Endpoint Security

Unter dem Begriff Endpoint Security (deutsch: Endpunktsicherheit) lassen sich alle Maßnahmen zusammenfassen, die Endgeräte – sei es ein Laptop, ein Smartphone oder ein Server – vor Cyberangriffen schützen sollen. Eine Endpoint-Security-Lösung beobachtet kontinuierlich alle auf einem Endgerät installierten oder laufenden Programme. Bei verdächtigen Aktivitäten alarmiert sie sofort und greift im Bedarfsfall ein. So lässt sich ein als schädlich erkannter Prozess anhalten oder abschalten, bevor Schaden entsteht. 

Endpoint Security gewinnt für Unternehmen insbesondere vor dem Hintergrund vielschichtig aufgebauter Malware an Bedeutung. Landeten Schadprogramme vor einigen Jahren noch direkt per Download auf dem jeweiligen Endgerät, lädt sich raffinierte Malware heute über zunächst harmlos erscheinende Dateien nach. So reicht bereits ein initialer Einfallsvektor aus  , wie eine an sich vollkommen harmlose Worddatei als E-Mail-Anhang. Einmal geöffnet kann sie über Makros bösartigen Code ins System holen. Klassische Antiviren-Software und Firewalls versagen hier oftmals. Endpoint Security hingegen kann verdächtige Vorgänge erkennen und das Nachladen von Schadsoftware stoppen. Angriffe und auch Ransomware-Attacken lassen sich so verhindern. Letztere zielen darauf ab, Dateien eines Unternehmens zu verschlüsseln, um dann für die Entsperrung ein Lösegeld zu verlangen. Endpoint Security ist in der Lage, in diesem Fall verdächtige Aktivitäten an den Dateien sofort zu erkennen, Alarm zu schlagen und zu unterbinden. 

Endpoint Security ist gerade in Anbetracht der rasant wachsenden und stetig professioneller werdenden IT-Kriminalität unverzichtbar. Vor allem Ransomware-Hackergruppen, wie die bekannte Conti-Gruppe, die bereits an die 2,5 Milliarden Dollar mit der Erpressung von Unternehmen eingenommen haben soll, zeigen dies eindrücklich. Damit Unternehmen Angriffen solch hoch organisierter und technisch versierter Kriminellen-Gruppen nicht schutzlos ausgeliefert sind, bietet sich Endpoint Security als Sicherheits-Lösung an. Die in den Systemen enthaltene sogenannte Analytics Engine deckt nicht nur statisch bekannte Virus-Dateien anhand von Listen auf, sondern kann auch dynamisch schädliches Verhalten von Prozessen erkennen und auf diese reagieren. Eine gut integrierte Endpoint Security zieht zudem weitere Datenquellen hinzu, etwa aus zusätzlichen Firewalls oder Cloud-Diensten. Auf einer zentralen Oberfläche, auf der alle Alerts zusammenlaufen, lässt sich so schnell ein umfangreiches Gesamtbild eines Vorfalls oder Angriffs zeichnen und entsprechend reagieren.

Klassische Antivirus-Lösungen verfolgen in der Regel einen statischen Ansatz. Sie sind Präventivkonzepte, die Endgeräte regelmäßig auf Schadsoftware scannen. Dazu gleicht das Antiviren-Programm die Signatur einer gestarteten Datei mit einer vordefinierten internen Liste ab und überprüft so, ob es sich um eine bekannte Schadsoftware handelt. Das Konzept von Endpoint Security ist hingegen dynamisch. Es blickt während des Betriebs tief in die Prozesse hinein und kann schädliche Verhaltensweisen erkennen und teilweise auch gleich blockieren. Endpoint Security wird somit in einer Welt, die von sich stetig und rasant verändernden Bedrohungen und immer neuen Angriffsmethoden geprägt ist, zu einem immer wichtigeren Faktor für die Sicherheitsstrategie eines Unternehmens. 

Endpoint Detection and Response ist sozusagen die fortschrittliche Umsetzung von Endpoint Security in der Systemarchitektur eines Unternehmens. Von einer zentralen Management-Oberfläche aus wird dazu auf jedem Endgerät im Netzwerk ein Client installiert. Dieser beobachtet das jeweilige Device dann kontinuierlich und erzeugt bei verdächtigen Vorgängen Alarme beziehungsweise Incidents, die auf der zentralen Oberfläche in Echtzeit gesammelt, korreliert und ausgewertet werden. Wenn es sich um bekannte schadhafte Vorgänge handelt, kann die Software sofort automatisiert aktiv werden. Bei allen anderen Vorgängen muss ein IT-Mitarbeiter den Ursachen des Alarms nachgehen und entscheiden, was zu tun ist. Das ist im Normalfall sehr aufwendig, da Endpoint-Security-Systeme meist eine große Anzahl an Incidents produzieren. Daher setzen viele Unternehmen mittlerweile auf Managed Detection and Response (MDR), bei dem eben dieses Management von IT-Sicherheitsspezialisten übernommen wird.

Eine EDR-Lösung (Endpoint Detection and Response) betreiben und überwachen die IT-Mitarbeiter eines Unternehmens selbst. Bei MDR (Managed Detection and Response) übernimmt dies hingegen ein spezialisierter Dienstleister für IT-Sicherheit. Bei verdächtigen Vorfällen arbeitet er eng mit den Ansprechpartnern im auftraggebenden Unternehmen zusammen und gibt Handlungsempfehlungen. Das entlastet die meist chronisch überlasteten internen IT-Abteilungen. Zudem setzt ein guter Dienstleister eine Lösung für Security Orchestration, Automation and Response (SOAR) ein. Diese kann riesige Datenmengen innerhalb kürzester Zeit überprüfen und sogenannte False Positives, also Fehlalarme, herausfiltern. So erhalten die Sicherheitsexperten beim Dienstleister schnell das trennscharfe Gesamtbild eines Angriffsvektors und können sofort auf Bedrohungen reagieren.

Im Grunde lohnt sich Endpoint Security für jedes Unternehmen, denn jeder Betrieb verfügt über geschäftskritische Systeme und sensible Daten, die es vor einem Angriff zu schützen gilt. Für welche Lösung man sich konkret entscheiden sollte, ist daher vor allem eine Frage des Funktionsumfangs und der Anzahl der abzudeckenden Endpoints. 

Individuelle Integration und Consulting

Unsere Consulting-Abteilung setzt sich mit Ihnen zusammen und erarbeitet eine integrierte Lösung, die ganz auf Ihr Unternehmen und dessen individuelle Bedürfnisse zugeschnitten ist. Sie erhalten somit bei indevis die Software-Lösung zusammen mit einem umfangreichen Integrations- und Kundenservice. Egal ob Sie Fragen zu konkreten Vernetzungsmöglichkeiten, automatischen Reaktionen auf verdächtige Vorfälle oder anderen Themen haben – unser kompetentes und geschultes Consulting-Team steht Ihnen stets zur Seite und hilft Ihnen bei der Integration vor Ort.

Einfache Integration und Schutz mit Cortex XDR aus der Cloud

indevis setzt als Endpoint Security-Lösung auf die Software Cortex XDR von Palo Alto Networks. Die cloudbasierte Lösung kombiniert Netzwerk-, Endpunkt- und Clouddaten, um fortschrittliche Cyberangriffe zu erkennen, zu untersuchen und zu stoppen. Die Anzahl der zu überprüfenden Alerts lässt sich auf diese Weise um das 50-fache reduzieren, da die Lösung verwandte Warnungen intelligent gruppiert. Mittels Deep Analytics und KI beobachtet Cortex XDR zudem rund um die Uhr das Benutzer- und Endpoint-Verhalten und schlägt bei Auffälligkeiten Alarm. Bei einer Abweichung vom Baselining etwa, also wenn beispielsweise auf einem Laptop mehr Prozesse als üblich gleichzeitig ablaufen, löst sie sofort Alarm aus. Gemeldete Alerts lassen sich auf der Cloud-Plattform anschließend mit nur einem Klick untersuchen, da die patentierte Analyse Engine Kausalketten analysiert und visualisiert.

Post-Incident-Bedrohungsanalyse

Nach einem Hack ist es meistens unmöglich, Informationen über diesen zu erhalten. Die Spuren sind zu gut verwischt und die Systeme zu kompromittiert. Die von indevis eingesetzte cloudbasierte Endpoint-Security-Lösung Cortex XDR von Palo Alto Networks bietet Ihnen im Falle eines Hacks aber sogar noch „Post Incident“ Unterstützung. So erhalten Sie eine umfassende Übersicht über das Schadensbild. Der Hack wird mit forensischen Methoden überprüft, um Fragen zu klären wie: Wer hat wann, was und wie gemacht? Zu welcher Uhrzeit wurden welche Dateien ausgeführt? Welcher Prozess hat Daten nachgeladen? Im Falle einer Ransomware-Attacke werden nämlich nicht alle Dateien verschlüsselt. Systemrelevante Dateien wie Logdateien bleiben in der Regel weiterhin offen, um den Betrieb des Systems zu gewährleisten. Diesen Fakt macht sich indevis zunutze, um wertvolle Informationen aus den verschiedenen Quellen zu gewinnen.