Die WannaCry-Ransomware-Angriffe dieser Woche haben erneut deutlich gemacht, wie wichtig Software-Updates für Unternehmen sind. Es gibt eine offensichtliche Antwort: „HALTEN SIE SICH AUF DEM LAUFENDEN“ Das ist jedoch nicht so einfach wie es klingt. WSUS kann helfen; die Automatisierung von WSUS kann noch mehr helfen. Ich werde mich damit befassen, was WSUS ist und wie die Automatisierung helfen kann, aber lassen Sie uns zuerst einen Blick darauf werfen, was auf der ganzen Welt passiert ist und warum...

Quelle: Intel Malware Int

TDer Angriff begann letzte Woche und verbreitete sich wie ein Wurm-Virus: Er installierte sich auf Windows-Rechnern, deren Benutzer auf einen E-Mail-Anhang geklickt oder einen Link besucht haben. Von dort aus übernahm er die Kontrolle über den Computer, verschlüsselte Dateien, sperrte den Benutzer aus, verlangte ein Lösegeld von etwa 500 US-Dollar in Bitcoin und verbreitete sich dann auf andere Computer im Netzwerk. Alles in allem hat er versucht, über fast 300.000 Computer in mehr als 150 Ländern Lösegeld zu erpressen. Dazu gehören einige große Namen wie der britische National Health Service, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn und Hitachi.

WannaCry-Screening

All dies hätte mit einem einfachen System-Update verhindert werden können. Ja, diese kleine Benachrichtigung, die in der unteren rechten Ecke Ihres Bildschirms erscheint, vielleicht gerade jetzt. Ein Klick darauf und ein paar Minuten Wartezeit hätte die meisten der betroffenen Computer retten können. Die meisten, aber nicht alle. Die missbrauchte Schwachstelle wurde in Windows gefunden und im März gepatcht, jedoch nur für die aktuell unterstützten Betriebssysteme. Dadurch waren ältere Versionen wie XP und Server 2003 immer noch anfällig, aber in einem überraschenden Sicherheitsupdate am Freitag gab Microsoft Updates für viele der älteren Versionen heraus.

Was können Unternehmen in der Zukunft tun, um diese Art von Angriffen zu verhindern?

Dass es wieder passieren wird, ist unvermeidlich. Aber es gibt Dinge, die wir tun können. Erstens ist die Ausbildung äußerst wichtig. Ja, es gab noch eine Menge XP und andere nicht unterstützte Systeme, die offen für Ausbeutung waren, aber die Schulung der Mitarbeiter in der Erkennung von Social-Engineering-Angriffen kann Unternehmen schützen, die selbst die anfälligsten Systeme betreiben. Das Schulung in Konzepten wie Vishing, Pretexting, Baiting, Whale Hunting, Phishing, etc. wird ihnen helfen, intelligente Entscheidungen zu treffen, wenn es um E-Mail-Anhänge, ungewöhnliche Anfragen oder unsichere Links geht.

Dass es wieder passieren wird, ist unvermeidlich. Aber es gibt Dinge, die wir tun können. Parag Gadgil

Das nächste Offensichtliche ist, was ich am Anfang dieses Artikels erwähnt habe. Einfach ausgedrückt: „Halten Sie sich auf dem Laufenden“. Für die Öffentlichkeit klingt das sehr einfach. Aber jeder in der IT-Welt weiß, dass die Dinge nie so einfach sind. Manchmal sind bestimmte Updates für Anwendungen, die auf den Maschinen laufen, nicht kompatibel, manchmal sind Maschinen mitten in der Verarbeitung wichtiger Jobs oder vielleicht ist die Maschine nur für bestimmte Anwendungsfälle bereit und sie online zu bringen, um sie dann zu aktualisieren, erfordert ein wenig freie Zeit – freie Zeit, die viele von uns nicht haben. Aus welchem Grund auch immer, Windows bietet mit WSUS seit vielen Jahren ein sehr nützliches Werkzeug.

Quelle : Microsoft TechNet

WSUS, das als „Software Update Services“ ins Leben gerufen wurde, steht heute für „Windows Server Update Services“ und hat sich in den letzten Jahren zu einem sehr leistungsfähigen Tool im Admin-Arsenal entwickelt. WSUS bietet Admin-Teams die Möglichkeit, je nach Bedarf Patches oder Updates auf alle Windows-Rechner eines Unternehmens zu verteilen. WSUS ermöglicht Administratoren, Updates zu bestimmten Terminen/Zeiten zu planen, z. B. während Ausfallzeiten oder nach Feierabend. Es ermöglicht ihnen auch, auszuwählen, welche Updates sie verschieben möchten, wobei bestimmte Updates bei Bedarf ausgeschlossen werden, wenn es bekannte Kapazitätsprobleme gibt. Insgesamt bietet WSUS den Administratoren die Möglichkeit, alle auf einem bestimmten Rechner im Netzwerk verfügbaren Updates anzuzeigen und auszuwählen, welche Rechner welche Updates wann erhalten. Darüber hinaus verfolgt es jeden Computer durch den Aktualisierungsprozess und protokolliert alle auftretenden Probleme.

Es ist ein mächtiges Tool. Und dies ist das primäre Tool, mit dem Windows-Administratoren die Computer auf dem neuesten Stand halten und vor diesen Arten von Angriffen schützen. Aber es kann noch leistungsfähiger sein, wenn Sie WSUS in Ihre Automatisierungs-Arbeitsabläufe integrieren. Ein gutes Automatisierungsprodukt kann in WSUS integriert werden, um beispielsweise Aktualisierungen zu verfolgen, Protokolle aufzuzeichnen, Fehlercodes zu erkennen und verschiedene Prozesse abhängig von den verschiedenen Ergebnissen einzuleiten. Lassen Sie mich zwei Beispiele anführen. Mit einem automatisierten WSUS können Sie Ihre Updates planen und zur nächsten Aufgabe übergehen. Sie müssen WSUS nicht auf Fehler oder Bestätigungen beobachten, denn Ihr Automatisierungstool sollte Sie benachrichtigen können, wenn etwas schief geht oder wenn es richtig läuft. Was ist mit der Aktualisierung einer Maschine oder einer virtuellen Maschine, die nicht ständig verfügbar ist? Wenn WSUS Teil der Automatisierungsstruktur eines Unternehmens ist, können Sie ganz einfach einen schnellen Arbeitsablauf einrichten, um den Status der Maschine zu überprüfen und sogar hochzufahren, wenn Ihr System erkennt, dass sie ausgefallen ist. Anschließend können Sie den WSUS-Prozess zur Aktualisierung starten. Danach kann Ihre Automatisierungslösung die Maschine wieder herunterfahren, ohne dass Sie mehr als einen Klick ausführen müssen. Zum Schluss noch ein Wort zu den Verarbeitungsmaschinen. Verbinden Sie WSUS mit Ihrem Automatisierungstool und überprüfen Sie jeden Server auf kritische Prozesse, bevor Sie ein Update zulassen. Einfache Zeitschleifen können eingefügt werden, um es „in 30 Minuten erneut zu versuchen“, wenn Ihre Automatisierungslösung erkennt, dass eine Verarbeitung stattfindet. Nur für den Fall, dass es die Verarbeitung nie stoppen will, setzen Sie einen Zähler mit einer Benachrichtigung darauf. Das ist ein einfacher Ansatz, um eine versehentliche Betriebsunterbrechung zu verhindern. Außerdem entfällt die manuelle Überwachung der Maschinenprozesse vor jedem Update.

Diese Art von Angriffen ist zweifellos beängstigend. Es ist jedoch nicht das Geld, das die Hacker verlangen, das große Unternehmen erschreckt, sondern der Verlust der Kontinuität des Betriebs und der Daten, die von unschätzbarem Wert sind. Glücklicherweise gibt es Dinge, die wir tun können. Mit Social-Engineering-Techniken und indem es sich auf dem Laufenden hält, kann jedes Unternehmen Risiken vermindern. Tools wie WSUS und Arbeitsablauf-Automatisierungslösungen machen die Dinge für uns Administratoren viel einfacher und für die Hacker viel schwieriger.