Fünf unverzichtbare Funktionen für moderne Endgerätesicherheit

Schätzungen zufolge wird es 2023 weltweit circa 29 Milliarden Endgeräte geben, die mit einem Netzwerk verbunden sind, wie Beispiel ein Computer, Laptop, Smartphone, Tablet, Server oder andere IoT-Devices. Die wachsende Anzahl vernetzter Geräte macht Unternehmen anfällig für eine Vielzahl von Cyberbedrohungen, welche sich stetig weiterentwickeln.

Daher sollten Unternehmen ihre Endgerätesicherheit nicht nur transparent, sondern auch skalierbar gestalten, um mit den Bedrohungen Schritt zu halten. Denn fehlende Transparenz und Skalierbarkeit in diesen weitläufigen Umgebungen stellen die zuständigen IT- und Sicherheitsteams vor große Probleme. Klassische Antivirenprodukte sind oft nur sehr begrenzt hilfreich, da sie ursprünglich nur zur Erkennung bekannter Malware-Dateien entwickelt wurden. Gegen gezielte Angriffe (welche beispielsweise komplette ohne Malware auskommt, Stichwort “dateilos”),  gestohlenen und kompromittierten  Zugangsdaten, sowie gegen hochentwickelte hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) sind sie machtlos. Darüber hinaus spielt die Komplexität immer weiterer Sicherheitsprodukte den Angreifern in die Hände. Aus diesen Gründen stellen Endgeräte für jedes Unternehmen eines der größten Sicherheitsrisiken dar. 

Doch wie können IT- und Sicherheitsteams die Vielzahl an Endgeräten flexibel, effektiv und effizient schützen? 

Mit diesen fünf Funktionen können Unternehmen eine moderne Endgerätesicherheit realisieren: 

1. Prävention: Blockierung des Zugriffs von böswilligen Akteuren 

Herkömmliche, Malware-orientierte Endpunktprodukte wie Virenschutzlösungen sind nur bei bekannter Malware wirklich effektiv. Angesichts der Zunahme immer raffinierterer Datei- bzw. Malware-loser Angriffsmethoden bietet dieser Ansatz jedoch nur noch unzureichenden Schutz. IT- und Sicherheitsteams benötigen die Analysefunktionen einer Endpunktlösung der nächsten Generation (Next-Generation Antivirus, NGAV), die bekannte und Zero-Day-Malware, Ransomware sowie datei- und malwarelose Angriffe erkennen und abwehren kann. 

Hochentwickelte NGAV-Lösungen können mithilfe von Verhaltensanalysen automatisch nach Anzeichen eines Angriffs suchen und ihn umgehend blockieren. Im Gegensatz zu Legacy-Sicherheitslösungen, die tägliche Updates erfordern und Endgeräte kurzzeitig ungeschützt lassen, bleiben NGAV-Lösungen dank Machine Learning (ML) stets auf dem aktuellen Stand und verursachen keinen Aufwand für die IT- und Sicherheitsteams. Die besten NGAV-Lösungen kombinieren diese und weitere fortschrittliche Techniken für Transparenz und Kontext und können so hochentwickelte Angriffs-TTPs (Taktiken, Techniken und Prozeduren) abwehren.

2. Erkennung: Identifizierung und Blockierung bereits eingedrungener Angreifer 

Wenn es Angreifern gelingt, im Unternehmensnetzwerk einzudringen, ohne einen Alarm auszulösen, können sie sich unbemerkt in einer Umgebung aufhalten und über Tage, Wochen oder sogar Monate hinweg Schaden anrichten. Lösungen für endpunktbasierte Detektion und Reaktion (EDR) mit integrierten Präventionsfunktionen bieten die notwendige Transparenz, mit der Sicherheitsteams solche Angreifer schnellstmöglich aufdecken können. Dazu zeichnet die EDR-Lösung alle relevanten Aktivitäten auf einem Endgerät sowohl in Echtzeit als auch nachträglich auf, um sie genauer zu untersuchen. Diese Daten werden mit den Ergebnissen von Bedrohungsanalysen ergänzt, was den notwendigen Kontext für erfolgreiche Bewertungen bietet. Eine effiziente EDR-Lösung verfügt über die Bedrohungsdaten, mit denen schädliche Aktivitäten automatisch erkannt werden, sodass die Sicherheitsteams nicht von False-Positives und harmlosen Aktivitäten abgelenkt werden, sondern sich auf echte Angriffe konzentrieren können. Den Teams stehen leistungsstarke Reaktionsmaßnahmen zur Verfügung, mit denen sie kompromittierte Systeme isolieren und tiefer untersuchen können. Dazu gehört Echtzeit-Remote-Zugriff, um unmittelbar reagieren und die Kompromittierung beim ersten Anzeichen stoppen zu können. Hochentwickelte EDR-Lösungen können zudem heimliche Angriffe erkennen und Bedrohungen aufdecken, die den Präventionsmaßnahmen entgangen sind.

3. Threat Hunting (Verwaltete Bedrohungssuche): Erkennung über automatisierte Maßnahmen hinaus

Threat-Hunting ist ein proaktiver, von Menschen geleiteter Ansatz, mit dem Unternehmen aktiv nach verdächtigen Aktivitäten suchen. Ein erfahrenes Threat Hunting-Team kann eine Unternehmensumgebung rund um die Uhr überwachen, um heimliche und schädliche Aktivitäten aufzudecken. Managed Threat Hunting-Teams analysieren Bedrohungen und arbeiten eng mit den internen Teams zusammen, um sie bei der Erkennung und Reaktion zu unterstützen. Durch diese Interaktionen mit Experten wird die Kompetenz der internen IT- und Sicherheitsteams verbessert – nicht nur kurzzeitig, sondern auch langfristig. Threat-Hunter gehen beim Endgeräteschutz proaktiv vor und greifen dabei auf ihre langjährige Erfahrung zurück. Da sie einen Überblick über den Endgerätebestand sowie Zugriff auf die richtigen Bedrohungsdaten haben, verstehen sie nicht nur die vorliegenden Ergebnisse, sondern können auch Cyberbedrohungen vorhersagen, die sich gegen das Unternehmen richten können.

4. Bedrohungsanalysen: Verständnis und Vorhersage von Angriffen

Angreifer agieren so schnell und heimlich, dass es für Schutztechnologien und Sicherheitsexperten oft schwierig ist, mit den neuesten Bedrohungen Schritt zu halten und proaktiv vor ihnen zu schützen. Um ebenso schnell reagieren zu können, sollten Endgeräte-Sicherheitslösungen stets die Ergebnisse von Bedrohungsanalysen berücksichtigen bzw. die Bedrohungsdaten externer Anbieter integrieren. Bedrohungsdaten sollten folgende Kriterien erfüllen: Verwertbare Informationen liefern, mit denen Sicherheitsteams und die verwendeten Sicherheitslösungen Vorfälle schneller verstehen, abwehren und beheben können, um Untersuchungen und entsprechende Gegenmaßnahmen zu beschleunigen. Warnmeldungen generieren und priorisieren, mit denen Sicherheitsteams die Taktiken und Kampagnen konkreter böswilliger Akteure besser verstehen können. Sich nahtlos in jede Endgeräteschutzlösung integrieren lassen, um jederzeit den IT- und Sicherheitsteams zur Verfügung zu stehen. Darüber hinaus sollten die Teams nicht gezwungen sein, manuell zwischen verschiedenen Sicherheitslösungen zu wechseln, sondern idealerweise alles auf einen Blick sehen. Mithilfe von Schwachstellenverwaltung und IT-Hygiene wird die Sicherheitslage weiter gestärkt.

5. Schwachstellenverwaltung und IT-Hygiene: Absicherung der Umgebung gegen Angriffe

Schwachstellenverwaltung und IT-Hygiene bieten die Transparenz und umsetzbaren Informationen, die Sicherheits- und IT-Teams benötigen, um zu verstehen, welche Systeme und Anwendungen gefährdet sind und wer und was in der Umgebung aktiv ist. Eine effektive Schwachstellenverwaltung erfordert die regelmäßige und kontinuierliche Überwachung aller Endgeräte, damit Sicherheitsschwachstellen überall – lokal oder extern – zuverlässig identifiziert werden. Damit sichergestellt ist, dass Produktionssysteme mit aktuellen Patches abgesichert sind, müssen Unternehmen wissen, welche Risiken den Geschäftsbetrieb am stärksten gefährden, und ihre Behebung priorisieren. IT-Hygienelösungen überwachen Assets, Benutzer und Anwendungen ständig auf Veränderungen und bieten die Möglichkeit, unverwaltete oder potenziell gefährdete Systeme im Netzwerk zu identifizieren, z. B. BYOD- oder Drittsysteme. Mithilfe eines Überblicks über die Anmeldetrends (Aktivitäten/Dauer) in Ihrer gesamten Umgebung – unabhängig davon, wo Anmeldedaten verwendet und Administratoranmeldedaten erstellt werden – können Sicherheitsteams den Missbrauch von Anmeldedaten sowie Angriffe mit gestohlenen Anmeldedaten erkennen und abwehren. Schwachstellenverwaltung und IT-Hygiene liefern Sicherheitsteams die nötigen Informationen, um bei der Verbesserung der Gesamtsicherheitslage einen effizienten proaktiven Kurs zu verfolgen und sich bestmöglich aufzustellen, um Attacken vorauszusehen und Bedrohungsakteure abzuwehren.