Endpoint Security - Enderätesicherheit

Anne Aarness - Januar 18, 2022

Was ist Endgerätesicherheit?

Bei Endgerätesicherheit bzw. Endgeräteschutz geht es um ein Cybersicherheitskonzept, bei dem Endgeräte (z. B. Desktops, Laptops und Mobilgeräte) vor schädlichen Aktivitäten geschützt werden sollen.

Gartner definiert eine Endgeräteschutz-Plattform (EPP) als Lösung, die eingesetzt wird, um „dateibasierte Malware-Angriffe zu verhindern, schädliche Aktivitäten zu erkennen und über die erforderlichen Untersuchungs- und Behebungsmöglichkeiten zu verfügen, um auf dynamische Sicherheitszwischenfälle und Warnmeldungen reagieren zu können“.

Was ist ein Endgerät?

Ein Endgerät ist ein beliebiges Gerät, das von außerhalb der Firewall eine Verbindung zum Unternehmensnetzwerk herstellt. Beispiele für Endgeräte:

  • Laptops
  • Tablets
  • Mobilgeräte
  • IoT-Geräte (Internet of Things)
  • PoS-Systeme (Point-of-Sale)
  • Switches
  • Drucker
  • Andere Geräte, die mit dem zentralen Netzwerk kommunizieren

Warum ist Endgerätesicherheit wichtig?

Eine Sicherheitsstrategie für Endgeräte ist erforderlich, weil jedes Remote-Endgerät das Einfallstor für einen Angriff darstellen kann. Zudem wächst die Zahl der Endgeräte aufgrund des rasanten pandemiebedingten Umstiegs ins Homeoffice enorm. Laut einer Umfrage von Gallup arbeitete 2020 ein Großteil der Angestellten in den USA im heimischen Büro, von wo aus auch im April 2021 noch 51 % tätig waren. Die Risiken, die von den Endgeräten und den darauf befindlichen vertraulichen Daten ausgehen, sind nach wie vor eine Herausforderung.

Die eingesetzten Endgeräte verändern sich ständig und mittlerweile sind Unternehmen aller Größenordnungen begehrte Ziele für Cyberangriffe. Dies ist allgemein bekannt und auch kleineren Unternehmen bewusst. In einer 2020 von Connectwise durchgeführten Studie gaben 77 % der 700 befragten Entscheidungsträger in kleinen und mittleren Unternehmen an, dass sie in den nächsten sechs Monaten einen Angriff gegen ihr Unternehmen befürchten.

Letztes Jahr verzeichnete das FBI in seinem Internet Crime Report einen Anstieg der Beschwerden um 300.000 gegenüber 2019. Die Verluste beliefen sich auf insgesamt mehr als 4,2 Milliarden US-Dollar. Wie der Verizon Data Breach Investigations Report 2021 feststellte, „wird die Asset-Landschaft nach wie vor von Servern dominiert, da Web-Apps und E-Mail-Services häufig in Zwischenfälle verwickelt sind. Arbeitnehmer sind weiterhin stark von Social-Engineering-Angriffen betroffen. Wir beobachten immer häufiger, dass Angriffe nicht mehr Geräte ins Visier nehmen, sondern für Betrug und Spionage vorrangig auf Phishing-E-Mails und Websites setzen.“

Jede Datenkompromittierung kostet weltweit im Schnitt 3,86 Millionen US-Dollar – in den USA sind es durchschnittlich 8,65 Millionen. Dies geht aus dem Cost of a Data Breach Report 2020 des Ponemon Institute hervor, der im Auftrag von IBM erstellt wurde. Die Studie ergab außerdem, dass der größte finanzielle Schaden einer Kompromittierung auf „entgangene Geschäfte“ zurückzuführen ist. Dieser Posten macht fast 40 % der durchschnittlichen Kosten einer Datenkompromittierung aus.

Der Schutz von Endgeräten vor Angriffen ist eine besondere Herausforderung, da Endgeräte die Schnittstelle zwischen Mensch und Maschine bilden. Für Unternehmen ist es ein Balanceakt, einerseits Schutz zu gewährleisten und dennoch die legitimen Aktivitäten ihrer Mitarbeiter nicht zu beschneiden. Einige technische Lösungen sind durchaus sehr effektiv, doch auch damit lässt sich die Wahrscheinlichkeit, dass ein Mitarbeiter auf einen Social-Engineering-Angriff hereinfällt, zwar minimieren, aber nicht vollständig beseitigen.

So funktioniert Endgeräteschutz

Die Begriffe Endgeräteschutz, Endgeräteschutz-Plattform (EPP) und Endgerätesicherheit sind bedeutungsgleich. Sie alle beschreiben zentral verwaltete Sicherheitslösungen, die Unternehmen einsetzen, um ihre Endgeräte wie Server, Workstations, Mobilgeräte und Workloads vor Cyberbedrohungen zu schützen. Endgeräteschutz-Lösungen untersuchen Dateien, Prozesse und Systemaktivitäten auf Anzeichen verdächtiger oder schädlicher Bewegungen.

Endgeräteschutz-Lösungen bieten eine zentrale Verwaltungskonsole, über die Administratoren eine Verbindung zu ihrem Unternehmensnetzwerk herstellen können, um Zwischenfälle zu überwachen und zu untersuchen, davor zu schützen und darauf zu reagieren. Dazu wird entweder eine lokaler, ein cloudbasierter oder ein Hybridansatz verfolgt.

Als herkömmlichen oder Legacy-Ansatz bezeichnet man oft ein lokales Sicherheitskonzept, das auf einem gehosteten Rechenzentrum basiert, über das Sicherheitsmaßnahmen bereitgestellt werden. Das Rechenzentrum fungiert als Hub für die Verwaltungskonsole, um die Endgeräte über einen Agenten zu erreichen und dort Sicherheit zu gewährleisten. Dieses Hub-and-Spoke-Modell kann jedoch zu Sicherheitssilos führen, da Administratoren in der Regel nur innerhalb ihres Perimeters Endgeräte verwalten können.

Mit dem pandemiebedingten Umzug in das Homeoffice haben viele Unternehmen auf Laptops als Desktop-Ersatz und auf private Mitarbeitergeräte (Bring Your Own Device, BYOD) umgestellt. Diese Veränderung sowie die Globalisierung der Belegschaften machen die Grenzen des lokalen Ansatzes deutlich. Einige Anbieter für Endgeräteschutz-Lösungen setzen seit einigen Jahren auf ein Hybridkonzept. Dabei wird ein Legacy-Architekturdesign für die Cloud nachgerüstet, um auf diese Weise einige Cloud-Funktionen zu gewinnen.

Der dritte Ansatz ist eine cloudnative Lösung, die in die Cloud integriert und für die Cloud konzipiert ist. Über eine zentrale Verwaltungskonsole können Administratoren Endgeräte remote überwachen und verwalten. Die cloudbasierte Konsole stellt über einen Agenten auf dem Endgerät remote die Verbindung zu Geräten her. Der Agent kann über die Konsole oder, falls keine Internetverbindung verfügbar ist, auch eigenständig die Sicherheit des Endgeräts gewährleisten. Bei diesen Lösungen kommen Cloud-Kontrollen und -Richtlinien zum Einsatz. Diese verbessern die Sicherheit auch jenseits des herkömmlichen Perimeters, indem sie Silos beseitigen und den Aktionsradius des Administrators vergrößern.

Endgeräteschutz-Software und Virenschutz-Software im Vergleich

Endgeräteschutz-Software schützt Endgeräte vor Kompromittierung – ganz gleich, ob es sich um physische oder virtuelle Geräte handelt oder ob diese sich im Rechenzentrum oder in der Cloud befinden. Die Software lässt sich auf Laptops, Desktops, Servern, virtuellen Maschinen und auf den Remote-Endgeräten selbst installieren.

Virenschutz-Software ist meist Teil einer Sicherheitslösung für Endgeräte und gilt in der Regel als einfachere Form von Endgeräteschutz. Anstatt erweiterte Techniken und Praktiken zu verwenden (z. B. Bedrohungssuche und endpunktbasierte Detektion und Reaktion (EDR)), werden von dieser Software lediglich bekannte Viren und andere Arten von Malware aufgespürt und entfernt. Herkömmliche Virenschutz-Software wird im Hintergrund ausgeführt. Dabei werden die Inhalte eines Geräts regelmäßig auf Muster überprüft, die mit den Virensignaturen einer hinterlegten Datenbank übereinstimmen. Die Software wird auf einzelnen Geräten innerhalb und außerhalb der Firewall installiert.

Kernfunktionen einer Endgeräteschutz-Lösung

Sicherheitstools für Endgeräte, die kontinuierlichen Schutz vor Kompromittierungen bieten sollen, müssen die folgenden Basiselemente beinhalten:

1. Prävention: NGAV

Durch herkömmliche Virenschutzlösungen werden weniger als die Hälfte aller Angriffe erkannt. Sie vergleichen schädliche Signaturen bzw. Code-Bestandteile mit einer Datenbank, die bei jeder Identifizierung einer neuen Malware-Signatur von Beitragenden aktualisiert wird. Das Problem dabei: Malware, die noch nicht identifiziert wurde, so genannte unbekannte oder Zero-Day-Malware, ist nicht in der Datenbank enthalten. Zwischen der Einschleusung von Malware und ihrer Erkennung durch herkömmliche Virenschutzlösungen besteht dadurch eine Lücke.

Virenschutz der nächsten Generation (NGAV) schließt diese Lücke durch den Einsatz erweiterter Endgeräteschutz-Technologien wie künstliche Intelligenz (KI) und Machine Learning. Diese Technologien identifizieren neue Malware, indem sie weitere Elemente untersuchen, darunter Datei-Hashes, URLs und IP-Adressen.

2. Erkennung: EDR

Prävention allein ist nicht ausreichend. Keine Abwehr ist perfekt und einigen Angreifern wird es immer gelingen, die Verteidigungslinien zu durchbrechen und in das Netzwerk einzudringen. Herkömmliche Sicherheitslösungen bekommen dies oft gar nicht mit. So können sich Angreifer unbemerkt über Tage, Wochen oder sogar Monate in der Umgebung aufhalten. Unternehmen müssen diese „lautlosen Attacken“ stoppen, indem sie die Angreifer schnell ausfindig machen und entfernen.

Damit dies gelingt, muss eine Lösung für endpunktbasierte Detektion und Reaktion (EDR) kontinuierlich, umfassend und in Echtzeit Einblick in die Aktivitäten auf den Endgeräten bieten. Unternehmen sollten sich für Lösungen entscheiden, die erweiterte Funktionen für die Erkennung und Untersuchung von Bedrohungen sowie für die Reaktion auf Bedrohungen bieten. Dazu gehören beispielsweise Ermittlung und Untersuchung von Zwischenfalldaten, Triagierung von Warnmeldungen, Validierung verdächtiger Aktivitäten, Bedrohungssuche sowie die Erkennung und Eindämmung schädlicher Aktivitäten.

3. Verwaltete Bedrohungssuche

Nicht alle Angriffe sind allein durch Automatisierung erkennbar. Auch das Know-how der Sicherheitsexperten ist ausschlaggebend für die Erkennung hochentwickelter Angriffe.

Die verwaltete Bedrohungssuche wird von Spezialteams durchgeführt. Dabei werden Erkenntnisse aus vergangenen Zwischenfällen herangezogen und mit Crowdsourcing-Daten zusammengeführt, um daraus Empfehlungen für die optimale Reaktion auf erkannte schädliche Aktivitäten abzuleiten.

4. Integration von Bedrohungsdaten

Um Angreifern einen Schritt voraus zu sein, müssen Unternehmen die Bedrohungen noch in der Entwicklungsphase nachvollziehen können. Raffinierte Gegner und hochentwickelte hartnäckige Bedrohungen (APTs) können sich schnell und unerkannt fortbewegen. Sicherheitsteams brauchen daher aktuelle und genaue Informationen, um die Abwehrmechanismen automatisch und präzise justieren zu können.

Eine Lösung für integrierte Bedrohungsanalyse sollte automatisierte Funktionen beinhalten, damit alle Zwischenfälle innerhalb weniger Minuten untersucht und entsprechende Erkenntnisse daraus abgeleitet werden können. Sie sollte benutzerdefinierte Kompromittierungsindikatoren (IOCs) direkt auf den Endgeräten generieren, damit zukünftige Angriffe proaktiv abgewehrt werden können. Aber auch auf die menschliche Komponente kommt es an. Sicherheitsforscher, Bedrohungsanalysten, Kulturexperten und Linguisten leisten einen wichtigen Beitrag, indem sie aufkommende Bedrohungen in verschiedenste Kontexte setzen.

Die Vorteile einer cloudbasierten Architektur

list of benefits of cloud-native endpoint security

1. Ein schlanker Agent

Endgeräteschutz ist kompliziert, aber die Lösung dafür sollte einfach sein. Der beste Ansatz ist ein einziger schlanker Agent, der mit nur geringfügigen Auswirkungen auf die Leistung der Endgeräte sofort implementiert und schnell skaliert werden kann.

2. Machine Learning

Die Lösung sollte Machine Learning umfassen, damit sie neue Angriffe erfassen und daraus lernen kann. Diese Fähigkeit ermöglicht das Crowdsourcing von Informationen zu Angriffstechniken im großen Maßstab und in Echtzeit.

3. Vereinfachte Verwaltung

Cloudbasierte Endgerätesicherheit reduziert den Verwaltungsaufwand in mehrfacher Hinsicht. Beispiel: Der Upgrade-Prozess für eine herkömmliche Lösung richtet sich nach dem Zeitplan des Anbieters, der durchaus ein Intervall von einem Jahr vorsehen kann.

In diesem Jahr haben Angreifer genügend Zeit, ihre Techniken zu verfeinern, d. h. wenn das Upgrade auf den Kundensystemen implementiert wird, ist es bereits veraltet. Cloudbasierte Plattformen werden in Echtzeit aktualisiert und ihre Algorithmen regelmäßig angepasst. Die im Einsatz befindliche Version ist stets die neueste Version.

4. Schutz innerhalb und außerhalb des Netzwerks

Homeoffice, Virtualisierung und die Cloud führen dazu, dass Ressourcen nicht immer direkt mit dem Unternehmensnetzwerk verbunden sind. Es ist daher wichtiger denn je, dass eine Endgerätelösung in der Lage ist, Bedrohungen auch dann zu erkennen, wenn das Gerät nicht mit dem Netzwerk verbunden oder wenn es ausgeschaltet ist. Ohne einen umfassenden Überblick über alle Geräte innerhalb und außerhalb des Netzwerks weist Ihre Verteidigung blinde Flecken auf und bietet Bedrohungsakteuren zahlreiche Möglichkeiten, unerkannt einzudringen.

Die cloudbasierte Architektur von CrowdStrike bietet kontinuierlichen Einblick in die Schwachstellen der Endgeräte, ohne dass dazu ressourcenintensive Netzwerk- oder Hostscans durchgeführt werden müssen. Ob innerhalb oder außerhalb des Netzwerks, lokal oder in der Cloud – der schlanke Falcon-Sensor unterstützt die Datenverarbeitung und Entscheidungsfindung auf dem Endgerät. Mithilfe von Machine Learning auf dem lokalen Host bietet der Agent Schutz vor bekannter und unbekannter Malware, Zero-Day Exploits und Hash-Blockierung.

5. Aktuelle Informationen zu Angreifern

Die Angreifer von heute verfügen über ein dickes Finanzpolster und gehen sehr professionell vor. Sie besorgen sich herkömmliche Endgeräteschutz-Lösungen, installieren sie in fiktiven Umgebungen und untersuchen dann, wie sie die Abwehr umgehen können.

Bei einer Lösung mit cloudbasierter Architektur ist dies nicht möglich. Angreifer könnten zwar die Endgerätesensoren ebenfalls kaufen und installieren, allerdings würden die Versuche der Angreifer, das System zu knacken, direkt im Blickfeld des Lösungsanbieters stattfinden. Hier wird der Spieß umgedreht: Der Angreifer findet nicht heraus, wie die Lösung funktioniert, sondern der Lösungsanbieter erfährt, wie der Angreifer vorgeht.

CrowdStrike-Produkte für erweiterten Endgeräteschutz

Unternehmen wünschen sich eine schnelle und kontinuierliche Erkennung, Prävention und Reaktion. Dazu benötigen sie einen umfassenden Überblick über alle Endgeräte und die Fähigkeit, raffinierte Angriffe in Echtzeit zu verhindern und persistente Angreifer daran zu hindern, in Umgebungen einzudringen und Daten zu stehlen.

CrowdStrike bietet einen ganz neuen Ansatz für Endgerätesicherheit. Im Gegensatz zu herkömmlichen oder Netzwerk-Sicherheitslösungen führt die Endgeräteschutz-Lösung von CrowdStrike die Technologien zusammen, die für die erfolgreiche Abwehr von Angriffen erforderlich sind. Dazu gehören effizienter Virenschutz der nächsten Generation (NGAV) und endpunktbasierte Detektion und Reaktion (EDR), verwaltete Bedrohungssuche und automatisierte Bedrohungsanalysen. All dies wird über einen einzigen schlanken Agenten bereitgestellt. Falcon Enterprise beinhaltet die folgenden Module:

  • Die NGAV-Lösung von CrowdStrike, Falcon Prevent™, erkennt sowohl bekannte als auch unbekannte Varianten von Malware zu 100 % – mit einer False-Positive-Rate von 0 %. Gartner, Forrester und andere Branchenanalysten bewerten Falcon Prevent als branchenweit erstes „bestätigtes NGAV-Produkt“.
  • Falcon Insight™ EDR erfasst und untersucht Ereignisinformationen in Echtzeit, um Angriffe auf Endgeräten zu erkennen und zu verhindern. Aufbauend auf der cloudnativen Architektur von CrowdStrike protokolliert Falcon Insight sämtliche relevanten Aktivitäten, um gründliche Echtzeit-Analysen und nachträgliche Prüfungen zu unterstützen. Auf diese Weise können Sicherheitsteams Zwischenfälle schnell untersuchen und zeitnah auf Zwischenfälle reagieren, die von herkömmlichen Präventionsmaßnahmen nicht abgedeckt werden.
  • Das Team von CrowdStrike Falcon OverWatch™ ist die perfekte Ergänzung der automatisierten Erkennung. Mit einem der kompetentesten Teams der Branche und CrowdStrike Threat Graph™ (einer Datenbank, die pro Woche mehr als 6 Billionen Ereignisse verarbeitet), identifiziert und stoppt Falcon OverWatch jedes Jahr über 30.000 Kompromittierungsversuche. Sobald eine Bedrohung erkannt wird, kann das OverWatch-Team innerhalb von Sekunden eingreifen.
  • Mit der CrowdStrike Falcon Intelligence-Plattform, die sowohl Bedrohungsanalyse als auch Endgeräteschutz beinhaltet, wird vorhersagbare Sicherheit Realität. Falcon Intelligence eignet sich für Unternehmen jeder Größenordnung und bietet sofortige Analysen sämtlicher Bedrohungen, die die Endgeräte des Unternehmens erreicht haben. Mit Falcon Intelligence sind Unternehmen den Aktivitäten von Bedrohungsakteuren stets einen Schritt voraus.

WEITERE INFORMATIONEN

Möchten Sie die CrowdStrike Falcon-Plattform in Aktion sehen? Sehen Sie sich diese On-Demand-Demo der CrowdStrike-Plattform für Endgeräteschutz an.

INFORMATIONEN ZUM AUTOR

Anne Aarness ist Senior Manager, Produktmarketing bei CrowdStrike mit Sitz in Sunnyvale, Kalifornien.