Erfahren Sie mehr über die Sicherung eines Ökosystems für vernetzte Geräte.
Managed Endpoint ProtectionUnter Endpoint Security versteht man den Prozess der Sicherung jedes Geräts in Echtzeit, das auf ein Unternehmensnetzwerk zugreift. Jedes einzelne Gerät könnte, wenn es ungeschützt bleibt, als angreifbares Glied in der Kette betrachtet werden, das das Potenzial hat, das gesamte Netzwerk zu beeinträchtigen. Aus diesem Grund ist die Endpoint Security für ein umfassendes Cybersicherheitsprogramm so wichtig.
Laut Gartner bieten Plattformen für die Endpunktsicherheit (auch Endpoint Protection Platforms, EPPs) die Möglichkeit, Agenten oder Sensoren zur Sicherung verwalteter Endpunkte bereitzustellen, einschließlich Desktops, Laptops, Server und mobile Endgeräte.
Ein Endpunkt ist ein Gerät oder Server, der eine Verbindung mit einem Netzwerk herstellt. Zusätzlich zu den oben erwähnten Endpunkten (Desktop-PCs, Laptops, Server, mobile Geräte) können Endpunkte auch Telefone, IoT-Geräte (Internet der Dinge) wie Küchengeräte oder Thermostate, Kameras und wirklich alles umfassen, was sich mit einem Netzwerk verbinden und Daten austauschen und übertragen kann.
Wir denken oft nicht, dass alle diese Geräte – insbesondere diejenigen, die wir in unserem Privatleben verwenden – möglicherweise nicht sicher sind. Aber irgendjemand irgendwo hat die Aufgabe, dieses Gerät zusammen mit dem Rest des Netzwerks, auf das es zugreift, zu schützen. Erschwerend kommt hinzu, dass im Arbeitsleben Geräte verwendet werden, die oft auch privat genutzt werden.
Wenn Sie beispielsweise geschäftliche Apps wie Slack oder Google Workspace auf Ihrem Privathandy haben, verlangen Ihre Unternehmensadministratoren möglicherweise, dass Sie bestimmte IAM-Apps (Identity and Access Management) wie Okta oder Duo installieren, um diese spezifischen arbeitsbasierten Anwendungen mit Verbindung zu Ihrem Unternehmensnetzwerk zu schützen.
Eine EPP ist eine Plattform, die den Einsatz von Überwachungsagenten zur Bekämpfung von Malware und anderen Arten von Angriffen auf jedem Endpunkt im Netzwerk eines Unternehmens erleichtert. EPPs sind im Allgemeinen sehr gut darin, das zu tun, was ihr Name impliziert: einen Endpunkt zu schützen. Um jedoch einen umfassenderen Schutz des gesamten Netzwerks zu erreichen, sind weitergehende Lösungen erforderlich.
EDR-Lösungen bieten Transparenz und Einblicke, um Sicherheitslücken zu schließen, indem sie Echtzeitrisiken identifizieren und darüber berichten, Abwehrmaßnahmen testen und – was am wichtigsten ist – kompromittierte Endpunkte zu erkennen. Eine EDR-Lösung sollte in der Lage sein, proaktiv Schwachstellen im gesamten Netzwerk und bei den Benutzern zu identifizieren und zu priorisieren.
Der grundlegende Unterschied zwischen EPP- und EDR-Plattformen und -Lösungen besteht in der Prävention und nicht in der Erkennung eines Eindringens oder Angriffs. Eine EPP nutzt Agenten, um die Ausführung bösartiger Dateien auf Endpunkten mit Technologien wie Next Generation Antivirus (NGAV) zu verhindern.
Moderne EDR-Lösungen verfügen in der Regel über Funktionen im Bereich Extended Detection and Response (XDR), die über die einfache Erkennung und Reaktion (D&R) hinausgehen und eine umfangreiche Abdeckung bieten, die sowohl durch Endpunkt-Telemetrie als auch durch eine breitere Datenerfassung von außerhalb des Perimeters unterstützt wird. Dies kann die Fähigkeit eines Unternehmens erheblich verbessern, Vorfälle in der Angriffskette früher zu erkennen und Angriffe noch vor dem Entstehen eines Schadens abzuwehren.
Die Endpunktsicherheit basiert auf einer endpunktbezogenen Schutzplattform (Endpoint Protection Platform, EPP), die verdächtige Aktivitäten kontinuierlich überwacht und Netzwerkadministratoren auf mögliche Sicherheitsverletzungen aufmerksam macht. Ein auf einem Endpunkt installierter Sensor oder Agent kann Daten von diesem Endpunkt sicher an eine zentrale EPP streamen, sodass eine Analyse des Netzwerkverkehrs durchgeführt und – falls erforderlich – Abhilfemaßnahmen ergriffen werden können. Lassen Sie uns einen Blick auf die verschiedenen Arten von Angriffen werfen, die Endpunktdaten aufdecken können, um so angemessene Abwehrmaßnahmen zu finden:
Um Netzwerksysteme vor zukünftigen Angriffen zu schützen, müssen während eines Untersuchungszeitraums intern Fragen nach einer Sicherheitsverletzung gestellt werden.
Überwachung, D&R-Maßnahmen und Untersuchungen erfolgen alle von einem zentralen Ort oder Dashboard innerhalb einer EPP. Wenn es zu einer der oben genannten Sicherheitsverletzungen gekommen ist, kann das Sicherheitspersonal Aufgaben wie das Blockieren von Malware, die Erkennung von Schwachstellen, die Remote-Deaktivierung von Assets und/oder Endpunkten zur Eindämmung der Auswirkungen und vieles mehr ausführen.
Jedes Unternehmen und die dazugehörige Sicherheitsorganisation haben unterschiedliche Anforderungen. Die große Gemeinsamkeit aber liegt in der Technologie, auf die wir alle für unsere Arbeit angewiesen sind. Werfen wir daher einen Blick auf einige Komponenten, die in keiner Endpunktsicherheitslösung fehlen sollten.
Die Anzahl und Art der Geräte, die auf Unternehmensdaten und -anwendungen zugreifen, ist in den letzten zehn Jahren exponentiell gewachsen. Dies ist zum großen Teil auf die Pandemie zurückzuführen, aber auch auf die allgemeine Einführung der Technologie, dank derer Unternehmen nun auch Talente außerhalb ihres unmittelbaren geografischen Umfelds einstellen können. In dieser Umgebung wäre es untertrieben zu sagen, dass Endpunkttransparenz von entscheidender Bedeutung ist.
Tools für die Digitale Forensik und Incident Response (DFIR) können entscheidend dazu beitragen, dass Sicherheitsteams schnell digitales forensisches Beweismaterial von verschiedenen Endgeräten erfassen und einsehen sowie diese proaktiv auf verdächtige Aktivitäten überwachen können.
Mit der oben erwähnten Dezentralisierung der Belegschaft ist es allgemein anerkannt, dass Endpunkt-Agenten nicht mehr optional sind. Um Bedrohungen wirksam zu bekämpfen, müssen Sicherheitsprogramme jederzeit auf jeden Endpunkt zugreifen können. Endpunkt-Agenten sollten über EDR-Funktionen zur Aufzeichnung wichtiger Systemereignisse, Echtzeit-Ermittlungsdatenerfassung, NGAV-Anwendungen zur Beendigung von Bedrohungen auf der Grundlage von Verhaltensweisen, aktive Bedrohungsabwehr und On-Demand-Funktionen zur Schadensbegrenzung und -beseitigung verfügen.
Außerdem muss das Personal seine Fähigkeiten ausbauen. In diesem Sinne bedeutet das, dass die Schulung der Endbenutzer ein zentraler Bestandteil der Investitionsstrategie eines Sicherheitsprogramms sein sollte. Die Kosten für die Sicherheitsschulung von Endbenutzern sind im Vergleich zu den Kosten für Technologie, Personal und Kosten im Zusammenhang mit Sicherheitsverstößen gering. Sicherheitstrainings können speziell auf ein Unternehmen zugeschnitten werden, je nachdem, welche Arten von Bedrohungen in der jeweiligen Branche vorherrschen.
NGAV geht über herkömmliche Antivirenprogramme hinaus und erweitert den Blick auf die Endpunkte eines Unternehmens. Eine NGAV-Lösung erkennt Malware und dateilose Angriffe, um die Taktiken, Techniken und Verfahren und böswilligen Verhaltensweisen von Angreifern zu verhindern, die absichtlich oder unabsichtlich von jemandem eingesetzt werden, der tatsächlich über die entsprechenden Anmeldeinformationen verfügt.
NGAV verhindert, dass bösartiger Code, der sich in Prozessen versteckt, ausgeführt wird, bevor er überhaupt erkannt wird. Durch die Nutzung von künstlicher Intelligenz (KI), maschinellem Lernen (ML) und anderen Funktionen kann NGAV aus früheren Verhaltensweisen der Endgeräte lernen, auf denen sie installiert ist. Dadurch können verschiedene Angriffe im gesamten Endpunkt-Ökosystem effizienter blockiert werden.
Endpunktsicherheit ist wichtig, da sie dazu beiträgt, Risiken im gesamten Unternehmen zu erkennen und zu reduzieren. Die Erkennung von Bedrohungen in Echtzeit, das Monitoring von Remote- und virtuellen Infrastrukturen und die schnelle Bereitstellung von Agenten sind nur einige der Vorteile, die Endpunktsicherheit mit sich bringen kann.
Auch die Strategie für die Endpunktsicherheit ändert sich. Sie geht - wie bereits erwähnt - über den eigentlichen Endpunkt hinaus und wird zu einem wichtigen Bestandteil eines umfassenderen XDR-Programms. Dies ist wichtig, wenn Sicherheitsorganisationen proaktiver werden wollen, um Signale eines potenziell bevorstehenden Angriffs zu erkennen und ihn noch vor dem Entstehen eines Schadens zu stoppen.
Jeder Mitarbeiter interagiert täglich mit mehreren Endpunkten, einschließlich persönlicher Geräte, die für Arbeitszwecke verwendet werden, und meldet sich im Unternehmensnetzwerk an und ab. Ein leistungsfähiges Programm für Überwachung und D&R hilft dabei, dieses Ökosystem von Assets vor immer raffinierteren Verstößen, Ausbreitung im Netzwerk und Datendiebstahl zu schützen.
Endpunktsicherheit: Aktuelles aus dem Rapid7-Blog