Aktueller Channel Fokus:

Storage und Datamanagement

Worauf CIOs achten sollten

Neue Wege im Endpunktschutz

| Autor / Redakteur: Alexander Kehl / Sarah Nollau

CIOs, die den Umstieg auf Next-Generation-Endpoint-Protection planen, müssen sich erst durch einen Dschungel verschiedenster Produkte und Anbieter durchschlagen.
CIOs, die den Umstieg auf Next-Generation-Endpoint-Protection planen, müssen sich erst durch einen Dschungel verschiedenster Produkte und Anbieter durchschlagen. (Bild: Pixabay / CC0)

Spätestens mit großangelegten Cyberangriffen und gefährlichen Sicherheitslücken wie WannaCry, Spectre und Co. sind Unternehmen an einem Punkt angelangt, an dem der Einsatz traditioneller Antivirus-Technologien nicht mehr ausreicht, um Endgeräte effektiv vor Hackern zu schützen.

Für CIOs und IT-Sicherheitsverantwortliche ist die Implementierung einer Endgeräteschutzlösung der nächsten Generation daher letztlich ein unvermeidliches Projekt. Gehen Unternehmen dabei prospektiv vor und unterziehen die zur Verfügung stehenden Produkte einem weitsichtigen Bewertungsverfahren, können sie nicht nur ihre Cybersicherheit auf ein neues Niveau heben, sondern auch den Administrations- und Kostenaufwand deutlich reduzieren.

Warum signaturbasierter Antivirus nicht mehr effektiv ist

Antivirus-Technologien haben sich in den letzten fünfzehn Jahren kaum weiterentwickelt. So basiert ihr Erkennungsmodell nach wie vor auf bekannten Zeichenketten (typischerweise Klartext) sowie Hashes bekannter Schaddateien. Dass dieser rein signaturbasierte Ansatz längst überholt ist, liegt auf der Hand. Gartner hat seinen Magic Quadrant for AV Solutions bereits im Jahr 2006 das letzte Mal veröffentlicht.

Die Unzulänglichkeit herkömmlicher AV-Lösungen liegt dabei einerseits an der schieren Menge neuer Viren- und Malwarestämme, die Cyberkriminelle jeden Tag in Umlauf bringen. AV-Test registriert immerhin mehr als 75.000 neue Schadprogramme am Tag. Gleichzeitig existieren nur für rund 20 Prozent aller Schadcodes entsprechende Signaturen in bestehenden AV-Modulen, wie der Enterprise Risk Index von SentinelOne ermittelt hat. Dem Großteil der signaturbasierten Cyberattacken steht traditionelle AV-Technologie also vollkommen hilflos gegenüber. Andererseits setzen Cyberkriminelle immer häufiger spezielle Verschleierungstechniken wie Packer oder polymorphe Malware ein, um signaturbasierte Schutzlösungen gezielt zu umgehen. Auch Memory-basierte Schadsoftware, die lediglich im Speicher aktiv ist und keinerlei Rückstände auf der Festplatte zurücklässt und damit für Hacker unsichtbar ist, steht bei Hackern hoch im Kurs.

Multi-Vendor-Ansatz vs. All-in-One-Lösung

Obwohl sich viele Unternehmen der Unzulänglichkeiten herkömmlicher Antivirus-Produkte bewusst sind, sind diese nach wie vor im Einsatz. Die offensichtlichen Schwachstellen ihrer AV-Lösungen versuchen die Verantwortlichen dabei mit weiteren ergänzenden Sicherheitsprodukten auszugleichen. Tatsächlich sind Verteidigungsstrategien basierend auf einem Multi-Vendor-Ansatz in der Informationssicherheit von Unternehmen keine Seltenheit. So stehen für Angriffserkennung, Schwachstellenanalyse, Angriffsabwehr, Backup-Prozesse und Forensik oftmals unterschiedliche Tools zur Verfügung. Dass mehr jedoch nicht immer auch gleich besser bedeutet, zeigt sich in diesem Fall spätestens bei der Durchrechnung der Kosten. Denn die Ausführung mehrerer Agenten pro Endpunkt belastet letztlich die CPU-Ressourcen und führt zu einem höheren Administrationsaufwand und damit einer geringeren Produktivität der Mitarbeiter. All dies trägt letztlich zu einer Erhöhung der Gesamtbetriebskosten bei. Zusätzliche Kosten entstehen zudem, wenn die Endgeräte, die für die Ausführung dieser Programme zu langsam sind, ersetzt werden müssen. Gleichzeitig leidet unter der Unübersichtlichkeit, die der Multi-Vendor-Ansatz mit sich bringt, natürlich auch die Sicherheit, da Fehlkonfigurationen und Lücken in der Verteidigung nicht auszuschließen sind.

Wer ausreichenden Schutz seiner Unternehmens-IT anstrebt, gleichzeitig jedoch auch den Kostenfaktor möglichst gering halten möchte, sollte daher auf All-in-One-Endpunktschutzlösungen zurückgreifen, die Funktionen wie Prävention, Angriffserkennung, Abwehr, Wiederherstellung und forensische Analysen in einer Plattform vereinen und dabei gleichzeitig einfach über eine intuitiv zu bedienenden Konsole verwaltet werden können. Verglichen mit der Kombination mehrerer, sich in der Funktionalität teils überschneidender Einzellösungen, ist dieser Ansatz auch unabhängig vom deutlich reduzierten Administrationsaufwand in der Regel kostengünstiger.

Darauf sollten CIOs beim Umstieg auf Next Generation Endpunktschutz achten

Der Markt für Endpunktschutzlösungen und insbesondere All-in-One-Solutions hat sich in den letzten Jahren rasch weiterentwickelt. CIOs, die auf Next-Generation-Endpoint-Protection umsteigen wollen, stehen heute vor einem Dschungel verschiedenster Produkte unterschiedlicher Anbieter, aus welchem sie die für sie am besten geeignete Lösung auswählen müssen. Dabei empfiehlt es sich, allen potenziell in Frage kommenden Lösungen ein Bewertungsverfahren zu unterziehen und zudem eine Testversion anzufordern, die es ermöglicht, sich einen Eindruck davon zu verschaffen, welche Leistung die Software in der eigenen Umgebung und in dem von den IT-Mitarbeitern konzipierten Sicherheitstest zeigt.

Neben der Plattform-Kompatibilität und der Frage, welche Betriebssysteme und gängigen Betriebssystemversionen für Endpunkte (einschließlich mobiler Geräte) unterstützt werden, sollten CIOs dabei vor allem die CPU-Auslastung im Blick haben. Denn damit Endpunkte – egal ob Laptop, Desktop, Mobilgerät oder Server – ungehindert arbeiten können, sollte die Sicherheitslösung idealerweise durchschnittlich nur rund ein bis zwei Prozent der CPU beanspruchen.

Hinweise zur Praktikabilität der Lösung können Fragen nach den Update-Prozessen liefern (d.h. wie häufig werden Updates zur Verfügung gestellt? Werden diese per Push oder Pull auf den Endpunkt übertragen? Und ist für die Updates ein Eingreifen des Benutzers erforderlich?) aber auch zur Skalierbarkeit. Bei letzterem geht es vor allem um die Anzahl der Clients, die von jeder Verwaltungskonsole unterstützt werden.

Der wohl wichtigste Aspekt, den es bei der Bewertung der Produkte zu berücksichtigen gilt, ist indes die Frage nach der Effektivität und Wirksamkeit der Lösung im Kampf gegen hochentwickelte Cyberbedrohungen. Hier gilt es zu prüfen, mit welchen technischen Methoden das Produkt Angriffe von den einzelnen Angriffsvektoren – einschließlich Malware, Ransomware, Exploits und Live-/Insider-Bedrohungen – erkennt und abwehrt, und ob dies auch passiert, wenn der Endpunkt offline ist. Besonders effektiv sind hier Endpunkt-Lösungen, die auf dynamischen Verhaltensanalysen in Kombination mit intelligenter Automation beruhen und Malware-Infizierungen anhand ihres Ausführungsverhaltens binnen weniger Sekunden verlässlich identifizieren und automatisch blockieren. Überdies bieten einige Lösungen Funktionen zur Überprüfung der Ausführung und Assemblierung des tatsächlichen Ausführungskontexts, da sich viele Angriffe in legitime Anwendungen einschleusen und ihre schädlichen Aktivitäten so verbergen. Spezielle Machine-Learning-Fähigkeiten können zudem dafür sorgen, dass die Verhaltensanalyse-Technik ständig dazulernt und sich dank der stetig einfließenden Informationen über Bedrohungen fortwährend optimiert. Die Zahl der Fehlalarme sinkt damit auf ein absolutes Minimum, was für eine zusätzliche Entlastung der Mitarbeiter sorgt.

Fazit

Alexander Kehl, Regional Sales Manager DACH bei SentinelOne
Alexander Kehl, Regional Sales Manager DACH bei SentinelOne (Bild: SentinelOne)

Integrierter Next Generation-Endpunktschutz bietet Unternehmen effektive Alternativen zu herkömmlichen signaturbasierten AV-Lösungen sowie kosten- und aufwandsintensiven Multi-Vendor-Lösungen. Bei der Anschaffung lohnt sich dabei ein genauer Blick auf die eingesetzten Abwehrtechnologien sowie CPU-Auslastung, Plattform-Unabhängigkeit, Skalierbarkeit und Update-Prozesse der Endpunktlösung. Im Idealfall profitieren Unternehmen dann nicht nur von höchster Sicherheit, sondern auch von Kosteneinsparung und einer Verringerung des Administrationsaufwands.

Über den Autor: Alexander Kehl ist Regional Sales Manager DACH bei SentinelOne.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45153748 / Security)