Endgerätesicherheit

Grundlagen der Endpoint Security

| Redakteur: Peter Schmitz

Endpoint-Protection-Lösungen stellen einen wichtigen Schutzfaktor gegen Ransomware und andere gezielte Angriffe gegen die Systeme der Mitarbeiter dar.
Endpoint-Protection-Lösungen stellen einen wichtigen Schutzfaktor gegen Ransomware und andere gezielte Angriffe gegen die Systeme der Mitarbeiter dar. (© bakhtiarzein - stock.adobe.com)

Endpoint Protection-Lösungen sichern die Workstations und Server im Netz gegen Angriffe aller Art ab. Sie bestehen üblicherweise einerseits aus einer zentralen Verwaltungskonsole, über die die zuständigen Mitarbeiter die Konfiguration vornehmen, und andererseits Agenten, die auf den zu sichernden Clients laufen und dort die Policies umsetzen, die im Management-Tool festgelegt wurden. Security-Insider zeigt, welche Funktionen ein gutes Endpoint Protection-Produkt mitbringen sollte und stellt außerdem die wichtigsten Hersteller in diesem Bereich vor.

Eine Endpoint-Protection-Lösung lässt sich einsetzen, um die Rechner und mobile Devices im Netz vor den unterschiedlichsten Malware-Bedrohungen, wie beispielsweise Trojanern oder Ransomware zu schützen. Dazu überwacht sie alle auf den Computern ablaufenden Aktivitäten und unterbindet potentiell gefährliche Aktionen. So schützt sie beispielsweise die Interprozesskommunikation im Speicher und sorgt dafür, dass Malware nicht durch Overflows an höhere Privilegien gelangen kann. Abgesehen davon gehören in der Regel – wie etwa bei dem Produkt von Kaspersky – Echtzeit-Code-Analysen, URL-Filter und Vulnerability-Shields mit zum Leistungsumfang von Endpoint Protection-Lösungen. Weitere wichtige Funktionalitäten für solche Systeme sind Data Loss Prevention (DLP), Datenverschlüsselung und Enterprise Mobility Management (EMM).

Viele, der auch vom Analystenhaus Gartner aufgelisteten Endpoint-Protection-Plattformen bringen zusätzlich zu den genannten Funktionen auch noch Intrusion Protection Systeme (IPS) für die Clients mit. Das gleiche gilt für Firewalls und Sandboxes. Letztere gehören zum Beispiel bei den Produkten von ESET und F-Secure zum Leistungsumfang. Nicht alle Produkte bieten sämtliche genannten Funktionen, deswegen gehen wir in diesem Beitrag auch nur auf die wesentlichsten Features ein. Im Betrieb lassen sich die Endpoint Protection-Lösungen üblicherweise parallel zu anderen Sicherheitswerkzeugen, wie zum Beispiel Antiviren-Programmen, einsetzen.

Damit realisieren die Produkte eine zusätzliche Schutzschicht im Unternehmensnetz, die heutzutage wegen der immer besser an die Zielsysteme angepassten Angriffe und auch wegen der Vielzahl der Ransomware-Attacken zunehmend unverzichtbar wird. Sie stellt eine Ergänzung dar zu Sicherheitsschulungen der Mitarbeiter, zum Einsatz von Firewalls und Virenscannern und zum regelmäßigen Einspielen von Patches. Moderne Endpoint Protection-Produkte, wie etwa die Lösung von Cylance, lassen sich sowohl in der Cloud als auch on-premise betreiben. Im täglichen Einsatz legen die Administratoren über ihre zentrale Verwaltungskonsole fest, wie sich die auf den Clients laufenden Agenten verhalten sollen. Die gleiche Konsole kommt auch dazu zum Einsatz, die Agenten dann im laufenden Betrieb zu überwachen. Gehen wir nun aber auf die Technologien ein, die eine gute Endpoint Protection-Plattform mitbringen sollte.

Applikationskontrolle

Das erste und wohl wichtigste Feature in diesem Zusammenhang stellt die Anwendungskontrolle dar. Sie sorgt entweder durch Black- und Whitelists, eine proaktiv arbeitende Überwachungstechnologie oder den restriktiven Einsatz der Dateiausführungsrechte dafür, dass nur die Anwendungen auf einem Rechner laufen dürfen, die zugelassen und sicher sind. Oftmals, wie beispielsweise bei den Lösungen von Comodo und Palo Alto Networks, schicken die Sicherheitstools unbekannte Anwendungen – beziehungsweise Dateien – zusätzlich zur Analyse in die Cloud des Herstellers. Mittels Black- und Whitelisting definieren die Systeme, welche Applikationen erlaubt sind und welche nicht. Außerdem legen die dazugehörigen Verhaltensregeln in vielen Fällen auch fest, welche Applikationen welche Dateitypen öffnen dürfen.

Eine proaktiv arbeitende Sicherheitslösung bringt den Vorteil mit, dass sie anders als traditionelle Produkte wie Virenscanner keine ständig einzuspielenden Pattern- oder Listen-Updates braucht, um Schädlinge zu erkennen. Sie analysiert im Gegensatz dazu, wie etwas das Produkt von SentinelOne, das Verhalten der Applikationen und unterbindet einfach jede Aktion, die verdächtig ist. So schützt sie auch gegen Zero-Day-Angriffe, unbekannte Angriffsmethoden und Angriffe gegen Third Party-Applikationen wie Java oder Flash. Ein manuelles Anlegen von Listen mit zugelassenen und gesperrten Programmen ist in diesem Fall überflüssig.

Eine andere Methode, die Ausführung von Malware zu verhindern, liegt – wie eben erwähnt – darin, die im Dateisystem festgelegten Rechte zu diesem Zweck zu nutzen. So hat zum Beispiel jede Datei in einem NTFS-Filesystem unter Windows einen Eigentümer. Das kann das System, die Administratorengruppe oder ein bestimmtes Benutzerkonto sein. Nehmen nun die Administratoren den Windows Installer und die Dienstkonten in die Liste der vertrauenswürdigen Benutzer auf und erlauben es ihrer Sicherheitslösung ausschließlich, Dateien auszuführen, die diesen Benutzern gehören, so unterbindet dies automatisch einen großen Teil sämtlicher Malware-Angriffe.

Im Betrieb stellt die Endpoint Protection-Lösung dann fest, welche Applikationen wem gehören und lässt nur diejenigen zu, die von vertrauenswürdigen Konten bereitgestellt wurden. Steckt zum Beispiel ein Anwender einen infizierten USB-Stick in seine Workstation ein und ruft eine Malware-Datei darauf auf, so unterbindet das Sicherheits-Tool die Ausführung dieses Files, da es einem „fremden“ Owner gehört. Das genannte Vorgehen ist nicht nur wirkungsvoll, sondern im Vergleich zur Konfiguration traditioneller Lösungen mit Black- und White-Lists auch relativ einfach einzurichten.

Device Management

Ein weiterer wichtiger Einsatzbereich für Endpoint Protection-Systeme ist das Device Management. Hierbei überwachen die Lösungen die Nutzung von USB-Sticks, Modems, Bluetooth- und IrDA-Komponenten sowie Disketten und ähnlichem. Welche Benutzer mit solchen Geräten was dürfen, ob die Daten darauf verschlüsselt werden oder nicht und was überhaupt darauf kopiert oder darüber übertragen wird, lässt sich ebenfalls über die Policies steuern. Zu den Herstellern, die Device Control-Funktionen anbieten, gehört beispielsweise Cylance.

Intrusion Prevention

Gute Endpoint Protection-Lösungen bringen wie gesagt auch Host-basierte Intrusion Prevention-Systeme (HIPS) mit. Das trifft beispielsweise auf die Produkte von Intel Security, Kaspersky, Panda Security und Trend Micro zu. Die HIPS schützen die Endgeräte im Netz vor Portscans, führen TCP-Integritätsprüfungen durch und so weiter.

Im Betrieb lassen sich von den Produkten übrigens oft Skripts nutzen, um automatische Aktionen anzustoßen: Zum Beispiel, wenn eine Datei ein bestimmtes Alter überschreitet oder wenn ein Benutzer aus einer anderen Gruppe kommt, als ein anderer. Damit besteht beispielsweise die Möglichkeit, einem IT-Mitarbeiter auf einem Endpoint andere Rechte zu erlauben, als einem Verwaltungsangestellten.

Überwachung

Damit die zuständigen Mitarbeiter stets darüber im Bilde sind, was in ihrem Netzwerk vorgeht, spielen auch die Überwachungsfunktionen der Endpoint Protection-Lösungen eine große Rolle. Üblicherweise erfolgt das Monitoring genau wie die Konfiguration über das zentrale Management-Werkzeug, das zu diesem Zweck ein Dashboard und meist auch eine Monitoring-Seite mit Listen der Clients und ihrem Status zur Verfügung stellt.

Abgesehen von den Echtzeit Monitoring-Features spielen in der Praxis auch Protokoll- und Logging-Funktionen eine große Rolle. Die erzeugten Reports sollten automatisch per Mail an die verantwortlichen Mitarbeiter gehen und Aufschluss über die von jeder definierten Regel angestoßenen Aktionen geben. Darüber hinaus muss auch eine Filterfunktion vorhanden sein, die das schnelle und effiziente Durchsuchen der Protokolleinträge möglich macht. Dies spielt nicht nur eine wichtige Rolle, damit die IT-Abteilung selbst immer gut informiert ist, sondern auch aus Compliance-Gründen.

Marktteilnehmer

Kommen wir nun zu den wichtigsten Marktteilnehmern bei den Endpoint Protection-Lösungen: Laut Gartner sind das 360 Enterprise Group, Ahn Lab, Bitdefender, Comodo, Eset, F-Secure, G Data, Malwarebytes, Panda Security und Webroot als Nischen-Player. Die Visionäre heißen Carbon Black, CrowdStrike, Cylance, Invincea, Palo Alto Networks und SentinelOne. Zu den Challengers gehören McAfee und Microsoft und als Leaders stuft Gartner Kaspersky Lab, Sophos, Symantec und Trend Micro ein.

Fazit

Endpoint Protection-Produkte sind heute aus Unternehmensnetzen aller Größen nicht mehr wegzudenken. Sie stellen einen wichtigen Schutzfaktor gegen Ransomware und andere Angriffe, die gezielt gegen Unternehmenskomponenten ausgeführt werden, dar. Außerdem helfen sie beim Einhalten von Compliance-Vorschriften und bieten eine zusätzliche Schutzschicht gegen Malware, die deutlich über das hinausgeht, was Antivirus-Lösungen und Firewalls bieten können.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45038896 / Endpoint)