgsmessung
Die ausgerollten Updates sollten genau überprüft werden, um einzuschätzen, ob der Vorgang erfolgreich war. Dieser Schritt ist gerade bei Sicherheits-Patches gegen Meltdown und Spectre, die zu Performance-Einbußen bei bestimmten Arbeitsschritten führen können, sehr wichtig. Deshalb sollte in diesem Fall die Performance der Geräte vor und nach dem Aufspielen der Patches geprüft werden. Inwieweit Geräte von diesen Einbußen tatsächlich betroffen sind, hängt sehr von den verwendeten Hardware- und Software-Versionen ab. Wenn ein wichtiges System vor dem Aufspielen des Updates bereits voll ausgelastet war, kann nach dem Patch-Vorgang eine Überlastung auftreten. Dies ist besonders bei cloudbasierten „Platform as a Service“ Systemen problematisch, weil bei einer Ressourcenauslastung und -überschreitung sofort Kosten entstehen. Mit Tanium Lösungen können genaue Kennzahlen zur Performance gewonnen werden, etwa zur CPU-Auslastung . Mit Hilfe dieser Zahlen kann die Performance relativ einfach visualisiert und nachvollzogen werden. Bei auftretenden Leistungseinbußen können im Zweifelsfall Hardware-Upgrades durchgeführt werden. Eine andere Alternative ist, anfallende Aufgaben auf mehrere Systeme auszulagern.
Risikobewertung: Welche Geräte müssen zuerst gepatcht werden?
Zu einem erfolgreichen Patching- und Sicherheitsmanagement gehört immer auch eine Risikobewertung. Bei Meltdown und Spectre ist es besonders wichtig, abzuwägen, auf welche Geräte man Patches zuerst aufspielt, und auf welche Geräte zu einem späteren Zeitpunkt. Bei diesen Angriffen muss zuerst ein Schadcode auf den betroffenen Geräten gestartet werden können. Dies bedeutet, dass Angreifer zunächst über eine andere Schwachstelle überhaupt Zugriff auf den Computer erhalten müssen. Deshalb sollten Systeme, die der Bedrohung stärker ausgesetzt sind, zuerst gepatcht werden. Isolierte Systeme, bei denen eine geringere Wahrscheinlichkeit für das Ausführen von Schad-Code besteht, können im Anschluss mit Sicherheits-Updates versorgt werden. Dies können beispielsweise geschäftskritische Systeme sein, die nicht mit dem Internet verbunden sind und die gut überwacht werden. Um eine solche Entscheidung treffen zu können, ist allerdings ein umfassender Einblick in die Systemnutzung, in nötige Anwendungen und in wirtschaftliche Erfordernisse nötig.
Genau das macht gutes Sicherheits-Management aus: fundierte Entscheidungen aufgrund ausreichender Information zu treffen. Die Verwendung eines Tools für den Patching-Vorgang, das den IT-Experten umfassenden Einblick für genau diese risikobasierten Entscheidungen gibt, ist deshalb sehr hilfreich. Mit Hilfe dieser Tools können die IT-Teams schnell erkennen, ob die Installation der Updates erfolgreich war oder aus unerwarteten Gründen fehlgeschlagen ist und gegebenenfalls entsprechende Maßnahmen ergreifen.
Ryan Kazanciyan, Chief Security Architect, Tanium
