Die bestmögliche Strategie für eine tiefgreifende Endpunksicherheit
Autor/Redakteur: Stefan Schweizer, Vice President Sales DACH bei Thycotic/gg
Wollen Cyberkriminelle erfolgreich ein Netzwerk infiltrieren, wählen sie als Einstiegspunkt meist einen Endpunkt. Haben sie diesen geknackt, nutzen sie in einem zweiten Schritt die dort gefundenen Passwörter und damit verbundenen Berechtigungen, um sich lateral vom Endpunkt auf das Netzwerk zu bewegen. Um Exploits dieser Art nachhaltig zu verhindern, bedarf es einer gut durchdachten Endpoint Privilege Management (EPM)-Strategie, die auf einem Zero-Trust-Ansatz basiert und Zugriffsrechte gemäß dem Least-Privilege-Prinzip einschränkt. Integrieren IT-Teams den EPM-Ansatz mit weiteren klassischen Endpunktschutztechnologien, können sie eine Verteidigung aufbauen, die die Transparenz erhöht und selbst raffinierte Angriffe abwehrt.
Wer das Risiko für Netzwerk-Infiltration über Privilegien-Eskalation und Pass-the-Hash-Angriffe eindämmen will, kommt um das konsequente Einschränken lokaler Administratoren-Rechte gemäß dem Least-Privilege-Prinzip nicht vorbei. Richtlinienbasierte Kontrollen, einschließlich Listen zum Gewähren, Verweigern und Einschränken von Zugriffen auf Geräte, Anwendungen und Dienste, können dabei sicherstellen, dass sämtliche Nutzer nur die Zugriffsrechte erhalten, die sie zum Erledigen ihrer Tätigkeiten tatsächlich brauchen. Gleichzeitig halten sie die Schatten-IT unter Kontrolle. Das Erfolgsrezept von EPM ist dabei die Kombination von klassischem Privileged Access Management (PAM) und Anwendungskontrolle beziehungsweise Endpoint Application Control.
Umfassender Endpunktschutz dank Kombination und Integration
Doch so viele Vorteile EPM auch bietet, so gibt es dennoch nicht zu vernachlässigende Aspekte der Endpunktsicherheit, die dieser Security-Ansatz nicht abdeckt. So ersetzt EPM etwa keine Firewalls, um Angriffe auf einen Endpunkt zu blockieren. Es authentifiziert zudem auch keine Benutzer bei der Anmeldung oder schützt Daten auf einem Endpunkt vor der Exfiltration. Darüber hinaus kann EPM weder Malware von einem Endpunkt entfernen noch infizierte Endpunkte unter Quarantäne stellen.
Kurzum: Für eine umfassende Endpunktsicherheit braucht es eine tiefgreifende Verteidigungsstrategie, die sich aus verschiedenen sich ergänzenden Endpunktschutz-Tools und -Technologien zusammensetzt. Werden diese sinnvoll kombiniert, können IT- und Security-Abteilungen von einer bestmöglichen Abwehr selbst hochentwickelter Cyberangriffe sowie einer optimierten Verwaltung ihres Sicherheitstool-Stacks profitieren und die Effektivität der einzelnen Komponenten sogar optimieren.
Die wichtigsten Endpoint-Security-Tools, und wie sie sich mit EPM ergänzen
Anti-Virus: Antiviren- und EPM-Lösungen lösen grundsätzlich ganz unterschiedliche Probleme und müssen daher ergänzend eingesetzt werden. Genau wie Endpunkt-Firewalls zielt AV-Software in erster Linie darauf ab, Malware am Perimeter zu identifizieren und zu stoppen, während es bei EPM darum geht, den Endpunkt abzuschotten, damit Malware sich nicht weiter in den Systemen ausbreiten kann.
Endpoint Detection and Response (EDR): Wie EPM-Lösungen haben auch EDR-Systeme die Aufgabe, Exploits, die es schaffen, den AV-Schutz zu umgehen oder unbewusst von einem ahnungslosen Benutzer aktiviert werden, auf dem Endpunkt zu isolieren. Dabei liefern EDR-Tools aber auch nützliche Daten über die Endpunktnutzung. Sie helfen den Sicherheitsteams dabei, die Ursache eines Angriffs zu verstehen und festzustellen, ob sich dieser bereits über den Endpunkt hinaus ausgebreitet hat. Durch kontinuierliches Sammeln und Analysieren von Daten sämtlicher von einem Unternehmen verwalteter Endpunkte, bieten EDR-Systeme zugleich Überwachung, Alarmierung und Reporting. Die gesammelten Daten können dann verwendet werden, um das aktuelle Benutzerverhalten zu überwachen und forensische Analysen durchzuführen, nachdem ein Verstoß stattgefunden hat.
