Endpunktsicherheit

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Unter Endpunktsicherheit, Endpunktschutz oder Endpoint Security versteht man die Absicherung von Computernetzwerken, auf die remote mit Client-Geräten zugegriffen wird. Da jedes Gerät mit Remote-Verbindung zum Netzwerk ein Einfallstor für Cyberkriminelle ist und eine Angriffsfläche für Missbrauch und Kompromittierung bietet, muss jeder Endpunkt überwacht und geschützt werden. Dies stellen Endpunktsicherheitslösungen sicher, indem sie jeden einzelnen Endpunkt auf riskantes Verhalten und schädliche Aktivitäten hin untersuchen, diese analysieren und blockieren.

Softwarelösungen für Endpunktsicherheit verfolgen in der Regel ein Client-Server-Modell, d.h. sie liegen einerseits auf einem zentral verwalteten Server innerhalb des Netzwerks und zusätzlich auf jedem einzelnen Endgerät.

Endpunktsicherheit steht sowohl als Verbraucher- als auch Enterprise-Lösung zur Verfügung. Letztere verfügt über eine zentrale Administration, die die Konfiguration und Installation der Software auf einzelnen Endgeräten optimiert und darüber hinaus Performance-Protokolle und Analyse-Reports erstellt.

Notwendigkeit

Endpunktsicherheit gehört heute zu den elementarsten Sicherheitsmaßnahmen in der Unternehmens-IT, um sich vor den zunehmenden Cyberbedrohungen zu schützen. Dabei sorgen vor allem zwei Entwicklungen dafür, dass Schadsoftware immer schwieriger identifiziert und abgewehrt werden kann: Einerseits setzen Hacker immer ausgefeiltere Techniken ein, um bekannte Malware vor statisch-basierten Erkennungsmethoden wie etwa Signaturen zu verschleiern. Andererseits kommen bei den Angriffen immer seltener klassische dateibasierte Übertragungsmechanismen zum Einsatz, die traditionelle Antivirus-Lösungen fokussieren. Problematisch sind zudem auch die ständig steigende Zahl an vernetzten Endpunkten, die nach wie vor Hauptangriffsziel für fast alle Arten von Betrugsversuchen sind. So können 70 Prozent aller Datenpannen letztlich auf böswillige Angriffe auf ein Endgerät zurückgeführt werden. Für Unternehmen wird die Gefahr kontinuierlich steigen, denn die zunehmende Vernetzung, Trends wie BYOD und nicht zuletzt das Internet der Dinge sorgen für immer mehr potenzielle Tatorte.


Endpunktsicherheit versus Antivirus

Anders als klassische Antivirus-Lösungen verfolgt Endpunktsicherheit einen mehrschichtigen Ansatz, der weit über die reine signaturbasierte Malware-Erkennung hinausgeht. Während das Erkennungsmodell von konventionellen Antivirussystemen auf bekannten Zeichenketten (typischerweise Klartext) sowie Hashes bekannter Schaddateien basiert, arbeiten Endpunktsicherheitstechniken in der Regel mit dynamischer Verhaltensanalyse, maschinellem Lernen und intelligenter Automatisierung. Dies ermöglicht ihnen, auch neue, unbekannte und verschleierte Malware zu identifizieren.


Funktionen und Eigenschaften

Je nach Anbieter verfügen Endpunktsicherheitslösungen über unterschiedliche Features und Eigenschaften, die neben der reinen Cybersicherheit, d.h. der Effektivität der Angriffsabwehr, auch Punkte wie Benutzerfreundlichkeit und Performance-Belastung beeinflussen. Zu den wichtigsten Eigenschaften moderner Endpunktsicherheit zählen unter anderem:

KI-basierte Verhaltensanalyse

Moderner Endpunktschutz basiert auf dynamischer Verhaltensanalyse jenseits von Signaturen und identifiziert schädliches Verhalten mit Hilfe künstlicher Intelligenz. Er bieten IT-Teams eine Echtzeit-Überwachung von Anwendungs- und Prozessverhaltensweisen auf Grundlage einer Low-Level-Instrumentierung von Betriebssystemaktivitäten.

Automation

Effektive Endpunktschutz-Tools automatisieren sämtliche Prozesse – von der Malwareerkennung über die Abkoppelung betroffener Systeme vom Netz bis zur forensischen Analyse, was zeitaufwendiges manuelles Eingreifen der Mitarbeiter unnötig macht. 

Endpoint Detection & Response

Endpoint Detection and Response (EDR)-Lösungen sind eine sinnvolle Erweiterung traditioneller Endpunktsicherheit und bieten IT-Abteilungen Transparenz in eingehende Bedrohungen, da sämtliche Dateiausführungen und -modifikationen, Registrierungsänderungen, Netzwerkverbindungen und Binärausführungen über die Endpunkte eines Unternehmens hinweg dokumentiert und analysiert werden.

Reduzierte CPU-Auslastung

Idealerweise vereint Endpunktsicherheit verschiedene Sicherheitsmaßnahmen (Prävention, Erkennung, forensische Analyse etc.) in nur einem Agenten und reduziert auf diese Weise nachhaltig die CPU-Auslastung.

Rekonstruktion manipulierter Dateien

Während ihrer Ausführung modifiziert oder löscht Malware häufig Systemdateien und ändert Konfigurationseinstellungen, was eine Fehlfunktion oder Instabilität der Systeme zur Folge haben kann. Deshalb sind viele Endpoint Protection-Lösungen in der Lage, einen Endpunkt in seinen vertrauenswürdigen Ausgangszustand zurückzuversetzen. 

Integration in andere Sicherheitslösungen

Verfügt eine Endpunktschutzlösung über mehrere robuste APIs und lässt sich problemlos in den bestehenden Software-Stack und vor allem gängige Systeme von Drittanbietern integrieren, werden SOC-Teams und IT-Administratoren nachhaltig entlastet.


Siehe auch



Diese Seite wurde zuletzt am 13. Januar 2020 um 15:44 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Matthias Canisius.