Patch Management System
Autor: Pascal Bastian | 31. August 2015
Warum ist ein Patch Management System wichtig? Eines der beunruhigensten Ergebnisse des 2015 Cyber Risk Report war, dass über 44% der Datenlecks, dadurch entstehen, dass Sicherheitslücken ausgenutzt werden, die bereits über zwei Jahre alt sind. Dadurch lässt sich ableiten, dass effektives Patchen die Wahrscheinlichkeit, Opfer eines Datendiebstahls oder -verlusts zu werden, drastisch senken kann. In Kombination mit anderen Gegenmaßnahmen, wie zum Beispiel Absicherung des Systems, kann das Risiko auf ein vernachlässigbares Niveau gesenkt werden.
Stärken und Schwächen des Patch Management System
Die Entwicklung eines funktionierenden Patch Management Prozesses, der die Vielzahl der Bedrohungen denen ein SAP System ausgesetzt ist abwehrt, stellt für viele Unternehmen eine Herausforderung dar. Dadurch, dass eine hohe Verfügbarkeit der Systeme notwendig ist oder sich Veränderungen schlecht auf die Performance auswirken können, wird das Einspielen kritischer Patches oft mit einer großen Verzögerung durchgeführt. In manchen Fällen werden Patches gänzlich vernachlässigt.
Die Risiken, die durch Schwächen im Patch Prozess entstehen, sollten nicht vernachlässigt werden. Dies wird durch die Ergebnisse der HP Studie bestätigt. Die Statistik zeigt eine direkte Korrelation zwischen ineffektivem Patchen und einer höheren Anfälligkeit für Sicherheitslöcher, die zu Datenlecks führen können, auf.
SAP Solution Manager 7.2 Installation
Sie möchten einen eigenen oder neuen SAP Solution Manager in Ihrer SAP Landschaft aufbauen? Wir helfen Ihnen dabei mit unseren Lösungen zum Festpreis.
RSECNOTE und EWA
Traditionell setzen Kunden der SAP auf Werkzeuge wie RSECNOTE und SAP EarlyWatch Alert (EWA), um Patches zu identifizieren und zu überprüfen, ob sie bereits eingespielt wurden. RSECNOTE kann über die Transaktionen SA38 oder ST13 ausgeführt werden. Der Report liefert relevante Hinweise zum Thema Sicherheit zurück und stellt fest, ob diese bereits erfolgreich eingespielt wurden oder noch eingespielt werden müssen. Bei EWA handelt es sich um einen Diagnosebericht, der aus dem SAP Solution Manager heraus auf wöchentlicher Basis für die verwalteten Systeme gestartet wird. Die Überprüfung der Systemkonfiguration, die von EWA durchgeführt wird, sollte relevante Hinweise zur Systemsicherheit beinhalten.
Jedoch liefert EWA keine Hinweise mehr, die für die Systemsicherheit relevant sind. Weniger als 10% der Patch Day Hinweise und Support Pack Hinweise, die von SAP im Jahr 2013 veröffentlicht wurden, wurden von EWA gefunden. 2014 hat EWA seine Relevanz für das Patchen komplett verloren. Keine der 389 von SAP veröffentlichten Patches wurden von EWA überprüft.
RSECNOTE ging es dabei nicht besser. Laut Hinweis 888889, der im September 2014 aktualisiert wurde, ist das Werkzeug obsolet, es sollte nicht mehr darauf zurückgegriffen werden.
RSECNOTE und EWA wurden durch mächtigere Werkzeuge ersetzt, die eine gründlichere Analyse von Sicherheitshinweisen und darüber hinaus auch Java Patches sowie Hinweisen zu Recht und Performance erlauben.
SysRec
Zu diesen Werkzeugen gehört Systemempfehlungen (SysRec), das durch den Arbeitsbereich des Change Managements im SAP Solution Manager erreicht werden kann. SysRec verwendet die SAP-OSS RFC Schnittstelle, um sich direkt mit dem SAP Global Support zu verbinden und den Status von Hinweisen in verwalteten Systemen zu überprüfen. Die Ergebnisse sind von den jeweiligen Kernels, Patch und Support Package Level der Systeme abhängig, die sich in der Systemlandschaft des SAP Solution Managers befinden.
SysRec erlaubt die Einschränkung auf SAP System, Komponente und Zeitraum. Nur Komponenten, die auf das selektierte System zutreffen, werden von SysRec angezeigt.
Von jedem Hinweis wird die Priorität und der Status der Implementierung in der Ergebnismenge angezeigt. Mit der Schaltfläche Hinweis herunterladen können alle oder nur die selektierten Hinweise aus dem SAP Service Marketplace heruntergeladen werden.
SysRec kann sowohl ABAP als auch Java Patches ausfindig machen. Allerdings werden Java Patches nicht im Reiter für Sicherheitshinweise, sondern im Reiter für Korrekturen angezeigt.
Wenn sie Change Request Management (ChaRM) einsetzen, können sie über die Schaltfläche „Änderungsantrag anlegen“ einen Änderungsantrag erstellen, um die relevanten Hinweise einzuspielen.
Über die Einstellungen von SysRec können sie das Intervall, mit der Vorrat an Hinweisen aktualisiert werden soll festlegen. Möglich sind eine tägliche, wöchentliche oder monatliche Aktualisierung der Hinweise.
Sobald das System aktualisiert ist, sollten sie den Status der Implementierung der Hinweise über alle Systeme in ihrer Systemlandschaft überprüfen. Dies kann mit der Konfigurationsvalidierung durchgeführt werden.
Ihre Erfahrungen mit einem Patch Management System
Wie sind Ihre Erfahrungen mit dem Patchen von SAP Systemen gegen aktuelle Sicherheitsrisiken? Ich freue mich auf Ihre Kommentare.
Sie benötigen Unterstützung bei der Umsetzung? Wir haben den richtigen Berater für dieses Thema. Schauen Sie mal auf unser RZ10.de Partnerprodukt Berater für SAP Solution Manager.
Ein Kommentar zu "Patch Management System"
Security Patch Process FAQ
http://scn.sap.com/community/security/blog/2012/03/27/security-patch-process-faq