:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Endgerätesicherheit Grundlagen der Endpoint Security
Endpoint Protection-Lösungen sichern die Workstations und Server im Netz gegen Angriffe aller Art ab. Sie bestehen üblicherweise einerseits aus einer zentralen Verwaltungskonsole, über die die zuständigen Mitarbeiter die Konfiguration vornehmen, und andererseits Agenten, die auf den zu sichernden Clients laufen und dort die Policies umsetzen, die im Management-Tool festgelegt wurden. Security-Insider zeigt, welche Funktionen ein gutes Endpoint Protection-Produkt mitbringen sollte und stellt außerdem die wichtigsten Hersteller in diesem Bereich vor.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Eine Endpoint-Protection-Lösung lässt sich einsetzen, um die Rechner und mobile Devices im Netz vor den unterschiedlichsten Malware-Bedrohungen, wie beispielsweise Trojanern oder Ransomware zu schützen. Dazu überwacht sie alle auf den Computern ablaufenden Aktivitäten und unterbindet potentiell gefährliche Aktionen. So schützt sie beispielsweise die Interprozesskommunikation im Speicher und sorgt dafür, dass Malware nicht durch Overflows an höhere Privilegien gelangen kann. Abgesehen davon gehören in der Regel – wie etwa bei dem Produkt von Kaspersky – Echtzeit-Code-Analysen, URL-Filter und Vulnerability-Shields mit zum Leistungsumfang von Endpoint Protection-Lösungen. Weitere wichtige Funktionalitäten für solche Systeme sind Data Loss Prevention (DLP), Datenverschlüsselung und Enterprise Mobility Management (EMM).
Viele, der auch vom Analystenhaus Gartner aufgelisteten Endpoint-Protection-Plattformen bringen zusätzlich zu den genannten Funktionen auch noch Intrusion Protection Systeme (IPS) für die Clients mit. Das gleiche gilt für Firewalls und Sandboxes. Letztere gehören zum Beispiel bei den Produkten von ESET und F-Secure zum Leistungsumfang. Nicht alle Produkte bieten sämtliche genannten Funktionen, deswegen gehen wir in diesem Beitrag auch nur auf die wesentlichsten Features ein. Im Betrieb lassen sich die Endpoint Protection-Lösungen üblicherweise parallel zu anderen Sicherheitswerkzeugen, wie zum Beispiel Antiviren-Programmen, einsetzen.
Damit realisieren die Produkte eine zusätzliche Schutzschicht im Unternehmensnetz, die heutzutage wegen der immer besser an die Zielsysteme angepassten Angriffe und auch wegen der Vielzahl der Ransomware-Attacken zunehmend unverzichtbar wird. Sie stellt eine Ergänzung dar zu Sicherheitsschulungen der Mitarbeiter, zum Einsatz von Firewalls und Virenscannern und zum regelmäßigen Einspielen von Patches. Moderne Endpoint Protection-Produkte, wie etwa die Lösung von Cylance, lassen sich sowohl in der Cloud als auch on-premise betreiben. Im täglichen Einsatz legen die Administratoren über ihre zentrale Verwaltungskonsole fest, wie sich die auf den Clients laufenden Agenten verhalten sollen. Die gleiche Konsole kommt auch dazu zum Einsatz, die Agenten dann im laufenden Betrieb zu überwachen. Gehen wir nun aber auf die Technologien ein, die eine gute Endpoint Protection-Plattform mitbringen sollte.
:quality(80)/images.vogel.de/vogelonline/bdb/1326800/1326866/original.jpg "Das Dashboard der Lösung von Malwarebytes.")
:quality(80)/images.vogel.de/vogelonline/bdb/1326800/1326867/original.jpg "SentinelOne zeigt grafische "Attack Story Lines".")
:quality(80)/images.vogel.de/vogelonline/bdb/1326800/1326868/original.jpg "Die Endpoint-Protection von McAfee gehört laut Gartner zu den "Challengers".")
:quality(80)/images.vogel.de/vogelonline/bdb/1326800/1326869/original.jpg "Cylance liefert ein Dashboard mit "Threat Classifications".")
Applikationskontrolle
Das erste und wohl wichtigste Feature in diesem Zusammenhang stellt die Anwendungskontrolle dar. Sie sorgt entweder durch Black- und Whitelists, eine proaktiv arbeitende Überwachungstechnologie oder den restriktiven Einsatz der Dateiausführungsrechte dafür, dass nur die Anwendungen auf einem Rechner laufen dürfen, die zugelassen und sicher sind. Oftmals, wie beispielsweise bei den Lösungen von Comodo und Palo Alto Networks, schicken die Sicherheitstools unbekannte Anwendungen – beziehungsweise Dateien – zusätzlich zur Analyse in die Cloud des Herstellers. Mittels Black- und Whitelisting definieren die Systeme, welche Applikationen erlaubt sind und welche nicht. Außerdem legen die dazugehörigen Verhaltensregeln in vielen Fällen auch fest, welche Applikationen welche Dateitypen öffnen dürfen.
Eine proaktiv arbeitende Sicherheitslösung bringt den Vorteil mit, dass sie anders als traditionelle Produkte wie Virenscanner keine ständig einzuspielenden Pattern- oder Listen-Updates braucht, um Schädlinge zu erkennen. Sie analysiert im Gegensatz dazu, wie etwas das Produkt von SentinelOne, das Verhalten der Applikationen und unterbindet einfach jede Aktion, die verdächtig ist. So schützt sie auch gegen Zero-Day-Angriffe, unbekannte Angriffsmethoden und Angriffe gegen Third Party-Applikationen wie Java oder Flash. Ein manuelles Anlegen von Listen mit zugelassenen und gesperrten Programmen ist in diesem Fall überflüssig.
Eine andere Methode, die Ausführung von Malware zu verhindern, liegt – wie eben erwähnt – darin, die im Dateisystem festgelegten Rechte zu diesem Zweck zu nutzen. So hat zum Beispiel jede Datei in einem NTFS-Filesystem unter Windows einen Eigentümer. Das kann das System, die Administratorengruppe oder ein bestimmtes Benutzerkonto sein. Nehmen nun die Administratoren den Windows Installer und die Dienstkonten in die Liste der vertrauenswürdigen Benutzer auf und erlauben es ihrer Sicherheitslösung ausschließlich, Dateien auszuführen, die diesen Benutzern gehören, so unterbindet dies automatisch einen großen Teil sämtlicher Malware-Angriffe.
Im Betrieb stellt die Endpoint Protection-Lösung dann fest, welche Applikationen wem gehören und lässt nur diejenigen zu, die von vertrauenswürdigen Konten bereitgestellt wurden. Steckt zum Beispiel ein Anwender einen infizierten USB-Stick in seine Workstation ein und ruft eine Malware-Datei darauf auf, so unterbindet das Sicherheits-Tool die Ausführung dieses Files, da es einem „fremden“ Owner gehört. Das genannte Vorgehen ist nicht nur wirkungsvoll, sondern im Vergleich zur Konfiguration traditioneller Lösungen mit Black- und White-Lists auch relativ einfach einzurichten.
Device Management
Ein weiterer wichtiger Einsatzbereich für Endpoint Protection-Systeme ist das Device Management. Hierbei überwachen die Lösungen die Nutzung von USB-Sticks, Modems, Bluetooth- und IrDA-Komponenten sowie Disketten und ähnlichem. Welche Benutzer mit solchen Geräten was dürfen, ob die Daten darauf verschlüsselt werden oder nicht und was überhaupt darauf kopiert oder darüber übertragen wird, lässt sich ebenfalls über die Policies steuern. Zu den Herstellern, die Device Control-Funktionen anbieten, gehört beispielsweise Cylance.
Intrusion Prevention
Gute Endpoint Protection-Lösungen bringen wie gesagt auch Host-basierte Intrusion Prevention-Systeme (HIPS) mit. Das trifft beispielsweise auf die Produkte von Intel Security, Kaspersky, Panda Security und Trend Micro zu. Die HIPS schützen die Endgeräte im Netz vor Portscans, führen TCP-Integritätsprüfungen durch und so weiter.
Im Betrieb lassen sich von den Produkten übrigens oft Skripts nutzen, um automatische Aktionen anzustoßen: Zum Beispiel, wenn eine Datei ein bestimmtes Alter überschreitet oder wenn ein Benutzer aus einer anderen Gruppe kommt, als ein anderer. Damit besteht beispielsweise die Möglichkeit, einem IT-Mitarbeiter auf einem Endpoint andere Rechte zu erlauben, als einem Verwaltungsangestellten.
Überwachung
Damit die zuständigen Mitarbeiter stets darüber im Bilde sind, was in ihrem Netzwerk vorgeht, spielen auch die Überwachungsfunktionen der Endpoint Protection-Lösungen eine große Rolle. Üblicherweise erfolgt das Monitoring genau wie die Konfiguration über das zentrale Management-Werkzeug, das zu diesem Zweck ein Dashboard und meist auch eine Monitoring-Seite mit Listen der Clients und ihrem Status zur Verfügung stellt.
Abgesehen von den Echtzeit Monitoring-Features spielen in der Praxis auch Protokoll- und Logging-Funktionen eine große Rolle. Die erzeugten Reports sollten automatisch per Mail an die verantwortlichen Mitarbeiter gehen und Aufschluss über die von jeder definierten Regel angestoßenen Aktionen geben. Darüber hinaus muss auch eine Filterfunktion vorhanden sein, die das schnelle und effiziente Durchsuchen der Protokolleinträge möglich macht. Dies spielt nicht nur eine wichtige Rolle, damit die IT-Abteilung selbst immer gut informiert ist, sondern auch aus Compliance-Gründen.
Marktteilnehmer
Kommen wir nun zu den wichtigsten Marktteilnehmern bei den Endpoint Protection-Lösungen: Laut Gartner sind das 360 Enterprise Group, Ahn Lab, Bitdefender, Comodo, Eset, F-Secure, G Data, Malwarebytes, Panda Security und Webroot als Nischen-Player. Die Visionäre heißen Carbon Black, CrowdStrike, Cylance, Invincea, Palo Alto Networks und SentinelOne. Zu den Challengers gehören McAfee und Microsoft und als Leaders stuft Gartner Kaspersky Lab, Sophos, Symantec und Trend Micro ein.
Fazit
Endpoint Protection-Produkte sind heute aus Unternehmensnetzen aller Größen nicht mehr wegzudenken. Sie stellen einen wichtigen Schutzfaktor gegen Ransomware und andere Angriffe, die gezielt gegen Unternehmenskomponenten ausgeführt werden, dar. Außerdem helfen sie beim Einhalten von Compliance-Vorschriften und bieten eine zusätzliche Schutzschicht gegen Malware, die deutlich über das hinausgeht, was Antivirus-Lösungen und Firewalls bieten können.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45038896)
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")