Wie Sie OpenSSL erkennen und automatisch aktualisieren

Am Montag (22. März 2021) hat die OpenSSL Software Foundation ihre nächste Version für Donnerstag (25. März 2021) angekündigt, in der es heißt: "Der höchste Schweregrad, der in dieser Version behoben wird, ist HIGH". Für OpenSSL ist HIGH der zweithöchste ihrer Schweregrade. Da OpenSSL auf der Mehrheit der HTTPS-Websites und -Endpunkte im Internet vorhanden ist, ist ein Upgrade mit hoher Priorität von Bedeutung.

Eine der größten Herausforderungen für den IT-Betrieb ist es, neue Versionen zu erkennen und darauf zu reagieren, bevor andere sie nutzen können.

Bei den jüngsten Microsoft Exchange Zero-day Exploits, act beispielsweise begann das aktive Massenscanning nur wenige Stunden nach der Veröffentlichung des Notfall-Patches, was den Operations-Profis ein sehr kleines Zeitfenster für die Reaktion ließ.

Es ist klar, dass dieses Katz- und Mausspiel immer schwieriger wird, also müssen wir einen neuen Ansatz wählen. Was können wir also tun? Die Automatisierung kommt...

Bei der Arbeit mit einem unserer größten Kunden haben wir diese Woche einen Prototyp entwickelt, mit dem wir zwei Dinge tun können:

1. Automatischer und ständiger Abgleich der eingesetzten Softwareversionen (in diesem Fall OpenSSL) mit der aktuellen, vom Hersteller freigegebenen Version und Auslösung sofortiger Warnungen, wenn eine Version veraltet ist.

2. Gegebenenfalls ein sofortiges Upgrade der Software in unkritischen Systemen wie Test-, Entwicklungs- oder anderen Systemen auslösen.
   

Video OpenSSL Version Detection and Auto-Upgrade End to End Scenario >>

Ständige Versionserkennung von OpenSSL

Wir setzten eine benutzerdefinierte Avantra-Prüfung ein, um täglich die aktuelle OpenSSL-Version auf Unix-Servern zu überprüfen und sie mit der neuesten öffentlichen Version im OpenSSL Github Repository zu vergleichen. Dies würde eine Warnung auslösen, die hervorhebt, dass sofortige Maßnahmen erforderlich sind.

Automatisierte Software-Upgrades

Sobald Sie wissen, dass die Software veraltet ist, sind Sie wahrscheinlich bereits in der Reaktionszeit im Rückstand, sodass Sie, wenn möglich, eine Automatisierung als Reaktion hinzufügen sollten. Dies muss kein vollständiges Upgrade der Software sein, aber zumindest den Änderungs- und Genehmigungsworkflow auslösen, damit die Arbeit während des nächsten verfügbaren Wartungsfensters abgeschlossen werden kann.

Wir haben dieses Szenario getestet, indem wir unsere Erkennung einer veralteten Version mit einer an Avantra-Automatisierung verknüpft haben, die die neueste Version von OpenSSL herunterlädt und anwendet.

Dies ist nur ein Beispiel dafür, wie Sie Ihre Reaktionszeiten für Szenarien beschleunigen können, bei denen die Zeit eine wichtige Rolle spielt (z. B. Sicherheit). Alles, was Sie im Prozess der Erkennung, Analyse und Reaktion tun können, trägt zur Sicherheit Ihres Unternehmens bei und reduziert zudem den manuellen Aufwand.