Endpoint-Security
Schutzmöglichkeiten für die Schwächsten im Glied
Fortsetzung des Artikels von Teil 1
Die Überwachung der Endpunkte
Viele Geräte von Endanwendern haben vollen Zugriff auf die IT-Infrastruktur der Unternehmen und bieten Hackern über ihre Masse an privaten Unternehmensdaten viel Angriffsfläche. Das Problem verschärft sich noch, denn BYOD hat dazu geführt, dass eine immer größere Menge an Endgeräten auf Unternehmensdaten zugreifen kann. Mit immer mehr und schneller wechselnden Geräten vervielfachen sich die Sicherheitsrisiken. Die Analysten von Gartner sagen vorher, dass sich bis 2020 die Strategien zur Absicherung der Unternehmens-IT auf die Sicherung der Endpunkte in der Infrastruktur ausrichten werden.
Wie aber überwacht man diese Flut an ständig wechselnden Endgeräten? IT-Analytics, genauer gesagt ETDR-Lösungen (Endpoint-Threat-Detection-and-Response), überwachen kontinuierlich Muster oder aus dem Rahmen fallendes Verhalten in der IT-Umgebung eines Unternehmens, die auf böswillige Absicht schließen lassen. Sie nutzen dafür eine Kombination aus Echtzeit-Analyse und historischen Daten. Jeder Endpunkt wird überwacht: Welche Accounts und Privilegien sind damit verbunden, welche Anwendungen werden wie oft genutzt, wie sind die Geräte konfiguriert, welche Netzwerkverbindung besteht und welche Webanfragen von innerhalb und außerhalb des Unternehmens werden gestellt? Welche Cloud- und SaaS-Dienste werden angefragt? Wird gegen eine Richtlinie verstoßen, gehen von einem Account ungewöhnliche Aktionen aus oder verbindet er sich an andere Zielpunkte, mit anderen Anwendungen als sonst? Fließen Daten in ungewöhnlicher Menge zu seltsamen Zielpunkten?
In solchen Fällen reportet die Lösung eine Reihe an Informationen wie die entsprechende IP-Adresse, die MAC-Adresse, den Port, die Ziel-IP-Adresse und Informationen über den Anwender und seine Rolle. Ein Alarm geht in Echtzeit an die IT-Abteilungen und Sicherheitsbeauftragten, regelbasiert erfolgt gleichzeitig eine vorher festgelegte Reaktion. So können Unternehmen die Einhaltung von Sicherheitsregeln garantieren, schnell Schwachpunkte entdecken und die Auswirkungen eines Angriffs reduzieren, bevor er richtig Wirkung zeigt. Ein weiterer Vorteil der ETDR-Lösung ist der Blick auf die Konfiguration der Sicherheitssysteme aus Anwendersicht: leisten sie, was sie sollen? Wurden sie verändert? Kombiniert man Daten aus der kontextuellen ETDR-Echtzeit-Analyse mit den Informationen aus Logs und Infrastrukturkomponenten wie Sicherheits-Appliances, Switches und Routern oder Applikationsservern, wie sie in einer SIEM-Lösung gesammelt werden, so kommt man auf ein hohes Sicherheitsniveau.
Die optimale Kombination
Fast alle wesentlichen Sicherheitsvorfälle in den letzten Jahren waren das Ergebnis menschlicher Fehler oder Täuschung. Die technische Abwehr ist dabei ein Teil der Lösung: Der umfassende Blick auf jeden Endpunkt gibt die Informationen über die Nutzung von Anwendungen, den Status der Accounts und seine Privilegien, Gerätekonfigurationen, Netzwerkverbindungen und Webanfragen. Der zweite Teil ist die menschliche Komponente: Unternehmen müssen den Mitarbeitern klare Vorgaben darüber geben, was bei der Nutzung der IT-Infrastruktur und IT-Dienste von ihnen erwartet wird. Denn es ist zwar wichtig, das Richtige zu tun, aber noch essenzieller ist es, zu wissen, wie das Falsche aussieht.
- Schutzmöglichkeiten für die Schwächsten im Glied
- Die Überwachung der Endpunkte
Lesen Sie mehr zum Thema
