Was ist erweiterter Endgeräteschutz?
Erweiterter Endgeräteschutz schützt Systeme mithilfe von Machine Learning oder Verhaltensanalysen vor dateibasierten, dateilosen, skriptbasierten und Zero-Day-Bedrohungen. Herkömmliche, reaktive Endgeräteschutz-Tools wie Firewalls und Virenschutz-Software können Angriffe meist nur dann erkennen, wenn bereits Informationen über diese Bedrohungen vorhanden sind. Hochentwickelte Technologien gehen jedoch mehrere Schritte weiter und nutzen proaktivere Technologien wie Machine Learning und Verhaltensanalysen, um neue oder komplexe Bedrohungen zu identifizieren.
Da die Techniken zum Identifizieren und Blockieren hochentwickelter Bedrohungen auf Faktoren wie Verhaltensweisen und Interaktionen mit anderer verdächtiger Software basieren, können auch "Zero-Day"-Bedrohungen blockiert und eingedämmt werden, für die möglicherweise noch keine bekannten oder identifizierbaren Signaturen vorhanden sind. Diese Plattformen können sich auch mit anderen Sicherheitstools integrieren und so die Ereignisverwaltung konsolidieren sowie IT-Sicherheitsteams einen unternehmensweiten Überblick über verdächtiges Verhalten bieten.
Vorteile von Lösungen für erweiterten Endgeräteschutz
Unternehmen benötigen heute fortschrittlichen Schutz, um immer raffiniertere Bedrohungen abwehren zu können. Cyber-Kriminalität ist äußerst lukrativ. Angesichts der Aussicht auf so viel Geld entwickeln Cyber-Kriminelle ihre Taktiken zur Infiltration von IT-Systemen ständig weiter. So sind zum Beispiel kombinierte Angriffe üblich, bei denen mehrere Taktiken koordiniert werden, die für herkömmliche Sicherheitssysteme unverdächtig erscheinen. Zero-Day-Bedrohungen sind eine weitere häufige Angriffsform, die mit standardmäßigen signaturbasierten Scans nicht ohne weiteres identifiziert werden kann. Das Trellix-Bedrohungsforscherteam meldet täglich fast 400.000 neue Angriffsvarianten. Häufig handelt es sich dabei um Varianten bekannter Malware, die geringfügig verändert wurden, sodass sie sich reinen Signatur-Scans entziehen können.
Wie funktioniert erweiterter Endgeräteschutz?
Eine Lösung für erweiterten Endgeräteschutz umfasst mehrere, sich ergänzende Technologien, die eine potenzielle Bedrohung so früh wie möglich erkennen und verhindern, dass sie in das Netzwerk oder in die Datenbank gelangen kann. Darüber hinaus erfassen die hochentwickelten Tools Informationen dazu, wie die Bedrohung funktioniert und mit welchen Schritten die Anfälligkeit für das Endgerät reduziert werden kann. Einige Endgeräteschutz-Lösungen setzen auf ressourcenschonende Software-Agenten, die auf jedem Endgerät im Netzwerk installiert werden und Daten erfassen, Warnungen senden und Befehle implementieren. Es gibt jedoch auch Anbieter, die erweiterten Endgeräteschutz in Form einer Single-Agent-Architektur bereitstellen. Dieser Ansatz gewinnt aufgrund seines geringeren Platzbedarfs, der einfachen Bereitstellung und Verwaltung sowie der deutlich geringeren Redundanz von Verwaltungsaufgaben schnell an Verbreitung.
Eine Lösung für erweiterten Endgeräteschutz kann mehrere oder alle der folgenden Technologien oder Funktionen umfassen:
Machine Learning: Bei Machine Learning, einer Kategorie von künstlicher Intelligenz (KI), werden große Datenmengen analysiert, um das typische Verhalten von Benutzern und Endgeräten zu lernen. Wenn Machine Learning-Systeme ungewöhnliches Verhalten feststellen, können sie das IT-Personal warnen oder einen automatischen Sicherheitsprozess auslösen, z. B. die Bedrohung eindämmen, das Endgerät isolieren oder eine Warnung generieren. Machine Learning ist eine wichtige Methode zur Identifizierung von komplexen Endgerätebedrohungen sowie neuen oder Zero-Day-Bedrohungen.
Sicherheitsanalysen: Mit Sicherheitsanalyse-Tools werden Daten von Endgeräten und anderen Quellen erfasst und analysiert, um potenzielle Bedrohungen zu erkennen. Diese Tools helfen IT-Experten bei der Untersuchung von Sicherheitsverletzungen oder ungewöhnlichen Aktivitäten und der dabei entstandenen Schäden. Mithilfe von Sicherheitsanalysen können IT-Abteilungen verstehen, welche Schwachstellen möglicherweise zu einer Kompromittierung geführt haben und welche Maßnahmen ergriffen werden können, um zukünftige Angriffe zu verhindern.
Echtzeit-Bedrohungsdaten: Hochentwickelte Sicherheitslösungen ermöglichen die Einbindung von Echtzeit-Bedrohungsdaten von externen Sicherheitsanbietern und -behörden. Echtzeit-Updates zu den neuesten Malware-Varianten, Zero-Day-Bedrohungen und anderen Angriffstrends verkürzen die Zeit vom ersten Auftreten bis zur Eindämmung einer Bedrohung. Beispiele für Bedrohungsdaten-Feeds:
- Die Cyber Threat Alliance ist eine unabhängige Organisation, deren Mitglieder Informationen zu Cyber-Bedrohungen nahezu in Echtzeit austauschen. Zu den Mitgliedern dieser Organisation gehören viele der größten Cyber-Sicherheitsunternehmen.
- VirusTotal ist eine irische Sicherheits-Website, die Daten von zahlreichen Online-Scan-Modulen und Virenschutzprodukten aggregiert.
IoT-Sicherheit: Intelligente, internetfähige Geräte wie Industriesteuerungssysteme (ICS), medizinische Bildgebungssysteme, Bürodrucker und Netzwerk-Router sind allgegenwärtig. Laut dem Datenunternehmen IHS Markit wird die Anzahl der Geräte, die zum Internet der Dinge (IoT) gezählt werden, im Jahr 2030 weltweit 125 Milliarden erreichen. Viele dieser internetfähigen Geräte verfügen über keinerlei Sicherheitsfunktionen und sind für Cyber-Angriffe anfällig. Bereits ein einziges ungeschütztes Gerät genügt, um Hackern Zugang zum gesamten Netzwerk zu ermöglichen. Bei Industriesteuerungssystemen kann ein Angreifer über ein anfälliges Gerät wichtige Systeme (z. B. elektrische Netze) lahmlegen. Diese neuen Endgeräte können mit verschiedenen Sicherheitsmaßnahmen geschützt werden, z. B. Whitelisting (zum Blockieren nicht autorisierter Software oder IP-Adressen) und Dateiintegritätsüberwachung (z. B. zum Prüfen von Konfigurationen oder Software auf nicht autorisierte Änderungen).
Erkennung und Reaktion für Endgeräte: Erkennung und Reaktion für Endgeräte (Endpoint Detection and Response, EDR) ist nicht wirklich neu, angesichts immer raffinierterer Bedrohungen nimmt die Bedeutung dieser Technologie allerdings zu. EDR überwacht das Verhalten von Endgeräten oder Endbenutzern kontinuierlich auf verdächtiges Verhalten und erfasst Endgerätedaten für die Bedrohungsanalyse. EDR-Lösungen bieten teilweise Funktionen für automatisierte Reaktionen, z. B. zum Trennen infizierter Endgeräte vom Netzwerk, zum Beenden verdächtiger Prozesse, zum Sperren von Konten oder zum Löschen böswilliger Dateien.
Durch die zunehmende Cyber-Kriminalität und die immer raffinierteren Cyber-Angriffe sind alle Unternehmen einem Angriffsrisiko ausgesetzt. Ein Angriff, der zu längeren Ausfallzeiten oder zum Verlust oder Diebstahl von Daten führt, kann das betroffene Unternehmen erheblich beeinträchtigen. Nicht nur die Reputation bei Kunden und Anteilseignern wird erheblich beeinträchtigt. Zusätzlich zu den direkt durch den Angriff entstehenden Kosten können auch Strafzahlungen und Abfindungssummen in Millionenhöhe drohen.
Mit effektiven Sicherheitslösungen und geeigneten Sicherheitsprozessen lässt sich das Risiko von Cyber-Angriffen minimieren. Erweiterter Endgeräteschutz ist ein wichtiges Element der IT-Sicherheitsmaßnahmen, da jedes Endgerät – Desktop-PCs, Drucker ebenso wie Industriesteuerungssysteme – als Zugangspunkt zum Netzwerk missbraucht werden können.
Ältere reaktive, statische Endgeräteschutz-Lösungen sind nicht mehr in der Lage, geschäftstüchtige Hacker abzuwehren, zumal viele dieser Angriffe von professionell agierenden kriminellen Gruppen und staatlichen Akteuren finanziert werden. Fortschrittliche, dynamische Endgeräteschutz-Technologien wie Machine Learning, Analysen und Echtzeit-Aktualisierungen für Bedrohungsdaten spielen für die Sicherheit von IT-Systemen und Daten eine immer größere Rolle, da sie die Erkennung von mehr Bedrohungen in kürzerer Zeit ermöglichen.