Die ursprüngliche Software für Endpoint Security, die Antiviren-Software, schützt Endgeräte vor bekannten Formen von Malware wie zum Beispiel Trojanern, Würmern, Adware und mehr.

Herkömmliche Antiviren-Software scannt die Dateien auf einem Endgerät nach Malware-Signaturen – das sind Bytefolgen, die für bekannte Viren oder Malware charakteristisch sind. Die Software benachrichtigt den Benutzer oder Administrator, wenn ein Virus gefunden wurde, und stellt Tools zur Isolierung und Entfernung des Virus sowie zur Reparatur infizierter Dateien bereit.

Die heutige Antivirus-Software, die oft als Next-Generation-Antivirus (NGAV) bezeichnet wird, kann neuere Arten von Malware identifizieren und bekämpfen, einschließlich Malware, die keine Signatur hinterlässt. NGAV kann beispielsweise dateilose Malware erkennen – Malware, die sich im Speicher befindet und schädliche Skripte in den Code legitimer Anwendungen einfügt. NGAV kann auch verdächtige Aktivitäten mithilfe von Heuristiken identifizieren, die verdächtige Verhaltensmuster mit denen bekannter Viren vergleichen. Darüber hinaus werden Dateien mithilfe von Integritätsscans auf Anzeichen einer Virus- oder Malware-Infektion überprüft.

Antivirus-Software allein kann für die Sicherung einer begrenzten Anzahl von Endgeräten ausreichen. Für alles, was darüber hinausgeht, ist in der Regel eine Enterprise Protection Platform (EPP) erforderlich. Eine EPP kombiniert NGAV mit anderen Lösungen für die Endpoint Security, darunter:

• Web-Kontrolle: Diese Software, die manchmal auch als Webfilter bezeichnet wird, schützt Benutzer und Ihre Organisation vor bösartigem Code, der in Websites oder in von Benutzern heruntergeladenen Dateien versteckt ist. Web-Kontrollsoftware umfasst auch Whitelist- und Blacklist-Funktionen, mit denen ein Sicherheitsteam kontrollieren kann, welche Websites von Benutzern besucht werden dürfen.
• Datenklassifizierung und Schutz vor Datenverlust: Diese Technologien dokumentieren, wo sensible Daten gespeichert sind (ob in der Cloud oder lokal) und verhindern den unbefugten Zugriff auf diese Daten oder deren Offenlegung.
• Integrierte Firewalls: Bei diesen Firewalls handelt es sich um Hardware oder Software, welche die Netzwerksicherheit gewährleisten, indem sie nicht autorisierten Traffic in das Netzwerk und aus dem Netzwerk unterbinden.
• E-Mail-Gateways: Diese Gateways sind Software, die eingehende E-Mails überprüft, um Phishing- und Social-Engineering-Angriffe zu blockieren.
• Anwendungskontrolle: Diese Technologie ermöglicht es Sicherheitsteams, die Installation und Nutzung von Anwendungen auf Geräten zu überwachen und zu steuern und die Nutzung und Ausführung unsicherer oder nicht autorisierter Apps zu blockieren.

Ein EPP integriert diese Endpunktlösungen in einer zentralen Verwaltungskonsole, in der Sicherheitsteams oder Systemadministratoren die Sicherheit aller Endpunkte überwachen und verwalten können. Beispielsweise kann ein EPP jedem Endpunkt die entsprechenden Sicherheitstools zuweisen, diese Tools bei Bedarf aktualisieren oder mit Patches versehen und die Sicherheitsrichtlinien des Unternehmens verwalten.

EPPs können lokal oder cloudbasiert bereitgestellt werden. Der Branchenanalyst Gartner (Link befindet sich außerhalb von ibm.com), der die EPP-Kategorie erstmals definiert hat, weist jedoch auf Folgendes hin: Wünschenswerte EPP-Lösungen sind in erster Linie cloudverwaltet und ermöglichen die kontinuierliche Überwachung und Erfassung von Aktivitätsdaten sowie die Durchführung von Remote-Korrekturmaßnahmen, unabhängig davon, ob sich der Endpunkt im Unternehmensnetzwerk oder außerhalb des Standorts befindet.

EPPs konzentrieren sich auf die Abwehr bekannter Bedrohungen oder von Bedrohungen, die sich auf bereits bekannte Weise verhalten. Eine weitere Klasse von Lösungen für die Endpoint Security, die sogenannte Endpoint Detection and Response (EDR), ermöglicht Sicherheitsteams die Reaktion auf Bedrohungen, die vorbeugende Endpunktsicherheitstools umgehen. 

EDR-Lösungen überwachen kontinuierlich die Dateien und Anwendungen, die auf den einzelnen Geräten eingehen. Dabei suchen sie nach verdächtigen oder bösartigen Aktivitäten, die auf Malware, Ransomware oder fortgeschrittene Bedrohungen hinweisen. EDR erfasst außerdem kontinuierlich detaillierte Sicherheitsdaten und Telemetriedaten und speichert sie in einem Datenpool, wo sie für Echtzeitanalysen, Ursachenforschung, Bedrohungsjagd und vieles mehr verwendet werden können.

EDR umfasst in der Regel fortgeschrittene Analysen, Verhaltensanalysen, künstliche Intelligenz (KI) und maschinelles Lernen, Automatisierungsfunktionen, intelligente Warnmeldungen sowie Untersuchungs- und Korrekturfunktionen. Damit können Sicherheitsteams folgende Aufgaben ausführen:

• Korrelation von Kompromittierungsindikatoren (Indicators of Compromise, IOCs) und anderen Endpunktsicherheitsdaten mit Feeds für Threat-Intelligence, um fortgeschrittene Bedrohungen in Echtzeit zu erkennen.
• Empfang von Benachrichtigungen über verdächtige Aktivitäten oder tatsächliche Bedrohungen in Echtzeit. Dies umfasst auch Kontextdaten, die bei der Isolierung von Ursachen und der Beschleunigung der Bedrohungsuntersuchung helfen können. 
• Durchführung einer statischen Analyse (Analyse von verdächtigem oder infiziertem Code) oder einer dynamischen Analyse (Ausführung von verdächtigem Code in Isolation).
• Festlegung von Schwellenwerten für Endpunktverhalten und Warnungen bei Überschreitung dieser Schwellenwerte.
• Automatisierung von Reaktionen, wie z. B. das Trennen und Isolieren einzelner Geräte oder das Blockieren von Prozessen zur Schadensbegrenzung, bis die Bedrohung beseitigt werden kann.
• Ermittlung, ob andere Endgeräte von demselben Cyberangriff betroffen sind.

Viele neuere oder fortschrittlichere EPPs enthalten bereits einige EDR-Funktionen. Für einen umfassenden Endpunktschutz, der sowohl Prävention als auch Reaktion umfasst, sollten die meisten Unternehmen jedoch beide Technologien einsetzen.

Extended Detection and Response (XDR) erweitert das EDR-Modell zur Erkennung und Abwehr von Bedrohungen auf alle Bereiche oder Ebenen der Infrastruktur und schützt nicht nur Endgeräte, sondern auch Anwendungen, Datenbanken und Speicher, Netzwerke und Cloud-Workloads. Als SaaS-Angebot (Software-as-a-Service) schützt XDR On-Premises- und Cloud-Ressourcen. Einige XDR-Plattformen integrieren Sicherheitsprodukte von einem einzigen Anbieter oder Cloud-Service-Provider. Die leistungsstärksten Plattformen ermöglichen Unternehmen jedoch auch, die von ihnen bevorzugten Sicherheitslösungen hinzuzufügen und zu integrieren.