Was ist Endpoint Security?

Die Endpoint Security schützt das Netzwerk auch vor Angreifern, die versuchen, über Endpunktgeräte Cyberangriffe auf sensible Daten und andere Assets im Netzwerk zu starten.

Endgeräte bleiben der primäre Eintrittspunkt für Cyberangriffe in das Unternehmensnetzwerk. Verschiedene Studien gehen davon aus, dass bis zu 90 % der erfolgreichen Cyberangriffe und bis zu 70 % der erfolgreichen Datenschutzverletzungen von Endgeräten ausgehen. Laut dem Data Breach Kostenreport von IBM kostet eine durchschnittliche data breach Unternehmen 4,44 Millionen US-Dollar.

Unternehmen müssen heute mehr Endpunkte und mehr Arten von Endpunkten schützen als je zuvor. Richtlinien für die Nutzung privater Geräte (Bring Your Own Device, BYOD), die zunehmende Remote-Arbeit und die steigende Anzahl von IoT-Geräten, Geräten mit Kundenkontakt und netzwerkfähigen Produkten haben die Anzahl der potenziellen Einfallstore für Hacker und die Schwachstellen, die Sicherheitsteams absichern müssen, vervielfacht.

Antivirensoftware, die ursprüngliche Endpunktsicherheitssoftware, schützt Endgeräte gegen bekannte Formen von Malware – Trojanern, Würmern, Adware und mehr.

Herkömmliche Antivirensoftware scannte die Dateien auf einem Endgerät auf Malware-Signaturen – Byte-Zeichenfolgen, die für bekannte Viren oder Malware kennzeichnend sind. Die Software warnte den Benutzer oder Administrator, wenn ein Virus gefunden wurde, und stellte Tools zum Isolieren und Entfernen des Virus sowie zum Reparieren infizierter Dateien bereit.

Heutige Antivirensoftware, oft als Antivirus der nächsten Generation (NGAV) bezeichnet, kann neuere Arten von Malware erkennen und bekämpfen, einschließlich Malware, die keine Spuren hinterlässt. So kann NGAV beispielsweise dateilose Malware erkennen, also Malware, die sich im Arbeitsspeicher befindet und bösartige Skripte in den Code legitimer Anwendungen einfügt. NGAV kann verdächtige Aktivitäten auch mithilfe von Heuristiken identifizieren, die verdächtige Verhaltensmuster mit denen bekannter Viren vergleichen, und Integritätsscans, bei denen Dateien auf Anzeichen einer Virus- oder Malware-Infektion gescannt werden.

Antivirus-Software allein kann für die Sicherung einer begrenzten Anzahl von Endgeräten ausreichen. Für alles, was darüber hinausgeht, ist in der Regel eine Enterprise Protection Platform (EPP) erforderlich. Eine EPP kombiniert NGAV mit anderen Lösungen für die Endpoint Security, darunter:

• Webkontrolle: Diese Software, die manchmal auch als Webfilter bezeichnet wird, schützt Benutzer und Ihr Unternehmen vor schädlichem Code, der in Websites oder in Dateien, die Benutzer herunterladen, versteckt ist. Die Web-Kontrollsoftware umfasst auch Whitelisting- und Blacklisting-Funktionen, mit denen ein Sicherheitsteam kontrollieren kann, welche Websites Benutzer besuchen können.
  
  
• Datenklassifizierung und Schutz vor Datenverlust: Diese Technologien dokumentieren, wo sensible Daten gespeichert sind (ob in der Cloud oder lokal) und verhindern den unbefugten Zugriff auf diese Daten oder deren Offenlegung.
  
  
• Integrierte Firewalls: Bei diesen Firewalls handelt es sich um Hardware oder Software, welche die Netzwerksicherheit gewährleisten, indem sie nicht autorisierten Traffic in das Netzwerk und aus dem Netzwerk unterbinden.
  
  
• E-Mail-Gateways: Diese Gateways sind Software, die eingehende E-Mails überprüft, um Phishing- und Social-Engineering-Angriffe zu blockieren.
  
  
• Anwendungskontrolle: Diese Technologie ermöglicht es Sicherheitsteams, die Installation und Nutzung von Anwendungen auf Geräten zu überwachen und zu steuern und die Nutzung und Ausführung unsicherer oder nicht autorisierter Apps zu blockieren.

Ein EPP integriert diese Endpunktlösungen in einer zentralen Verwaltungskonsole, in der Sicherheitsteams oder Systemadministratoren die Sicherheit aller Endpunkte überwachen und verwalten können. Beispielsweise kann ein EPP jedem Endpunkt die entsprechenden Sicherheitstools zuweisen, diese Tools bei Bedarf aktualisieren oder mit Patches versehen und die Sicherheitsrichtlinien des Unternehmens verwalten.

EPPs können lokal oder cloudbasiert bereitgestellt werden. Der Branchenanalyst Gartner, der die EPP-Kategorie erstmals definiert hat, weist jedoch auf Folgendes hin: Wünschenswerte EPP-Lösungen sind in erster Linie cloudverwaltet und ermöglichen die kontinuierliche Überwachung und Erfassung von Aktivitätsdaten sowie die Durchführung von Remote-Korrekturmaßnahmen, unabhängig davon, ob sich der Endpunkt im Unternehmensnetzwerk oder außerhalb des Standorts befindet.

EPPs konzentrieren sich auf die Verhinderung bekannter Bedrohungen oder Bedrohungen, die sich auf eine bekannte Weise verhalten. Eine andere Klasse von Lösungen für die Endpunktsicherheit, genannt Endpoint Detection and Response (EDR), ermöglicht es Sicherheitsteams, auf Bedrohungen zu reagieren, die sich an präventiven Tools für die Endpunktsicherheit vorbeischleichen.

EDR-Lösungen überwachen kontinuierlich die Dateien und Anwendungen, die auf den einzelnen Geräten eingehen. Dabei suchen sie nach verdächtigen oder bösartigen Aktivitäten, die auf Malware, Ransomware oder fortgeschrittene Bedrohungen hinweisen. EDR erfasst außerdem kontinuierlich detaillierte Sicherheitsdaten und Telemetriedaten und speichert sie in einem Datenpool, wo sie für Echtzeitanalysen, Ursachenforschung, Bedrohungsjagd und vieles mehr verwendet werden können.

EDR umfasst in der Regel fortgeschrittene Analysen, Verhaltensanalysen, künstliche Intelligenz (KI) und maschinelles Lernen, Automatisierungsfunktionen, intelligente Warnmeldungen sowie Untersuchungs- und Korrekturfunktionen. Damit können Sicherheitsteams folgende Aufgaben ausführen:

• Korrelation von Kompromittierungsindikatoren (Indicators of Compromise, IOCs) und anderen Endpunktsicherheitsdaten mit Feeds für Threat-Intelligence, um fortgeschrittene Bedrohungen in Echtzeit zu erkennen.
  
  
• Empfang von Benachrichtigungen über verdächtige Aktivitäten oder tatsächliche Bedrohungen in Echtzeit. Dies umfasst auch Kontextdaten, die bei der Isolierung von Ursachen und der Beschleunigung der Bedrohungsuntersuchung helfen können.
  
  
• Durchführung einer statischen Analyse (Analyse von verdächtigem oder infiziertem Code) oder einer dynamischen Analyse (Ausführung von verdächtigem Code in Isolation).
  
  
• Festlegung von Schwellenwerten für Endpunktverhalten und Warnungen bei Überschreitung dieser Schwellenwerte.
  
  
• Automatisierung von Reaktionen, wie z. B. das Trennen und Isolieren einzelner Geräte oder das Blockieren von Prozessen zur Schadensbegrenzung, bis die Bedrohung beseitigt werden kann.
  
  
• Ermittlung, ob andere Endgeräte von demselben Cyberangriff betroffen sind.

Viele neuere oder fortschrittlichere EPPs enthalten bereits einige EDR-Funktionen. Für einen umfassenden Endpunktschutz, der sowohl Prävention als auch Reaktion umfasst, sollten die meisten Unternehmen jedoch beide Technologien einsetzen.

Extended Detection and Response (XDR) erweitert das EDR-Modell zur Erkennung und Abwehr von Bedrohungen auf alle Bereiche oder Ebenen der Infrastruktur und schützt nicht nur Endgeräte, sondern auch Anwendungen, Datenbanken und Speicher, Netzwerke und Cloud-Workloads. Als SaaS-Angebot (Software-as-a-Service) schützt XDR On-Premises- und Cloud-Ressourcen. Einige XDR-Plattformen integrieren Sicherheitsprodukte von einem einzigen Anbieter oder Cloud-Service-Provider. Die leistungsstärksten Plattformen ermöglichen Unternehmen jedoch auch, die von ihnen bevorzugten Sicherheitslösungen hinzuzufügen und zu integrieren.