Der Schutz von Endgeräten hat sich seit den Tagen der dedizierten Antivirenserver stark weiterentwickelt. Hier finden Sie die grundlegenden und erweiterten Funktionen, auf die Sie bei einer Endpunktschutz-Suite für Unternehmen achten sollten. [...]
Studien zeigen, dass Computerwelt-Leser am ehesten wissen, dass Endpunktschutz die moderne Weiterentwicklung der Antivirus-Tools früherer Generationen ist. Okay, den ersten Teil habe ich erfunden, aber der zweite Teil ist natürlich wahr. Antivirus, besser bekannt als Antimalware, hat sich seit den Tagen der dedizierten Antivirenserver, täglichen Signatur-Updates und manuell verwalteten Richtlinien erheblich weiterentwickelt.
Der Schutz von Endgeräten umfasst viel mehr als Antimalware. Da die Angriffsmethoden und die dahinter stehende Technologie immer vielfältiger und ausgefeilter geworden sind, müssen auch die Sicherheitstools, die für den Schutz der oft am meisten gefährdeten Geräte im Unternehmensnetzwerk zuständig sind, angepasst werden: die Geräte, auf die Ihre Benutzer täglich zugreifen. Zu den Bedrohungsvektoren für Endbenutzergeräte gehören browserbasierte Angriffe, Phishing-Versuche, bösartige Software oder Spyware. Aufgrund der vielfältigen Angriffsvektoren muss eine Vielzahl von Schutzmethoden eingesetzt werden, um Endgeräte vor Angriffen zu schützen.
Der Begriff Endpoint Protection bezieht sich auch auf die moderne Netzwerkarchitektur, die verschiedene Gerätetypen umfassen kann, die über mehrere Unternehmensstandorte verteilt sind, möglicherweise sogar über ein virtuelles privates Netzwerk (VPN) mit dem Unternehmensnetzwerk verbunden sind oder sich vollständig außerhalb der Kontrolle des Unternehmens befinden, wie z. B. Geräte im Besitz der Mitarbeiter.
Moderne Endpoint Security-Funktionen
Welche Funktionen machen eine moderne Endpoint Protection Suite aus? Zunächst einmal sollten Sie einer Lösung den Vorzug geben, die eine moderne Hybrid-Cloud-Architektur vollständig unterstützt. Dies könnte bedeuten, dass die Geräte der Kunden über verschiedene Netzwerke verteilt sind, darunter solche unter der Kontrolle des Unternehmens, Heimnetzwerke und öffentliche Wi-Fi-Verbindungen.
Um die Sicherheit für diese Endgeräte aufrechtzuerhalten, muss Ihre Endpunktschutz-Suite in halbwegs regelmäßigen Abständen mit diesen Geräten kommunizieren. Diese Kommunikation umfasst in der Regel den Empfang von Protokollinformationen über Scan-Ergebnisse und blockierte Bedrohungen, den Empfang von Software- und Richtlinien-Updates (oder sogar Anweisungen zum Zurücksetzen dieser Updates) sowie die Fernauslösung von Verwaltungsaufgaben. Fortschrittlichere Endpunktverwaltungslösungen können sogar Cloud-basiertes maschinelles Lernen nutzen, um vor Zero-Day-Angriffen zu schützen (mehr dazu später).
Auch wenn cloudbasierte Lösungen für viele Kunden am sinnvollsten sind, sollten Sie nicht davon ausgehen, dass sie die einzige Option sind. Mehrere Anbieter (insbesondere diejenigen, die schon länger auf dem Markt sind) bieten nach wie vor Lösungen vor Ort an, die viele der Vorteile einer in der Cloud gehosteten Suite bieten.
Die erste und vielleicht wichtigste Verwaltungsaufgabe ist die erstmalige Bereitstellung und Registrierung von Endgeräten. Die meisten Lösungen zum Schutz von Endgeräten erstellen ein Installationsprogramm, das das Gerät automatisch registriert (zumindest für Windows und Mac). Bei einigen Lösungen können Sie dieses Installationspaket individuell anpassen und festlegen, welche Komponenten installiert und aktiviert werden sollen. In den meisten Fällen kann auch die vorhandene Infrastruktur wie MDM-Lösungen (Mobile Device Management) oder richtlinienbasierte Verwaltungstools genutzt werden, um Massenbereitstellungen zu erleichtern.
Die Integration mit einer Endpoint Detection and Response (EDR)-Lösung oder sogar die Einbeziehung dieser Lösung sollten Sie in Betracht ziehen, insbesondere bei großen Bereitstellungen. EDR verbessert Ihren Endpunktschutz, indem es bei der Erkennung von Endpunkt-basierten Angriffen Korrelationen herstellt, Warnungen ausgibt und Maßnahmen zur Schadensbegrenzung automatisiert. Dies verbessert nicht nur den anfänglichen Schutz Ihrer Endgeräte, sondern hilft auch, den Schaden zu begrenzen, wenn ein erster Angriff teilweise erfolgreich ist (z. B. ein Phishing-Versuch).
Ein weiterer wichtiger Grund für den Einsatz von EDR sind Situationen, in denen ein Angriff erfolgreich ist. EDR kann dabei helfen, den erfolgreichen Angriff zu identifizieren, den Umfang und die Auswirkungen auf Ihr Netzwerk zu messen und sogar die Grundursache zu ermitteln. Einige Endpunktschutzlösungen gehen mit Optionen wie Managed Detection and Response (MDR) sogar noch einen Schritt weiter als EDR.
Dabei handelt es sich in der Regel um einen Service, bei dem der Anbieter oder ein Partner rund um die Uhr Überwachungs-, Bedrohungsjagd- und Analysedienste anbietet und dabei eng mit Ihrem internen Sicherheitspersonal zusammenarbeitet. Eine weitere Option ist die erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR), ein evolutionärer Schritt, der sich mehr auf die Automatisierung von Aspekten des Untersuchungsprozesses konzentriert und eine workflowbasierte Abhilfe ermöglicht.
Grundlegende Funktionen der Endpoint Security
Die Endpunktverwaltung schützt häufig vor verschiedenen Angriffsvektoren wie Phishing-Versuchen, browserbasierten Angriffen, E-Mail-Anhängen und Würmern. Diese Angriffsvektoren erfordern unterschiedliche Schutzmethoden, die in Form von Modulen wie Antimalware, Personal Firewall oder sogar Host-based Intrusion Detection System (HIDS) zur Verfügung stehen.
HIDS ist auf modernen Geräten besonders interessant, da es den Systemstatus und kritische Komponenten überwachen kann, um unbefugte Systemänderungen zu verhindern, z. B. das Hinzufügen von Startanwendungen oder Systemdiensten, Änderungen an der Registrierung oder sogar Änderungen am Systemverzeichnis. In Kombination mit herkömmlichen präventiven Sicherheitsdiensten wie Anti-Malware und Firewall kann HIDS eine letzte Verteidigungslinie für Fälle darstellen, in denen Ihre Endpunktschutz-Suite zunächst überwunden wird.
Der Schutz von Endgeräten umfasst mehr als nur mehrere Komponenten. Es gibt immer wieder neue Malware-Varianten und -Techniken, die darauf abzielen, die Sicherheitsvorkehrungen zu umgehen, was bedeutet, dass auch die Antimalware-Lösungen immer ausgereifter werden müssen. Ein polymorpher Virus kann beispielsweise seine Signatur dynamisch ändern, so dass er mit herkömmlichen signaturbasierten Schutzmethoden nur schwer zu identifizieren ist. Heuristisches Scannen gibt es schon seit einiger Zeit und bietet einen gewissen Schutz vor polymorpher Malware. Auch verhaltensbasierte Erkennung ist hilfreich, aber Endpunktschutz mit maschinellen Lernfunktionen, die durch Big Data unterstützt werden, bieten einen besseren Schutz als diese beiden Methoden.
Lösungen für Endpoint Security
Die meisten der hier aufgelisteten Endpoint Security Suites haben eine lange Geschichte in der Welt der Computersicherheit. Dies ist jedoch keine umfassende Liste, und die Aufnahme in diese Liste bedeutet weder eine Befürwortung noch einen Ausschluss einer Kritik.
Bitdefender Endpoint Security
Ich dachte immer, dass Bitdefender eher eine Lösung für den Schutz von Heimgeräten ist, aber ein kurzer Blick in den Produktkatalog zeigt, dass dies nicht der Fall ist. Bitdefender Endpoint Security gibt es in drei Varianten, die einen immer ausgefeilteren Schutz bieten. Die GravityZone-Lösung von Bitdefender bietet Endpunktschutz sowie Tools zur Sicherung von Servern, Exchange-Postfächern und mobilen Geräten – und das alles aus einem einzigen Fenster heraus.
Die GravityZone Control Center-Konsole kann vor Ort installiert werden und ermöglicht die Verwaltung von Geräten in Ihrer gesamten Infrastruktur. Bitdefender bietet auch Add-ons an, die zusätzlichen Nutzen bringen, wie Patch-Management, eine EDR-Lösung und für virtuelle Umgebungen optimierte Sicherheit.
Kaspersky Endpoint Security for Business
Kaspersky Endpoint Security ist genau das, was Sie von einem der Branchenschwergewichte erwarten: Endpunktschutz für eine Reihe von Gerätetypen, vordefinierte Sicherheitsrichtlinien für einen schnellen Einstieg und die Option für EDR-basierte Angriffserkennung (mit Ursachen- und Kill-Chain-Analyse). Kaspersky bietet außerdem Schwachstellen-Scans (zur Identifizierung fehlender System-Patches), eine vollständige Patch-Verwaltung und Gerätekontrolle (zur Einschränkung des Zugriffs auf angeschlossene Speichergeräte). Kaspersky Endpoint Security kann sogar die unbefugte Nutzung von Cloud-Diensten wie persönlichen Cloud-Speichern oder E-Mail aufdecken und bietet Tools zur Überwachung der Zeit, die in sozialen Netzwerken und Messaging-Diensten verschwendet wird.
Malwarebytes Endpoint Protection
Malwarebytes Endpoint Protection stammt von einem anderen Anbieter, den ich zuvor (zu Unrecht) in die Kategorie Home Defense verbannt hatte. Durch den Einsatz von Tools zur Bewertung und Aufnahme in die Whitelist von ordnungsgemäß signiertem Code beliebter Softwareanbieter und von Code, der den Malwarebytes-Prüfprozess durchläuft (sie haben den Begriff „Goodware“ geprägt), können Fehlalarme vermieden und der Scanprozess optimiert werden, um die Leistungseinbußen zu verringern. Eine weitere wichtige Funktion ist das Malwarebytes-Verwaltungs-Dashboard, das Ihnen den Zustand Ihres Geräts und den Status aller Ereignisse in Echtzeit anzeigt. Das Dashboard ermöglicht es Ihnen auch, die Reaktion auf Bedrohungen mit Filtern nach Schweregrad, Standort und anderen Faktoren zu priorisieren.
McAfee Endpoint Security
McAfee gibt es, seit die Idee eines Computervirus zu einer anerkannten Bedrohung wurde, und McAfee Endpoint Security ist die moderne Krönung ihrer jahrzehntelangen Erfahrung. McAfee enthält alle Komponenten, die Sie von einer Endpoint-Protection-Suite erwarten würden, und bietet eine Cloud-basierte Architektur, KI-basierte Bedrohungserkennung und umsetzbare Reports, die ein schnelles Durchlaufen der Untersuchungsphase und den Übergang zur Behebung und Beseitigung der Bedrohung erleichtern. Als wäre das nicht genug, bietet McAfee sowohl einen MDR-Dienst als auch eine XDR-Plattform an.
Sophos Intercept X Advanced
Sophos Intercept X Advanced nutzt maschinelles Lernen und Echtzeit-Bedrohungsdaten, um Ihre Endpoints vor Zero-Day-Attacken zu schützen. Sophos nutzt außerdem Exploit Prevention, um potenzielle Angriffsvektoren zu identifizieren (z. B. die Ausführung von VBScript in einem Office-Dokument oder DLL-Hijacking), den Angriff zu blockieren, bevor er überhaupt beginnt, und liefert sogar eine Aufschlüsselung des Angriffs, die ihn bis zur Ursache zurückverfolgt. Sophos ist ein weiterer Anbieter, der verschiedene Stufen von EDR, XDR und sogar seine MDR-Lösung anbietet: Sophos Managed Threat Response.
Symantec Endpoint Security Complete
Symantec ist jetzt ein Geschäftsbereich von Broadcom, aber das Unternehmen ist immer noch stark im Bereich der Computersicherheit engagiert, und Symantec Endpoint Security Complete (SESC) ist sein Endpoint Protection-Angebot. Symantec ist bestrebt, Angriffe auf jeder Stufe der Angriffskette zu verlangsamen oder zu verhindern. Dabei geht es um die Minimierung der Angriffsfläche durch die Begrenzung der angeschlossenen Geräte und die Absicherung von Anwendungen, die Verhinderung von Angriffen durch Verhaltenserkennung und maschinelles Lernen oder die Verfolgung von Bedrohungen und Angriffen, sobald diese auftreten, um Sie bei der Zuordnung und Behebung von Problemen auf den Geräten zu unterstützen.
*Tim Ferrill ist IT-Experte und Autor und lebt in Südkalifornien. Sein Schwerpunkt liegt auf Windows, Windows Phone und Windows Server.
Be the first to comment