REDPIXEL - stock.adobe.com
Darauf sollten IT-Teams bei Endpunkt-Security achten
Bei der Auswahl eines Produktes für die Endpunktsicherheit, sollten Kunden auf wesentliche Funktionen achten, die für Unternehmen wichtig sind - wie etwa der Anwendungsschutz.
Aktuelle Betriebssysteme enthalten als Basis zwar einige native Sicherheitskomponenten, aber diese Funktionen reichen in der Regel nicht aus, um Unternehmen in der aktuellen Bedrohungslage zu schützen.
Viele IT-Teams setzen auf Endpoint-Security-Tools, um ihre verwalteten Systeme zu schützen. Diese Plattformen in Sachen Endpunktsicherheit schützen die gesamte Desktop-Flotte eines Unternehmens. Dies soll verhindern, dass Schäden durch externe Angreifer und Insider-Bedrohungen entstehen.
Eine umfassende Lösung für die Endpunktsicherheit sollte eine breite Palette an Funktionen zur Risikominimierung für Geräte und Daten bieten. Dazu gehören beispielsweise folgende Features: Schutz vor Malware und Ransomware, Blocklisten für Anwendungen, Patch-Management, intelligente Auswertungen, Anomalieerkennung, Web- und E-Mail-Schutz sowie Datenverschlüsselung (siehe auch Worauf es bei der Absicherung von Endpunkten ankommt).
Tatsächlich sind moderne Lösungen für die Endpunktsicherheit inzwischen so umfassend, dass das Funktionsangebot für Anwenderunternehmen unübersichtlich sein kann. Um alle Desktop-Endpunkte ordentlich abzusichern, sollten Lösungen einen grundlegenden Satz von Funktionen enthalten.
Wir haben nachfolgend die wichtigsten sechs Funktionen zusammengefasst, die IT-Teams bei der Auswahl einer Plattform für die Endpunktsicherheit berücksichtigen sollten.
Schutz vor Bedrohungen und Exploits
Exploit- und Bedrohungsschutz, umfasst eine Vielzahl von Funktionen, die sich mit Risiken wie Malware, Ransomware, Spyware, Viren, Zero-Day-Bedrohungen oder jeder anderen Art von Exploit befassen. Eine Security-Lösung kann beispielsweise Scans durchführen, die auf bekannte Anwendungs- und OS-Schwachstellen abzielen. Alles was bei diesen Scans entdeckt wird, kann die Lösung dann automatisch eliminieren oder isolieren. Im Allgemeinen sollte die Endpunktsicherheit in der Lage sein, jeden Versuch, ein System und seine Daten zu kompromittieren, proaktiv zu erkennen und zu blockieren.
Ein Beispiel für eine Plattform mit der Funktionalität ist Trend Micro Apex One, die vor Malware, Ransomware, bösartigen Skripten und anderen Bedrohungen schützt. Die Lösung enthält auch weitere Funktionen zum Schutz vor unbekannten Bedrohungen oder dateilosen Angriffen. Kaspersky Endpoint Security ist ein weiteres Beispiel für eine Schutzlösung für Endpunkte. Es enthält Kaspersky Sandbox, eine virtualisierte Umgebung zur Isolierung und Analyse verdächtiger Objekte. Die Ergebnisse der Analyse informieren die Plattform darüber, wie andere verwaltete Endpunkte zu schützen sind.
Netzwerkschutz
Eine Endpunktschutzlösung sollte ein Gerät über seine eigenen Grenzen hinaus schützen. Dies, um Bedrohungen zu entschärfen, bevor diese das System erreichen. Ein gutes Beispiel hierfür ist der Browser-Schutz, der Benutzer daran hindert, auf bösartige oder nicht autorisierte Websites zuzugreifen. Einigen Plattformen bieten auch E-Mail-Gateways, um verdächtige Nachrichten zu blockieren oder eine Firewall und Intrusion Prevention. Diese sollen verhindern, dass Schadsoftware das System erreicht.
Microsoft Defender Advanced Threat Protection (ATP) enthält beispielsweise eine Netzwerk-Engine, die die Netzwerkaktivitäten, um Bedrohungen zu identifizieren und zu stoppen. Ein weiteres Beispiel ist CrowdStrike Falcon Complete, das einen Überblick darüber bietet, wer und was sich jederzeit im Netzwerk befindet. Das Ziel jeder Netzwerkschutzfunktion ist es, Desktop-Endpunkte vor Bedrohungen zu schützen, bevor diese den Rechner erreichen.
Schutz von Anwendungen
Die Anwendungen, die auf einem System laufen, können genauso anfällig für Bedrohungen sein, wie das zugrunde liegende Betriebssystem. Aus diesem Grund enthalten viele Security-Lösungen Patch-Management-Funktionen, um die Applikationen automatisch auf dem neuesten Stand zu halten. Einige Produkte bieten die Möglichkeit, Anwendungen zu blockieren oder gezielt zuzulassen. Und einige Lösungen bieten Funktionen, um Applikationen automatisch zu härten und so die Angriffsfläche zu verringern.
Trend Micro Apex One enthält zum Beispiel eine Funktion, die die Schwachstellen von Anwendungen virtuell ausbessert, bis die IT-Abteilung einen Patch bereitstellen kann. Diese Plattform schützt auch vor unerwünschten oder unbekannten Anwendungen wie ausführbaren Dateien oder Bibliotheken wie DLLs (Dynamic Link Library). Darüber hinaus umfasst Trend Micro Apex One Funktionen zum Blockieren und Zulassen von Anwendungen und kann die Installation von Anwendungen anhand von reputationsbezogenen Variablen steuern.
Data Protection
Die Sicherheit und der Schutz von Daten ist ein wesentlicher Bestandteil jeder Endpunksicherheitslösung. Das Produkt sollte helfen zu verhindern, dass sensible Daten durch Verstöße, Unachtsamkeit oder anderes Verhalten gefährdet werden. Einige Produkte bieten beispielsweise eine vollständige Festplattenverschlüsselung oder verschlüsseln den gesamten Webverkehr. Viele bieten eine sichere Passwortverwaltung und überwachen die Aktivitäten auf Dateiebene und offerieren anderen Datenkontrollen. So lassen sich Datenlecks verhindern und die Datensicherheit verbessern.
So kann beispielsweise Symantec Endpoint Detection and Response beispielsweise bestimmte Dateien auf verwalteten Desktops auf eine Blacklist oder Whitelist setzen. Wenn diese Lösung eine Bedrohung auf Dateiebene entdeckt, werden die bösartigen Dateien und die zugehörigen Artefakte gelöscht, um sicherzustellen, dass die Bedrohung nicht wieder auftritt. Die Symantec-Lösung kann verdächtige Dateien auch automatisch in eine Sandbox verschieben, um sie für die Analyse verfügbar zu machen.
Analysefunktionen
Wie andere IT-Systeme auch, werden auch Lösungen zur Endpunktsicherheit immer „smarter“, da sie KI-Funktionen, maschinelles Lernen (ML) und andere fortschrittliche Technologien implementieren. All diese Technologien ermöglichen es Sicherheitsplattformen, anspruchsvolle Analysen durchzuführen. Hinzu kommen Funktionen wie Verhaltensüberwachung, ML-basierte Anomalieerkennung, Deep-Learning-Malware-Erkennung, forensische Analyse oder Ursachenanalyse.
Ein gutes Beispiel hierfür ist Sophos Intercept X Endpoint, das integrierte KI-Technologien enthält, um bekannte und unbekannte Malware zu erkennen, ohne sich auf Signaturen zu verlassen. Die Plattform nutzt außerdem Verhaltensanalysen, um Boot-Record-Angriffe und unbekannte Ransomware zu verhindern. Ein weiteres Produkt, das Verhaltensanalysen bietet, ist Symantec Endpoint Detection and Response. Hier kommen maschinelles Lernen und globale Bedrohungsdaten zum Einsatz, um verdächtige Aktivitäten aufzudecken und gleichzeitig Fehlalarme zu minimieren. Bitdefender GravityZone verfolgt einen etwas anderen Ansatz und nutzt KI und Security-Analysen, um globale Bedrohungsdaten zu korrelieren.
Die Daten eines Unternehmens sind nur so sicher wie die Endgeräte, die auf sie zugreifen. IT-Administratoren müssen verstehen, wie verschiedene Endpunkt-Security-Lösungen und -Dienste in das Gesamtziel der Cybersicherheit des eigenen Unternehmens passen.
Zentrale Verwaltung
Für IT-Teams sollte es möglich sein, eine Endpunkt-Security-Lösung einfach und schnell zu implementieren. Admins sollten in der Lage sein, die Endpunkte von einem zentralen Portal aus zu verwalten. Dabei sollten Funktionen wie Endpunkterkennung, Over-the-Air-Registrierung, Standardprofile, zentrales Patch-Management, die Erstellung von Support-Tickets oder die Möglichkeit, Installationslinks an Remote-Benutzer zu senden, unterstützt werden. Darüber hinaus sollten Administratoren in der Lage sein, auf einfache Weise nach potenziellen Bedrohungen oder tatsächlichen Vorfällen zu suchen und darauf zu reagieren.
Um dies zu erreichen, bietet CrowdStrike Falcon Complete unter anderem das Erkennen von Bedrohungen, das von einem CrowdStrike-Expertenteam unterstützt wird. Bitdefender GravityZone bietet automatische Alarmmeldungen, die priorisiert sind, um eine schnelle Reaktion auf Vorfälle zu gewährleisten. Symantec Endpoint Detection and Response vereinfacht die Suche nach Vorfällen, indem es einen umfassen Überblick über Benutzer-, Speicher-, Software- und Netzwerkbasisaktivitäten gibt. Diese Plattform umfasst auch ein Tool zur Aufzeichnung von Aktivitäten der Endpunkte. Dies soll die Suche nach Angriffsindikatoren und die Durchführung von Endgeräteanalyen vereinfachen.