„Virtual Patching“ ist eigentlich ein alter Begriff – OWASP bezeichnet dieses „Just-in-time Patching“ als: „Einen Mechanismus zur Durchsetzung von Sicherheitsrichtlinien, der die Ausnutzung bekannter Sicherheitsschwächen verhindert.“ [1]
In den letzten Jahren wurde es vermehrt im Web Application Firewall (WAF) Bereich verwendet, stammt aber ursprünglich aus dem Intrusion Prevention System (IPS).
Wie man in der Causa CVE-2019-19781, der Schwachstelle in diversen Citrix ADC & Gateway Produkten, gesehen hat, sind NGIPS (Next Generation IPS) in der Lage aktuelle Bedrohungen zu egalisieren und Situationen für Unternehmen zu entschärfen. Kurz nach Bekanntwerden von Tools, die diese Schwäche aktiv ausnutzen, wehren NGIPS Systeme diese Bedrohungen aktiv ab.
Der zeitliche Ablauf ist hierbei spannend, den man auf us-cert.gov nachlesen kann [2]:
- 12.2019: Veröffentlichung des Problems [3]
- 01.2020: Erste Details – siehe CERT.org [4] oder SANS Institute im Internet Storm Center [5]. Zu diesem Zeitpunkt gab es schon Tools mit der die Lücke ausgenutzt werden konnte.
- 09.-10.01.2020: Alle nennenswerten NGIPS Hersteller lieferten Muster, mit denen die Ausnutzung der Sicherheitslücke verhindert werden konnte.
- Ab dem 01.2020 veröffentlichte Citrix Patches für diverse Releases der betroffenen Systeme.
Es gab zwar Empfehlungen von einzelnen Herstellern, wie man mit diesem Problem am besten umzugehen habe, doch es scheiterte teilweise an der Umsetzung, da gewisse Einstellungsänderungen gar nicht durchgeführt werden konnten. [6]
Virtual Patching ist gerade jetzt in dieser schnelllebigen Zeit, wo tausend talentierte Köpfe an der Sicherheit von Systemen forschen, en vouge.
Dort wo Schwachstellen aufgezeigt werden, werden naturgemäß auch Möglichkeiten existieren, diese auszunutzen. Ein professionell geplantes und betriebenes NGIPS verschafft Unternehmen und Organisationen den entscheidenden Vorteil: Sicherheitslücken dieser Art werden nicht zum Desaster, und es bleibt genug Zeit diese in Ruhe zu beseitigen.