Endpoint-driven security: EPP oder EDR?
magBLOG Endpoint-driven security: EPP oder EDR?
Die IT eines Unternehmens und somit auch die IT-Sicherheit sind längst mehr als nur ein reines „Mittel zum Zweck“. Ein Großteil der Unternehmen hat inzwischen erkannt, dass Informationstechnologie ein wichtiger Teil der Wertschöpfungskette darstellt. Und genau wie andere Teile muss auch dieser umfassend vor Manipulation und Angriffen geschützt werden.
Stellen Sie sich Ihre IT als eine luxuriöse Villa vor, die inmitten eines weitläufigen, offenen Gartens steht und von einer schicken, aber hohen und vermeintlich sicheren Mauer umgeben ist. Diese Mauer überwachen Sie mit allen erdenklichen Finessen. Die Türen und Fenster Ihrer Villa jedoch stehen weit offen, und die Kombination Ihres Tresors klebt auf einem Post-it direkt auf dessen in Leuchtfarbe lackierter Türe.
Halten Sie dieses Szenario für übertrieben? Unserer Erfahrung nach gestaltet sich in vielen Unternehmen die IT-Sicherheit jedoch exakt so. Selbst wenn nach außen Perimeter-Firewalls implementiert, mit gut durchdachten Regeln gesichert und regelmäßig überwacht werden, so droht die eigentliche Gefahr nicht allzu selten an einer anderen Stelle: direkt am Endpoint.
Wer früher detektiert, ist länger sicher
Gut durchdachte Phishing-Attacken schaffen es immer wieder, auch die noch so sensibel eingestellte Firewall zu durchdringen. Und mittels sogenannter „Low-and-Slow-Attacken“, die über lange Zeit mit minimalem Datenverkehr durchgeführt werden, können Angreifer sich nach und nach innerhalb der geschützten Infrastrukturen ausbreiten. Hier kommt die Paradedisziplin der Endpoint-Software zum Tragen. Indem Attacken dort registriert werden, wo sie passieren, kann auch eine noch so durchdacht konzipierte Schadsoftware nicht erfolgreich eingesetzt werden.
Aktion oder Reaktion? EPP oder EDR?
Welche Art von Sicherheitssoftware auf dem Endpoint zum Einsatz kommt, ist letztlich eine Frage der zur Verfügung stehenden Ressourcen und den Möglichkeiten zur Auswertung und zur Reaktion. EPP (Endpoint Protection Platform) Software kann Bedrohungen auf dem Endpunkt mittels Funktionen wie z.B. Next Generation Anti Virus, Anti Malware, Intrusion Prevention und Firewalling erkennen und präventiv verhindern – das heißt, bevor ein Schaden oder ein Datenverlust entsteht. Dies geschieht längst nicht mehr nur klassisch auf Basis von Signaturen, sondern mittels moderner Technologien wie maschinellem Lernen und KI-Routinen.
Sofern es die (personellen) Ressourcen zulassen, wird eine EPP Lösung gerne auch um eine zusätzliche Schicht erweitert und zur Endpoint Detection and Response (EDR) ausgebaut. Hier kommen dann Funktionen zur Forensik und zur Bereinigung und Wiederherstellung dazu. Darüber hinaus bieten viele EDR Plattformen auch die Möglichkeit, mittels systemübergreifender Analysen (Cross-Machine-Correlation) potenzielle Angriffe zu erkennen, die sich nicht nur auf ein einziges System beschränken, sondern gleich mehrere Angriffsziele vereinen. Dies ist die Vorstufe zu einem vollwertigen Security Information and Event Management (SIEM) System, welches wir uns in einem der folgenden magBLOG Beiträge noch einmal näher anschauen werden. Fortsetzung folgt…