Suchen

Channel Fokus: Endpoint Security & IAM Unternehmenssicherheit vor dem Untergang?

Autor: Dr. Andreas Bergler

Der Job, für eine stabile Sicherheitsarchitektur zu sorgen, kann biblische Ausmaße annehmen. Und wie in der Bibel der Babylonische Turm an den einzelnen Menschen scheiterte, so kann auch ein sicheres Netzwerk an den einzelnen Geräten und den Menschen scheitern, den Endpunkten.

Firmen zum Thema

Ein Unternehmen ist nur so sicher wie die Mitarbeiter es sind. In puncto Sicherheit sollten sie diesselbe Sprache sprechen.
Ein Unternehmen ist nur so sicher wie die Mitarbeiter es sind. In puncto Sicherheit sollten sie diesselbe Sprache sprechen.
(Bild: breakermaximus - stock.adobe.com)

So schwer wie heute hatten es Security-­Verantwortliche noch nie: In den vergangenen drei Monaten sind sowohl die ­Sicherheitsbedrohungen als auch die Arbeitsbelastung in der IT dramatisch angestiegen. Einer aktuellen Studie des „Unified-IT“-Anbieters Ivanti zufolge erlebten 66 Prozent der befragten IT-Fachleute ­einen deutlichen Anstieg von Sicherheitsproblemen in diesem Zeitraum. Seitdem fast alle Unternehmen bedingt durch die Shutdown-Maßnahmen infolge der Corona-Pandemie (Canalys-Report: Cybersecurity Market Q1 2020) ihre Belegschaft zum großen Teil ins Homeoffice geschickt haben, ist für viele IT-Mitarbeiter die Arbeitsbelastung drastisch gestiegen.

Vorfälle und Anfragen an die IT betrafen in besagtem Zeitraum größtenteils Probleme mit der VPN-Verbindung (74 %) und mit Videokonferenzen (56 %). Bandbreiten-Engpässe, Passwort-Reset-Aktionen und das Senden und Empfangen von Nachrichten gehörten jeweils für rund die Hälfte zum täglich Brot. Ursächlich, so der Report weiter, waren in 58 Prozent der ­Fälle bösartige E-Mails, bei 45 Prozent ein „risikoreiches, nicht regelkonformes Mitarbeiterverhalten“ und bei knapp einem Drittel (31 %) die weithin unterschätzte „Zunahme bei Software-Schwachstellen“.

Zauberformel EDR

All diese Probleme stellen eine zusätzliche Belastung zur ohnehin prekären Situation für IT-Verantwortliche dar, wenn es darum geht, das Unternehmensnetz gerade dort sicher zu machen, wo es am verwundbarsten ist: Bei den Endgeräten und den Mit­arbeitern, die davorsitzen. „Endpoint Detection and Response“ (EDR) heißt das Elixier, das die Security-Anbieter den Unternehmen gegen die wachsende Unsicherheit verabreichen. Es ist ein umfassendes Konzept zur technischen Absicherung der Endpunkte.

Als Begriff von dem Gartner-Analysten Anton Chuvakin vor sieben Jahren ins Leben gerufen, sollen EDR-Systeme alle auf den Endgeräten anfallenden Aktivitäten und Daten sammeln, die im Zusammenhang mit Bedrohungen stehen könnten, diese Daten analysieren und darin Muster erkennen, um schließlich automatisiert auf Angriffe reagieren oder sie gleich abwehren zu können. Zusätzlich können noch forensische Tools in Anschlag gebracht werden, um verdächtige Aktivitäten zu identifizieren.

Kein Wunder also, dass das Akronym EDR im Lauf der Zeit immer öfter mit „Enterprise­ Detection And Response“ übersetzt wurde, um sich schließlich in dieser Bedeutung zu etablieren. Über die Jahre gleich geblieben ist die Betonung auf Übersichtlichkeit und Automatisierung der Lösungen. Alle Endpoints im Unternehmensnetzwerk sollen automatisiert überwacht werden, um Bedrohungen zu erkennen, zu priorisieren, zu untersuchen und zu neutralisieren. So versprechen es zumindest fast unisono die zahlreichen Security-Anbieter.

EDR: So sehen es die Analysten

In der Studie „Enterprise Detection and ­Response, Q1, 2020“ haben die Analysten von Forrester folgende zwölf Unternehmen als die wichtigsten Player im EDR-Markt – ­ohne Anspruch auf Vollständigkeit – identifiziert: Bitdefender, BlackBerry Cylance, CrowdStrike, Cybereason, Elastic, Kaspersky, McAfee, Microsoft, Palo Alto, ­SentinelOne, Trend Micro und VMware Carbon Black. Für die Unterscheidung zwischen „Challengers“ und „Leaders“ wurde hierbei die unterschiedliche Stärke der angebotenen Lösungen in Security Analytics als wichtigstes Differenzierungsmerkmal gewertet.

Die Gewichtung auf „Detection and Response“ schließt allerdings Anbieter aus, deren Lösungen eher die „Endpoint- und Threat-Prevention“ betonen, wie etwa den Hersteller Sophos mit Intercept X. ­Bemerkenswert in der kleinen Gruppe der „Leaders“: ­Neben dem altbekannten Security-Hersteller Trend Micro befinden sich der ­Anbieter CrowdStrike, der mit seiner Cloud-native-Infrastruktur erst seit 2017 in der DACH-Region agiert, sowie Microsoft mit der Lösung „Defender Advanced Threat Protection“.

Den Security-Verantwortlichen empfiehlt Forrester, besonders auf die analytischen Fähigkeiten eines Abwehrsystems zu schauen, um einzelne Security-relevante Ereignisse schnell und automatisiert ­kategorisieren zu können. Dazu sollten vorgefertigte Reaktionsschemata und die Fähigkeit kommen, alle Aktionen miteinander zu orchestrieren und für die ­Verantwortlichen nachvollziehbar zu gestalten. Last not least sollte die Bedrohungsabwehr Informationen aus dem Framework „ATT&CK“ nutzen können und entsprechende Reports zur Verfügung stellen können. Alles in allem keine leichte Aufgabe. So bekennt denn auch Frank Dickson, Program Vice President, Security and Trust bei IDC, in aller Demut: „Als wir den Wert von EDR erkannt ­haben, haben wir uns verlaufen.“ Laut IDC-Studie „Endpoint Security 2020: The Resurgence of EPP and the Manifest Destiny of EDR“ ist es ein „Auftrag für Narren“, eine schlechte Absicherung der Endgeräte, mithilfe von EDR zu flicken.

Von EDR zu SASE

Entsprechend deutet auch Forrester schon die nächste Generation von EDR an: Extended Detection and Response (XDR) soll schon in den nächsten zwei Jahren die Endpoints, das Netzwerk und im Unternehmen verteilte Applikationen vereinen. Übersetzt in Cloud-Sprech geht die Entwicklung damit eindeutig in Richtung SASE (Secure Access Service Edge), beziehungsweise ist XDR dann von SASE wohl kaum mehr zu unterscheiden. Unter dem Begriff sollen Netzwerk- und Sicherheitsarchitekturen auf einer einheitlichen Cloud-Plattform ein neues Zuhause finden. Kernelemente des neuen, Cloud-getriebenen Konzepts sind laut den Analysten von Gartner SD-WAN, SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), ZTNA (Zero Trust Network Access) und „Next Generation Firewalls as a Service“. Der Trend, alles zu verschmelzen, zeichnet sich seit Langem auch im Bereitstellungsmodell On Premises ab: Securitygeräte übernehmen Netzwerkfunktionen, Netzwerkgeräte werden mit Security veredelt. Basis des neuen Trends in alten Leitungen ist die „identitätsgetriebene Zuordnung“, die sich auf Personen, Applikationen, Services oder auch Geräte erstreckt.

Von EDR zu IAM

Die Identität aber ist nicht nur philosophisch ein äußerst anspruchsvolles Thema, sondern auch in der IT-Security als zu schützende Entität nur sehr schwer greifbar. Während sich „Endpoint Detection & Response“ auf die technischen ­Aspekte, die Endpunkte als Geräte bezieht, hat sich um die Absicherung der „menschlichen Endpunkte“ mit IAM (Identity & Access Mangement) ein eigenes Betätigungsfeld für die Anbieter entwickelt. Die Marktforscher von Gartner listen in ihrem „Magic Quadrant für ­Access Mangement“ Hersteller wie Okta, Microsoft, Ping Identity, IBM und Oracle (als Leaders), dicht gefolgt von ­AuthO, Idaptive, ForgeRock und One­Login. Gartner sieht hier enormes Zukunftspotenzial: Allein die Multifaktor-­Authentifizierung wird sich für den Zugang von rund 70 Prozent aller Applikationen im Jahr 2024 durchgesetzt haben.

(ID:46676809)

Über den Autor

Dr. Andreas Bergler

Dr. Andreas Bergler

CvD IT-BUSINESS, Vogel IT-Medien