Eine Plattform für Endpunktschutz (Endpoint Protection Platform, EPP) ist eine umfassende Sicherheitslösung, die auf Endgeräten zum Schutz vor Bedrohungen bereitgestellt wird.

Plattform für Endpunktschutz – Definition

EPP-Lösungen werden in der Regel in der Cloud verwaltet und nutzen Cloud-Daten, um erweiterte Überwachungsprozesse und Remote-Remediation zu unterstützen.
EPP-Lösungen verfügen über ein breites Spektrum an Sicherheitsfunktionen. Zu den grundlegenden Funktionen zählt Folgendes:

• Abwehr dateibasierter Malware
  
• Erkennung verdächtiger Aktivitäten mithilfe von Methoden, die von Indicators of Compromise (IOC) bis zu Verhaltensanalysen reichen
• Untersuchungs- und Remediation-Tools zum Behandeln von dynamischen Vorfällen und Benachrichtigungen

Plattformen für Endpunktschutz sind die neueste Entwicklung im Bereich Endpunktsicherheit. Sie wurden entwickelt, um Angreifer zu identifizieren, die die herkömmliche Endpunktsicherheit umgehen können, und um komplexe Sicherheitsstacks zu konsolidieren. Mit der Konsolidierung geht ein verbesserter Datenaustausch einher, wodurch wiederum Analysefunktionen zum Erkennen von verdächtigem Verhalten optimiert werden. Zudem werden Sicherheitsabläufe erheblich vereinfacht.

Ein weiterer wichtiger Vorteil von Plattformen für Endpunktschutz ist der Umstieg auf die Cloud. Cloudnative EPPs verwenden einen einzigen schlanken Agent, um sämtliche Endpunkte zu überwachen. Außerdem lassen sich Daten erfassen und nutzen, die weit über die Endpunkte eines einzelnen Unternehmens hinausgehen. Globale, gemeinsam genutzte Daten zum Veranschaulichen von Angreifertaktiken führen zu einer besseren Erkennung von Angreiferverhalten.

Bei der Untersuchung der „Critical Capabilities for Endpoint Protection Platforms“ weist Gartner auf die Bedeutung von Cloud-basierten EPPs hin: „Cloud-basierte EPP-Lösungen gewährleisten eine schnellere Wertschöpfung, senken die Administrationskosten und bieten agilere Produktverbesserungen als herkömmliche On-Premises-Bereitstellungen.“

In seinem aktuellen Magic Quadrant zu Plattformen für Endpunktschutz stellt Gartner eine Weiterentwicklung von EPPs im Hinblick auf „automatisierte, orchestrierte Vorfalluntersuchung und Reaktion auf Sicherheitsverletzungen“ fest. Außerdem müssen Verantwortliche im Bereich Sicherheits- und Risikomanagement „sicherstellen, dass sich ihr EPP-Anbieter schnell genug weiterentwickelt, um mit modernen Bedrohungen Schritt zu halten.“

Cloud-basierte Plattformen für Endpunktschutz gehen über Vorfallreaktion hinaus und unterstützen Verhaltensanalysen in Echtzeit. Die fortschrittlichste EPP umfasst die Verarbeitung von Ereignisströmen, um die Endpunktsicherheit zu transformieren – dieselbe Technologie, die beim Erkennen von Kreditkartenbetrug zum Einsatz kommt. Auf diese Weise werden Verhaltensweisen von Angreifern erkannt, die absichtlich „normal“ aussehen, um ihre Taktiken zu verbergen. Aktuell ist VMware Carbon Black Cloud die einzige Plattform für Endpunktschutz, die die Verarbeitung von Ereignisströmen nutzt und bereits hervorragende Ergebnisse bei der Erkennung von Angreifern vor der Exfiltration aufweist.

Die Hauptmotivation für die Entwicklung einer Plattform für Endpunktschutz war die Tatsache, dass Angreifer den herkömmlichen Lösungen von SecOps-Teams leichter ausweichen konnten. Angreifer haben herkömmliche Funktionen für Endpunktsicherheit abgehängt und es gelingt ihnen, für lange Zeit in Netzwerken unentdeckt zu bleiben.

Fünf Methoden, mit denen Angreifer herkömmliche Endpunktsicherheit umgehen

• Dateilose Ransomware – Dateilose Methoden zur Verbreitung von Ransomware bleiben von herkömmlicher Endpunktsicherheit weitgehend unbeeinträchtigt, da es keine Dateien zum Erkennen und Blockieren gibt. Laut einem Cyber-Security-Report von SecureWorld haben dateilose Angriffe im ersten Halbjahr 2019 gegenüber dem zweiten Halbjahr 2018 um 18% zugenommen. Nur mit einer EPP können Sie Verhaltensweisen erfassen und dadurch Muster erkennen, die auf dateilose Angriffsmethoden hinweisen.
  
• Neue Angriffstechniken – Fortschrittliche Angriffsmethoden wurden gestohlen, von Cyberkriminellen entwickelt und zum Verkauf angeboten oder einfach als Open Source im Internet und Dark Web bereitgestellt. Durch diese Skripts und Taktiken sehen Angreifer „normal“ aus und können sich innerhalb eines Netzwerks verbergen.
• Veraltete Endpunkte – Die Bedrohungslandschaft entwickelt sich rasant weiter. Das bedeutet, dass Sicherheitsanbieter Patches und Updates so schnell wie möglich entwickeln, um mit neuen Bedrohungen Schritt zu halten. SecOps-Teams können mit dem Tempo von Aktualisierungen oftmals nicht mithalten, insbesondere wenn Patch-Management und Automatisierung fehlen. Darüber hinaus versagen Endpunkt-Agents häufig, sodass einzelne Endpunkte ungeschützt bleiben. Ein Report zu globalen Endpunktsicherheitstrends aus dem Jahr 2019 ergab, dass 35% der Sicherheitsverletzungen bei Endpunkten auf vorhandene Schwachstellen zurückzuführen sind. Da Plattformen für Endpunktschutz in der Regel Cloud-basiert sind, bleiben sie kontinuierlich auf dem neuesten Stand, um Endpunkte vor den neuesten Bedrohungen zu schützen.
• Mehrere Datenquellen – Herkömmliche Endpunktsicherheitslösungen werden relativ isoliert vom Rest des Sicherheitsstacks ausgeführt. Das bedeutet, dass mehrere Systeme erforderlich sind, um Aktivitäten an einem einzigen Endpunkt anzuzeigen und verdächtige Aktivitäten im gesamten Netzwerk während einer Untersuchung zu erfassen. Plattformen für Endpunktschutz bieten eine Single Source of Truth. Sie kombinieren Daten aus allen Sicherheitslösungen auf der Plattform, um sowohl Datenzugriff als auch die Untersuchung von Warnmeldungen zu vereinfachen.
• Gefilterte Endpunktdaten – Viele Endpunktsicherheitslösungen filtern Endpunktdaten heraus, die laut bekannten Verhaltensmustern und IOCs als nicht bedrohungsrelevant eingestuft werden. Angreifer verfügen nun über fortschrittlichere Methoden und setzen auf Endpunktdatenfilter, um ihre Aktivitäten herauszufiltern. Das bedeutet, dass neue Muster von SecOps nicht erkannt werden. Wenn Sie fortlaufend Daten zur Endpunktaktivität erfassen, erkennen Sie diese neuen Methoden und können neue Bedrohungen prognostizieren.

Analysten und Sicherheitsexperten sind sich einig, dass EPPs die beste Lösung sind, um Netzwerke vor komplexen Bedrohungen zu schützen. Gartner und Forrester decken diesen Lösungsbereich mit dem Gartner Magic Quadrant zu Plattformen für Endpunktschutz sowie mit Forrester Wave für Endpunktsicherheits-Suites ab. Die EPP-Validierung stammt aus einer ROI-Analyse von Forrester. Laut der Forrester Total Economic Impact-Studie zu Plattformen für Endpunktschutz wiesen sieben auf eine EPP umgestiegene Unternehmen einen durchschnittlichen ROI von 204% auf. Dies entsprach einer durchschnittlichen Einsparung von 2,1 Millionen US-Dollar über einen Zeitraum von drei Jahren.

Im Folgenden erfahren Sie, was auf eine Plattform für Endpunktschutz umgestiegene Sicherheitsexperten zum Nutzen von EPPs zu sagen haben:

Deutliche Zeitersparnis
„Ich kann nun ein rund um die Uhr aktives SOC betreiben, um sämtliche Probleme umgehend zu identifizieren und entsprechende Maßnahmen zu ergreifen. Dabei muss mein Team nicht zu allen Tages- und Nachtzeiten informiert werden.“
– Cosy Lavalle, IT Infrastructure Manager, Progress Residential

Zentrale Oberfläche
„Mit den Funktionen für Vorfallreaktion und Bedrohungsbekämpfung kann unser Team schnell und schlüssig handeln und profitiert gleichzeitig von einer Cloud-basierten Konsole mit zentraler Oberfläche. Für das Team ist das ein entscheidender Fortschritt.“
– Eric Samuelson, Senior IT Manager, Lithium

Schritthalten mit Bedrohungen
„[EPP] ist genau das, was Unternehmen brauchen, um Kontinuität angesichts moderner, umfassender Cyberbedrohungen zu gewährleisten. Mit [EPP] können wir schnell Untersuchungen durchführen, reagieren und unsere veralteten AV-Lösungen ausmustern.“
– Steven Lentz, CISO, Samsung Research Americas