Das Patchen von Endpoints zählt zu den wichtigen und zugleich zeitraubenden Aufgaben von IT-Abteilungen. Smarte Automatisierungslösungen tragen maßgeblich dazu bei, den Aufwand zu reduzieren, wenn einige Features genutzt werden.
Patchen – insbes. die Aktualisierung von Drittanbieteranwendungen – sind für IT-Abteilungen eine niemals endende Arbeitsbelastung. Von diesen gibt es in der Regel einige Dutzend im Unternehmen, was für eine wahre Flut an Patches sorgt. Jeder einzelne Patch muss auf unterschiedlichen Systemen getestet und anschließend schrittweise an alle Rechner ausgerollt werden. Ohne Patch-Automatisierung ist das kaum zu schaffen.
1. Flexible Automatisierung von Anfang bis Ende
Nicht überall, wo Patch-Automatisierung draufsteht, ist auch Patch-Automatisierung drin. Einige Anbieter liefern nur Patch-Metadaten und ein Plug-in für Microsoft Endpoint Manager. Eine echte Automatisierungslösung erlaubt es jedoch, den kompletten Patch-Prozess zu automatisieren. Entscheidend ist die Möglichkeit, verschiedene Templates mit individuellen Testszenarien, Rollout-Phasen, Konfigurationen und Deployment-Optionen für unterschiedliche Endpoint-Typen, Benutzergruppen und Anwendungen anlegen zu können. Idealerweise verfügt die Lösung bereits über fertige Templates, die sich schnell anpassen und einsetzen lassen.
2. Echtzeitsichtbarkeit und KI-Unterstützung
Es ist unmöglich, den Status aller Endpoints manuell zu kontrollieren. Es erfordert übersichtliche und anpassbare Dashboards, die detaillierte Einblicke liefern. Dies umfasst den allgemeinen Gerätestatus, die unterschiedlichen Anwendungen und ihren Release-Stand, den Fortschritt der Patch-Verteilung sowie die erfolgreichen bzw. fehlgeschlagenen Installationen. Gute Lösungen für die Patch-Automatisierung nutzen KI, um Potenziale zur Verbesserung der Patch-Strategien und -Effizienz aufzuzeigen.
3. Priorisierung zeitkritischer Patches
Patches für kritische Schwachstellen und Zero-Day-Lecks müssen zügig eingespielt werden. Doch das ist unrealistisch, denn in fast der Hälfte der Unternehmen dauert der Rollout mindestens eine Woche. Während dieser langen Zeit können Schwachstellen bereits ausgenutzt werden. Eine Automatisierungslösung, muss einem zeitkritischen Patch höchste Priorität einräumen, ihn automatisch über das bevorzugte Template verteilen und die erfolgreiche Installation auf allen Systemen sicherstellen.
4. Intelligente Software-Verteilung
In großen, modular strukturierten Unternehmen kann die Verteilung von Patches Schwierigkeiten bereiten. Die Übertragung von Datenpaketen an viele Endpoints außerhalb des zentralen Netzwerks belastet die WAN- und VPN-Leitungen und die Verbindungen zu Remote-Workern sind häufig knapp bemessen oder instabil. Aus diesen Gründen schlagen viele Übertragungen fehl. Selbst bei Patch-Lösungen, die sich auf Microsoft Endpoint Manager verlassen, liegt die Erfolgsquote selten bei 100%. Um Patch-Prozesse zu verbessern, ohne bestehende Workloads zu beeinträchtigen, sollten Lösungen zum Einsatz kommen, die Software intelligent verteilen (z.B. über P2P-Infrastrukturen oder variable Bandbreitennutzung) und MEM-kompatibel, aber nicht davon abhängig sind.
5. Set-and-forget-Funktionalität
Viele Lösungen für Patch-Automatisierung reduzieren zwar die Anzahl menschlicher Eingriffe, machen sie aber nicht verzichtbar. Gute Lösungen agieren hingegen autonom, nachdem die grundlegenden Patch-Strategien definiert wurden. Sobald ein Patch verfügbar ist, wählen sie das geeignete Template für Test und Verteilung und übernehmen den Rollout automatisch, ohne dass an irgendeiner Stelle in der Prozesskette ist ein manueller Eingriff notwendig ist.
Eine Lösung für Patch-Automatisierung kann manuelle Arbeit reduzieren, sofern diese tatsächlich den gesamten Patch-Prozess von der Identifikation neu verfügbarer Patches über Testroutinen bis zur unternehmensweiten Verteilung automatisiert – idealerweise individuell gesteuert nach Risiko, Endpoint-Typ, Benutzergruppe und Anwendung.
11.01.2022