Was ist Endpunktsicherheit? 

Unter Endpoint Security versteht man den Prozess der Sicherung jedes Geräts in Echtzeit, das auf ein Unternehmensnetzwerk zugreift. Jedes einzelne Gerät könnte, wenn es ungeschützt bleibt, als angreifbares Glied in der Kette betrachtet werden, das das Potenzial hat, das gesamte Netzwerk zu beeinträchtigen. Aus diesem Grund ist die Endpoint Security für ein umfassendes Cybersicherheitsprogramm so wichtig.

Laut Gartner bieten Plattformen für die Endpunktsicherheit (auch Endpoint Protection Platforms, EPPs) die Möglichkeit, Agenten oder Sensoren zur Sicherung verwalteter Endpunkte bereitzustellen, einschließlich Desktops, Laptops, Server und mobile Endgeräte.

Was ist ein Endpunkt? 

Ein Endpunkt ist ein Gerät oder Server, der eine Verbindung mit einem Netzwerk herstellt. Zusätzlich zu den oben erwähnten Endpunkten (Desktop-PCs, Laptops, Server, mobile Geräte) können Endpunkte auch Telefone, IoT-Geräte (Internet der Dinge) wie Küchengeräte oder Thermostate, Kameras und wirklich alles umfassen, was sich mit einem Netzwerk verbinden und Daten austauschen und übertragen kann.

Wir denken oft nicht, dass alle diese Geräte – insbesondere diejenigen, die wir in unserem Privatleben verwenden – möglicherweise nicht sicher sind. Aber irgendjemand irgendwo hat die Aufgabe, dieses Gerät zusammen mit dem Rest des Netzwerks, auf das es zugreift, zu schützen. Erschwerend kommt hinzu, dass im Arbeitsleben Geräte verwendet werden, die oft auch privat genutzt werden.

Wenn Sie beispielsweise geschäftliche Apps wie Slack oder Google Workspace auf Ihrem Privathandy haben, verlangen Ihre Unternehmensadministratoren möglicherweise, dass Sie bestimmte IAM-Apps (Identity and Access Management) wie Okta oder Duo installieren, um diese spezifischen arbeitsbasierten Anwendungen mit Verbindung zu Ihrem Unternehmensnetzwerk zu schützen.

Was ist eine Endpoint Protection Platform (EPP)? 

Eine EPP ist eine Plattform, die den Einsatz von Überwachungsagenten zur Bekämpfung von Malware und anderen Arten von Angriffen auf jedem Endpunkt im Netzwerk eines Unternehmens erleichtert. EPPs sind im Allgemeinen sehr gut darin, das zu tun, was ihr Name impliziert: einen Endpunkt zu schützen. Um jedoch einen umfassenderen Schutz des gesamten Netzwerks zu erreichen, sind weitergehende Lösungen erforderlich.

Was ist Endpoint Detection and Response (EDR)? 

EDR-Lösungen bieten Transparenz und Einblicke, um Sicherheitslücken zu schließen, indem sie Echtzeitrisiken identifizieren und darüber berichten, Abwehrmaßnahmen testen und – was am wichtigsten ist – kompromittierte Endpunkte zu erkennen. Eine EDR-Lösung sollte in der Lage sein, proaktiv Schwachstellen im gesamten Netzwerk und bei den Benutzern zu identifizieren und zu priorisieren.

EPP vs. EDR 

Der grundlegende Unterschied zwischen EPP- und EDR-Plattformen und -Lösungen besteht in der Prävention und nicht in der Erkennung eines Eindringens oder Angriffs. Eine EPP nutzt Agenten, um die Ausführung bösartiger Dateien auf Endpunkten mit Technologien wie Next Generation Antivirus (NGAV) zu verhindern. 

Moderne EDR-Lösungen verfügen in der Regel über Funktionen im Bereich Extended Detection and Response (XDR), die über die einfache Erkennung und Reaktion (D&R) hinausgehen und eine umfangreiche Abdeckung bieten, die sowohl durch Endpunkt-Telemetrie als auch durch eine breitere Datenerfassung von außerhalb des Perimeters unterstützt wird. Dies kann die Fähigkeit eines Unternehmens erheblich verbessern, Vorfälle in der Angriffskette früher zu erkennen und Angriffe noch vor dem Entstehen eines Schadens abzuwehren.

Wie funktioniert Endpunktsicherheit? 

Die Endpunktsicherheit basiert auf einer endpunktbezogenen Schutzplattform (Endpoint Protection Platform, EPP), die verdächtige Aktivitäten kontinuierlich überwacht und Netzwerkadministratoren auf mögliche Sicherheitsverletzungen aufmerksam macht. Ein auf einem Endpunkt installierter Sensor oder Agent kann Daten von diesem Endpunkt sicher an eine zentrale EPP streamen, sodass eine Analyse des Netzwerkverkehrs durchgeführt und – falls erforderlich – Abhilfemaßnahmen ergriffen werden können. Lassen Sie uns einen Blick auf die verschiedenen Arten von Angriffen werfen, die Endpunktdaten aufdecken können, um so angemessene Abwehrmaßnahmen zu finden:

  • Malware-Installation: Es gibt Unterschiede in der Art und Weise, wie Malware im Vergleich zu normaler Software installiert wird. 
  • Malware-Persistenz: Es gibt nur eine begrenzte Anzahl von Möglichkeiten, wie Malware auf einem System bestehen bleiben kann. 
  • Angreifer gibt Befehle aus: Angreifer neigen dazu, über ein Betriebssystemterminal mit einem Zielsystem zu kommunizieren. 
  • Angreifer stiehlt Zugangsdaten: Vor der Ausbreitung im Netzwerk benötigt ein Angreifer Zugangsdaten. 
  • Angreifer laden zusätzliche Tools herunter: Angreifer bringen in der Regel ein Toolkit mit. 
  • Der Angreifer bewegt sich zu einem anderen Objekt: Angreifer neigen dazu, zu anderen Objekten in einem Netzwerk zu springen, in der Hoffnung, auf dem Weg zu ihrem eigentlichen Zielobjekt allgemeinere Daten zu sammeln. 

Um Netzwerksysteme vor zukünftigen Angriffen zu schützen, müssen während eines Untersuchungszeitraums intern Fragen nach einer Sicherheitsverletzung gestellt werden. 

  • Wie konnte der Angreifer eindringen? 
  • Welche Tools hat der Angreifer verwendet? 
  • Wohin hat sich der Angreifer bewegt? 
  • Welche Zugangsdaten wurden verwendet? 
  • Auf welche Daten hatte der Angreifer Zugriff? 
  • Welche Daten wurden gestohlen? 
  • Befindet sich der Angreifer noch in der Umgebung? 
  • Welche spezifischen Gegenmaßnahmen können Sie ergreifen? 
  • Was können Sie tun, um solche Angriffe in Zukunft zu verhindern? 

Überwachung, D&R-Maßnahmen und Untersuchungen erfolgen alle von einem zentralen Ort oder Dashboard innerhalb einer EPP. Wenn es zu einer der oben genannten Sicherheitsverletzungen gekommen ist, kann das Sicherheitspersonal Aufgaben wie das Blockieren von Malware, die Erkennung von Schwachstellen, die Remote-Deaktivierung von Assets und/oder Endpunkten zur Eindämmung der Auswirkungen und vieles mehr ausführen.

Schlüsselkomponenten, auf die Sie bei einer Endpunktsicherheitslösung achten sollten 

Jedes Unternehmen und die dazugehörige Sicherheitsorganisation haben unterschiedliche Anforderungen. Die große Gemeinsamkeit aber liegt in der Technologie, auf die wir alle für unsere Arbeit angewiesen sind. Werfen wir daher einen Blick auf einige Komponenten, die in keiner Endpunktsicherheitslösung fehlen sollten. 

Sichtbarkeit der Endpunkte 

Die Anzahl und Art der Geräte, die auf Unternehmensdaten und -anwendungen zugreifen, ist in den letzten zehn Jahren exponentiell gewachsen. Dies ist zum großen Teil auf die Pandemie zurückzuführen, aber auch auf die allgemeine Einführung der Technologie, dank derer Unternehmen nun auch Talente außerhalb ihres unmittelbaren geografischen Umfelds einstellen können. In dieser Umgebung wäre es untertrieben zu sagen, dass Endpunkttransparenz von entscheidender Bedeutung ist.

Tools für die Digitale Forensik und Incident Response (DFIR) können entscheidend dazu beitragen, dass Sicherheitsteams schnell digitales forensisches Beweismaterial von verschiedenen Endgeräten erfassen und einsehen sowie diese proaktiv auf verdächtige Aktivitäten überwachen können. 

Umfangserweiterung 

Mit der oben erwähnten Dezentralisierung der Belegschaft ist es allgemein anerkannt, dass Endpunkt-Agenten nicht mehr optional sind. Um Bedrohungen wirksam zu bekämpfen, müssen Sicherheitsprogramme jederzeit auf jeden Endpunkt zugreifen können. Endpunkt-Agenten sollten über EDR-Funktionen zur Aufzeichnung wichtiger Systemereignisse, Echtzeit-Ermittlungsdatenerfassung, NGAV-Anwendungen zur Beendigung von Bedrohungen auf der Grundlage von Verhaltensweisen, aktive Bedrohungsabwehr und On-Demand-Funktionen zur Schadensbegrenzung und -beseitigung verfügen.

Außerdem muss das Personal seine Fähigkeiten ausbauen. In diesem Sinne bedeutet das, dass die Schulung der Endbenutzer ein zentraler Bestandteil der Investitionsstrategie eines Sicherheitsprogramms sein sollte. Die Kosten für die Sicherheitsschulung von Endbenutzern sind im Vergleich zu den Kosten für Technologie, Personal und Kosten im Zusammenhang mit Sicherheitsverstößen gering. Sicherheitstrainings können speziell auf ein Unternehmen zugeschnitten werden, je nachdem, welche Arten von Bedrohungen in der jeweiligen Branche vorherrschen.

Antivirus der nächsten Generation (NGAV)

NGAV geht über herkömmliche Antivirenprogramme hinaus und erweitert den Blick auf die Endpunkte eines Unternehmens. Eine NGAV-Lösung erkennt Malware und dateilose Angriffe, um die Taktiken, Techniken und Verfahren und böswilligen Verhaltensweisen von Angreifern zu verhindern, die absichtlich oder unabsichtlich von jemandem eingesetzt werden, der tatsächlich über die entsprechenden Anmeldeinformationen verfügt.

NGAV verhindert, dass bösartiger Code, der sich in Prozessen versteckt, ausgeführt wird, bevor er überhaupt erkannt wird. Durch die Nutzung von künstlicher Intelligenz (KI), maschinellem Lernen (ML) und anderen Funktionen kann NGAV aus früheren Verhaltensweisen der Endgeräte lernen, auf denen sie installiert ist. Dadurch können verschiedene Angriffe im gesamten Endpunkt-Ökosystem effizienter blockiert werden.

Warum ist Endpunktsicherheit wichtig? 

Endpunktsicherheit ist wichtig, da sie dazu beiträgt, Risiken im gesamten Unternehmen zu erkennen und zu reduzieren. Die Erkennung von Bedrohungen in Echtzeit, das Monitoring von Remote- und virtuellen Infrastrukturen und die schnelle Bereitstellung von Agenten sind nur einige der Vorteile, die Endpunktsicherheit mit sich bringen kann.

Auch die Strategie für die Endpunktsicherheit ändert sich. Sie geht - wie bereits erwähnt - über den eigentlichen Endpunkt hinaus und wird zu einem wichtigen Bestandteil eines umfassenderen XDR-Programms. Dies ist wichtig, wenn Sicherheitsorganisationen proaktiver werden wollen, um Signale eines potenziell bevorstehenden Angriffs zu erkennen und ihn noch vor dem Entstehen eines Schadens zu stoppen.

Jeder Mitarbeiter interagiert täglich mit mehreren Endpunkten, einschließlich persönlicher Geräte, die für Arbeitszwecke verwendet werden, und meldet sich im Unternehmensnetzwerk an und ab. Ein leistungsfähiges Programm für Überwachung und D&R hilft dabei, dieses Ökosystem von Assets vor immer raffinierteren Verstößen, Ausbreitung im Netzwerk und Datendiebstahl zu schützen.

Erfahren Sie mehr über Endpunktsicherheit 

Endpunktsicherheit: Aktuelles aus dem Rapid7-Blog