08.09.2020
 

Am Anfang und am Ende ist der Endpoint

Am Anfang und am Ende ist der Endpoint

Trotz aktuellem Cloud-Hype darf in der Cyber Security nicht vergessen werden, dass man auf alle Services immer noch mit einem Computer (Endpoint Device) zugreift. Ist das Endpoint Device unsicher, leidet darunter die komplette IT Sicherheit. Mittlerweile gehört ein Basis-Virenschutz zum Standardrepertoire von fast jedem Betriebssystem.  Sich einfach blind darauf zu verlassen, dass der Hersteller des Betriebssystems gratis einen Rundumschutz gegen bösen Code aller Art liefert, wäre wahrscheinlich schon ein wenig naiv, denn die Entwicklung und laufende Weiterentwicklung einer effektiven Malware Protection ist aufwändig und teuer. Gratisschutz liefert dementsprechend eine gewisse Grundabwehr gegen digitale Schädlinge, kann aber nie als vollwertiger Ersatz für die Enterprise Version einer Endpoint-Protection Suite herhalten.

Technologie und Innovation ist nicht gratis 

Angreifer überlegen permanent, wie ein Endpoint Device vollständig übernommen werden kann, um darüber einen Zugriff auf weitere Unternehmensressourcen zu realisieren. Dadurch finden sie immer gewieftere Methoden, die vom Betriebssystem eingebaute Sicherheit zu überwinden.  So war auch die Antiviren-Industrie gezwungen, sich neu zu erfinden und das Konzept des Next Generation Malware Protection wurde ins Leben gerufen.

Next Generation Malware Protection ist analog zu der namensgebenden Firewall Technology nicht EINE Methode zur Erkennung und Eliminierung von bösem Computercode, vielmehr ist es eine Sammlung aus verschiedenen Technologien, die je nach Hersteller in diversen Konstellationen miteinander kombiniert werden können.

  • Datensicherheit: Es wird sichergestellt, dass die Daten, die sich auf einem Endpoint befinden, nicht unautorisiert geändert werden können. Ein aktuelles Beispiel hierfür wäre das Verhindern der Datenverschlüsselung durch Ransomware.
  • Erweiterte Bedrohungsabwehr: Um sogenannte Zero-Day-Exploits abzuwehren, die mit traditionellen Signaturen nicht erkannt werden können (weil das Exploit zuerst bekannt sein muss, bevor eine Signatur geschrieben werden kann), wird auch vermehrt Machine Learning aus der Cloud oder lokal auf dem Endpoint eingesetzt. Somit kann "verdächtiges" Verhalten von Dateien detektiert werden, bevor es Schaden anrichtet.
  • Forensik: 100% Sicherheit gibt es nicht. Darum ist es wichtig, dass nach einem erfolgreichen Einbruchsversuch erkannt wird, dass eingebrochen wurde und dass genügend Daten zur lückenlosen Aufklärung des Einbruchs zur Verfügung stehen.
  • Endpoint Detection and Response (EDR): Der Detection Teil einer EDR Lösung geht Hand in Hand mit Forensik-Funktionalität, indem kontinuierlich überwacht wird, was auf dem Endpoint für Applikationen mit welchen Rechten laufen.  Sollten im Zuge dieser Überwachung Ungereimtheiten festgestellt werden, ist es möglich, automatisch darauf zu antworten, indem zum Beispiel der Endpoint vom restlichen Netzwerk isoliert wird.
  • und evtl. sogar noch Remote Access VPN- und weitere Lösungen: Je nach Hersteller besteht das Bestreben, weitere Funktionalitäten aus seinem Portfolio in die Endpoint Protection einzubauen. Dies passiert hauptsächlich, damit der Kunde nicht viele verschiedene Agents auf seinem Endpoint installieren muss, sondern alles mit einem einzigen Agent erledigen kann.

Ich sehe was, was Du nicht siehst

Wie bei allen seriösen Sicherheitslösungen besteht auch bei der Endpoint Protection das Bestreben nach erweiterter Visualität, was dank der Forensik-Funktionalität auch kein Problem darstellt. Die Daten, welche vom Endpoint an ein SIEM geliefert werden können, zählen zu den wertvollsten Sicherheitsdaten überhaupt. Man weiß genau, welche Prozesse wann auf einem Endpoint laufen und wer zu welchem Zeitpunkt angemeldet ist. Die Daten sind also vorhanden, müssen aber entsprechend weiterverarbeitet werden. Dies geschieht am besten in einer SIEM Lösung, damit die Informationen mit weiteren relevanten Daten korreliert werden können und somit helfen, ein Gesamtbild des Sicherheitszustandes eines Unternehmens herzustellen.

Endpoint Security sollte also auch in Zeiten von Gratis-Abwehrprogramen nicht bagatellisiert werden, sondern gehört auch weiterhin zu den Kern-Disziplinen einer erfolgreichen Cyber-Abwehr-Strategie.

T-Systems hat Endpoint Schutz von verschiedenen Herstellern im Portfolio und kann Ihnen helfen, Ihre Endpoints kostengünstig und effizient sicher zu halten. Unsere gemanagten Services rund um die Endpoint Security nehmen Ihnen hierbei die komplette Administration ab und selbstverständlich bieten wir auch Lösungen an, wie Sie Endpoint Security in Ihr SIEM integrieren können.

 

Weitere Infos finden Sie unter www.t-systems.com/at/de/security

 

Weitere interessante Beiträge



Werden auch Sie Teil der LSZ Community!

Einfach unverbindlich anmelden und wir halten Sie mit aktuellen Beiträen und Infos zu Veranstaltungen am Laufenden. 

Communities


Welche Communities sind für Sie interessant?

Checks

Ja, ich habe die AGB gelesen und akzeptiert.*
Ja, ich habe die Datenschutzerklärung gelesen und akzeptiert. Die Einwilligung kann ich jederzeit widerrufen.*