Was ist eine Plattform für Endpunktschutz?

Plattformen für Endpunktschutz sind die neueste Entwicklung der Endpunktsicherheit. Sie wurden entwickelt, um Angreifer zu identifizieren, die die herkömmliche Endpunktsicherheit umgehen können, und um komplexe Sicherheitsstacks zu konsolidieren. Mit der Konsolidierung geht eine verbesserte Datenfreigabe einher, die wiederum die Analysefunktionen zur Erkennung von verdächtigem Verhalten verbessert. Zudem werden Sicherheitsabläufe erheblich vereinfacht.

Ein weiterer wichtiger Vorteil von Plattformen für Endpunktschutz ist der Umstieg auf die Cloud. Cloudnative EPPs überwachen mit einem einzigen, schlanken Agent alle Endpunkte. Außerdem können Daten erfasst und genutzt werden, die weit über die Endpunkte eines einzelnen Unternehmens hinausgehen. Globale, gemeinsam genutzte Daten, die Angreifertaktiken veranschaulichen, unterstützen eine bessere Erkennung von Angreiferverhalten.

Bei der Untersuchung der „ Critical Capabilities for Endpoint Protection Platforms “ weist Gartner auf die Bedeutung von Cloud-basierten EPPs hin: Cloud-basierte EPP-Lösungen liefern eine schnellere Wertschöpfung, senken die Administrationskosten und bieten agilere Produktverbesserungen als herkömmliche On-Premises-Bereitstellungen.

Gartner sieht in seinem neuen Magic Quadrant der Plattformen für Endpunktschutz die Weiterentwicklung von EPPs für „automatisierte, orchestrierte Vorfallsuntersuchung und die Reaktion auf Sicherheitsverletzungen“. Und rät den Verantwortlichen für Sicherheits- und Risikomanagement, „sicherzustellen, dass sich ihr EPP-Anbieter schnell genug weiterentwickelt, um mit modernen Bedrohungen Schritt zu halten“.

Cloud-basierte Plattformen für Endpunktschutz gehen über IR hinaus und unterstützen Verhaltensanalysen in Echtzeit. Die fortschrittlichste EPP nutzt für die Transformation der Endpunktsicherheit die Verarbeitung von Ereignisströmen, also dieselbe Technologie, die bei der Erkennung von Kreditkartenbetrug eingesetzt wird. Auf diese Weise werden Verhaltensweisen von Angreifern erkannt, die absichtlich „normal“ aussehen, um ihre Taktik zu verbergen. Heute ist VMware Carbon Black Cloud die einzige Plattform für Endpunktschutz, die die Verarbeitung von Ereignisströmen nutzt und bereits hervorragende Ergebnisse bei der Erkennung von Angreifern vor der Exfiltration aufweist.

Wie sich Angreifer herkömmlicher Endpunktsicherheit entziehen

Die Hauptmotivation für die Entwicklung einer Plattform für Endpunktschutz war die Tatsache, dass Angreifer den herkömmlichen Lösungen von SecOps-Teams leichter ausweichen konnten. Angreifer haben die Funktionen herkömmlicher Endpunktsicherheit abgehängt und es gelingt ihnen, für lange Zeit in Netzwerken unentdeckt zu bleiben.

Fünf Methoden, mit denen Angreifer herkömmliche Endpunktsicherheit umgehen

• Dateilose Ransomware – Dateilose Techniken zur Verbreitung von Ransomware bleiben von herkömmlicher Endgerätesicherheit weitgehend unbeeinträchtigt, da es keine Dateien zum Erkennen und Blockieren gibt. Laut einem Cyber-Security-Report von SecureWorld haben dateilose Angriffe im ersten Halbjahr 2019 gegenüber dem zweiten Halbjahr 2018 um 18% zugenommen. Nur mit einer EPP können Sie Verhaltensweisen nachverfolgen, um Muster zu erkennen, die auf dateilose Angriffsmethoden hinweisen. 
  
  
• Neue Angriffstechniken – Fortgeschrittene Angriffstechniken wurden gestohlen oder von Cyberkriminellen entwickelt und zum Verkauf angeboten oder einfach als Open Source im Internet und Dark Web bereitgestellt. Durch diese Skripts und Taktiken sehen Angreifer „normal“ aus und können sich innerhalb eines Netzwerks verbergen. 
  
  
• Veraltete Endpunkte – Die Bedrohungslandschaft entwickelt sich rasant. Das bedeutet, dass Sicherheitsanbieter Patches und Updates so schnell wie möglich entwickeln, um mit neuen Bedrohungen Schritt zu halten. Das Tempo von Aktualisierungen lässt SecOps-Teams oft hinter sich, insbesondere wenn Patch-Management und Automatisierung fehlen. Darüber hinaus versagen Endpunkt-Agents häufig, sodass einzelne Endpunkte ungeschützt bleiben. Ein Report über Global Endpoint Security Trends aus dem Jahr 2019 ergab, dass 35% der Sicherheitsverletzungen von Endpunkten auf vorhandene Schwachstellen zurückzuführen sind. Da Plattformen für Endpunktschutz in der Regel Cloud-basiert sind, können sie immer auf dem neuesten Stand bleiben, um Endpunkte vor den neuesten Bedrohungen zu schützen.
  
  
• Mehrere Datenquellen – Herkömmliche Lösungen für Endpunktsicherheit werden relativ isoliert vom Rest des Sicherheitsstacks ausgeführt. Das bedeutet, dass mehrere Systeme erforderlich sind, um Aktivitäten an einem einzigen Endpunkt anzuzeigen und verdächtige Aktivitäten im gesamten Netzwerk während einer Untersuchung nachzuverfolgen. Plattformen für Endpunktschutz bieten eine Single Source of Truth. Sie kombinieren Daten aus allen Sicherheitslösungen auf der Plattform für einfachen Datenzugriff und die Untersuchung von Benachrichtigungen.
   
• Gefilterte Endpunktdaten – Viele Lösungen für Endpunktsicherheit filtern Endpunktdaten heraus, die nach bekannten Verhaltensmustern und IOCs als nicht bedrohungsrelevant eingestuft werden. Angreifer verfügen nun über weiterentwickelte Techniken und setzen auf Endpunktdatenfilter, um ihre Aktivitäten herauszufiltern. Das bedeutet, dass neue Muster von SecOps nicht erkannt werden. Wenn Sie fortlaufend Daten zur Endpunktaktivität erfassen, erkennen Sie diese neuen Techniken und können neue Bedrohungen vorhersagen.
  

Industry Pulse: Erkenntnisse von Sicherheitsexperten zu Plattformen für Endpunktschutz

Analysten und Sicherheitsexperten sind sich einig, dass EPPs die beste Lösung sind, um Netzwerke vor ausgeklügelten Bedrohungen zu schützen. Gartner und Forrester decken diesen Lösungsbereich mit dem Gartner Magic Quadrant für Plattformen zum Schutz von Endpunkten sowie mit Forrester Wave für Endpunktsicherheits-Suites ab. Die Validierung von EPPs stammt aus einer ROI-Analyse von Forrester. Die Forrester Total Economic Impact of Endpoint Protection Platform Study ergab bei sieben Unternehmen, die zu einer EPP gewechselt waren, einen durchschnittlichen ROI von 204%. Dies entsprach einer durchschnittlichen Einsparung von 2,1 Millionen US-Dollar innerhalb von drei Jahren. Das sagen Sicherheitsexperten, die auf eine Plattform für Endpunktschutz umgestiegen sind, über den Nutzen von EPPs:

Erhebliche Zeitersparnis
„Das SOC kann jetzt rund um die Uhr sofort Probleme erkennen und Maßnahmen ergreifen und ich muss mich nicht mehr zu jeder Tages- und Nachtzeit an mein Team wenden.“
 – Cozy Lavalle, IT Infrastructure Manager, Progress Residential

Zentrale Oberfläche
„Dank IR und der verfügbaren Funktionen zur Bedrohungsbekämpfung kann unser Team schnell und schlüssig handeln und profitiert gleichzeitig von einer Cloud-basierten Konsole unter einer zentralen Oberfläche. Für das Team ist das ein entscheidender Fortschritt.“
 – Eric Samuelson, Senior IT Manager, Lithium

Mit Bedrohungen Schritt halten
„[Eine EPP] ist genau das, was Unternehmen brauchen, um angesichts der größten Cyberbedrohungen unserer Zeit Kontinuität zu gewährleisten. Mit [einer EPP] können wir schnell Untersuchungen durchführen, reagieren und unsere veralteten AV-Lösungen ausmustern.“
 – Steven Lentz, CISO, Samsung Research Americas

Die Lösung? Ermitteln von Verhaltensanomalien

Cyberkriminelle setzen Malware sehr erfolgreich ein, um ihre Ziele zu erreichen. Das liegt daran, dass die meisten herkömmlichen Virenschutztools statische Analysen als primäre Sicherheitstaktik verwenden. Allerdings können diese Tools nur bekannte Exemplare identifizieren und angesichts der tagtäglichen, schnellen Entwicklung neuer Malware erscheint diese größtenteils in Form von unbekannten Dateien. Angreifer wenden verschiedene Techniken (z.B. Verpacken oder Komprimieren) an, um Aspekte ihrer Malware zu verändern, sodass sie nicht als bekannte Bedrohung erkannt wird. So schlüpfen sie ganz einfach durch die Maschen der Verteidigung.

Hier kommen Lösungen für Endpunktsicherheit der nächsten Generation und Verhaltensanalysen ins Spiel. Die gute Nachricht in Bezug auf Malware ist, dass sich ihre Aktionen innerhalb eines Systems oder Geräts letztendlich von normalem Anwenderverhalten unterscheiden. Und da sich Big Data und maschinelles Lernen auf Anomalien fokussieren, kann Malware als Abweichung von der Norm und potenziell bösartig identifiziert werden.