Elnur - stock.adobe.com
Endpunkt-Security und Netzwerksicherheit bilden ein Team
Das Zusammenspiel und die gegenseitige Ergänzung ist bei Netzwerk- und Endpunktsicherheit entscheidend für die Gesamtsicherheit. Es ist daher keine Entweder-oder-Entscheidung.
Wenn es darum geht, eine umfassende Security-Strategie zu entwickeln, kann kein einzelner Architekturtyp oder ein einzelnes Produkt vor allen Bedrohungen schützen. Stattdessen muss eine Auswahl an Security-Tools eingesetzt werden, von denen viele überlappende Funktionen haben. Dies wird als Defense-in-Depth-Strategie bezeichnet.
Ein gutes Beispiel hierfür sind die Themen Endpunktsicherheit und Netzwerksicherheit. Tools in beiden Bereichen identifizieren und warnen vor ähnlichen Bedrohungen für ihren jeweiligen Abdeckungsbereich und bieten ja nach Anwendungsfall Vor- und Nachteile. Und obwohl sich ihre Fähigkeiten überschneiden, tragen beide zu einem Defense-in-Depth-Sicherheitsansatz bei.
Grund genug, einen Blick darauf zu werfen, warum IT-Abteilungen in Unternehmen häufig Endpunkt- und Netzwerksicherheit im Tandem einsetzen und wie die Technologien zusammenarbeiten, um IT-Umgebungen und Anwender besser zu schützen.
Endpunktsicherheit vs. Netzwerksicherheit: Architektur-Unterschiede
Wie die Namen schon andeuten, wird Endpunktsicherheit direkt auf den Endpunkten eingesetzt und betrieben, während Netzwerk-Security-Tools vor Bedrohungen schützen, die über das Netzwerk ihren Weg ins Unternehmen suchen. Im Idealfall finden, blockieren und warnen Netzwerksicherheitsprodukte vor Bedrohungen, bevor diese die mit dem Unternehmensnetzwerk verbundene Endpunkte erreichen. Produkte für die Endpunktsicherheit dienen oft als letzte Verteidigungslinie gegen Bedrohungen, die versuchen, Endgeräte wie Desktops, Server, mobile Geräte und IoT-Geräte zu kompromittieren.
Netzwerksicherheits-Tools agieren sehr unterschiedlich und werden oft speziell für eine bestimmte Art von Bedrohung oder zum Schutz bestimmter Unternehmensnetzwerke entwickelt. Eine Netzwerk-Firewall überwacht beispielsweise den ein- und ausgehenden Netzwerkverkehr zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken.
Der Verkehr wird auf der Grundlage von durch den Administrator konfigurierten Regeln zugelassen oder abgelehnt. Ein Secure Web Gateway (SWG) überwacht auch den Datenverkehr, während er das Netzwerk passiert. Es unterscheidet sich von einer herkömmlichen Firewall dadurch, dass es sich nur darauf konzentriert, webbasierten Datenverkehr zuzulassen oder abzulehnen. Ein SWG kann so konfiguriert werden, dass seine auf das Web ausgerichteten Sicherheitsrichtlinien im Vergleich zu einer herkömmlichen Firewall granularer sind.
Selbstredend existieren auch bei Sicherheitsprodukten für Endpunkte große Unterschiede. Eine softwarebasierte Firewall zum Beispiel erlaubt, oder verweigert den Datenverkehr auf dem jeweiligen Gerät, auf dem sie installiert ist. Herkömmliche Antivirenprogramme für Endgeräte scannen die lokalen Anwendungen und die Dateien eines Endgeräts und suchen nach bekannten Signaturen, die auf Schadsoftware hinweisen.
In jüngerer Zeit haben EDR-Tools (Endpoint Detection and Response) an Popularität gewonnen. Anstatt nur nach Bedrohungssignaturen zu suchen – die böswillige Akteure bei herkömmlichen Antivirenprogrammen maskieren können – überwacht EDR das Geräteverhalten im Laufe der Zeit. Administratoren erhalten eine Warnmeldung, wenn ein Gerät oder eine Gruppe von Geräten vom normalen Grundverhalten abweicht.
Netzwerksicherheits-Tools sind darauf ausgelegt, mehrere Unternehmensressourcen zu schützen, während sich Endpunkt-Tools auf den Schutz einzelner Geräte konzentrieren. IT-Teams müssen jedoch berücksichtigen, dass sich diese Sicherheits-Tools zwar im Hinblick auf ihren Schutz unterscheiden, sich aber oft gegenseitig ergänzen.
Die Integration von Endpunkt- und Netzwerksicherheit
In der Vergangenheit haben Netzwerk-Security-Tools häufig in Silos agiert. Bei modernen Werkzeugen ist das nicht mehr der Fall. Die Anbieter ermöglichen es den Lösungen heute, Informationen über neue Bedrohungen, identifizierte Bedrohungen und den Umfang einer Sicherheitsverletzung oder eines Malware-Befalls in einem Netzwerk auszutauschen. Diese integrierten Tools erhalten oft dieselben globalen Bedrohungsdaten, so dass sie neue Angriffsarten automatisch erkennen und abwehren können.
Zusätzlich zum globalen Austausch von Bedrohungsdaten tauschen moderne Produkte auch lokal gesammelte und analysierte Bedrohungsinformationen aus. So kann ein Endpunkt-Security-Tool seinerseits ein Netzwerk-Tool über eine identifizierte Bedrohung benachrichtigen – oder andersherum. Die Security-Mechanismen, die diese Informationen erhalten, können dann die gemeinsam genutzten Daten verwenden, um beispielsweise Sicherheitsrichtlinien zum Schutz vor den identifizierten Bedrohungen zu erstellen.
Häufig kommen darüber hinaus übergreifende Plattformen zum Einsatz, die Informationen von Netzwerk- und Endpunkt-Tools einsammeln und an diese verteilen. SIEM- und SOAR-Plattformen (Security Information and Event Management und Security Orchestration, Automation and Response) beispielsweise sammeln relevante Daten von Netzwerk- und Endpunkt-Tools. Dies geschieht, um Daten aus mehreren Quellen in der gesamten Unternehmensinfrastruktur zu analysieren und zu korrelieren. Solche Multifeed-Tools können besser erkennen, wo Bedrohungen auftreten und welche Auswirkungen sie auf das Unternehmen haben.
Wo Endpunkt- und Netzwerksicherheits-Tools ihre Vorzüge haben
Obwohl in vielen Fällen Endpunkt- und Netzwerk-Security-Werkzeuge ganz trefflich gemeinsam eingesetzt werden können, gibt es einige Szenarien, in denen eines dem anderen vorzuziehen ist.
Ein großer Vorteil von Endpunkt-Security-Tools gegenüber Netzwerklösungen ist, dass sie direkt auf dem Endpunkt installiert werden und diesen schützen, wo immer dieser sich gerade aufhält. Das ist von Vorteil, um Mitarbeiter abzusichern, die in hybriden oder permanenten Home-Office-Szenarien arbeiten.
Dies bedeutet, Endpunktsicherheit ist in den meisten Fällen für den Einsatz auf bestimmter Hardware und Betriebssystemen konzipiert. Ein IT-Team kann entsprechende Security-Lösungen auf PCs, Macs und Linux-Geräten installieren und dennoch in der eigenen Umgebung auf Geräte stoßen, die nicht mit dem gewählten Produkt kompatibel sind. Dies wird mit der zunehmenden Vernetzung von Geräten und dem Stichwort IoT immer häufiger der Fall sein. In diesem Szenario kann es ratsam sein, Netzwerksicherheits-Tools vor den IoT-Geräten zu platzieren, anstatt auf den IoT-Endpunkten selbst, damit diese den richtigen Schutz erhalten.
Public-Cloud-Sicherheit ist ein weiteres häufiges Thema in der Debatte um Endpunktsicherheit vs. Netzwerksicherheit. Cloud-Plattformen wie AWS, Microsoft Azure und Google Cloud Platform integrieren mehrere Netzwerksicherheits-Tools in die Infrastruktur von Drittanbietern. Dann können Sicherheitsteams wählen, ob sie virtualisierte Instanzen ihre bevorzugten Netzwerksicherheits-Tools einsetzen oder in ihre IaaS-Plattform integrierte Sicherheitswerkzeuge verwenden. In beiden Fällen überwachen die Netzwerksicherheits-Tools den Datenverkehr zwischen Endanwendern, Anwendungen und Daten, unabhängig davon, wo sich diese befinden.