Sysbus
ArtikelSecurity

Die bestmögliche Strategie für eine tiefgreifende Endpunksicherheit

gg

Data Loss Prevention (DLP): Während sich Endpoint Privilege Management vor allem auf Berechtigungen und Privilegien konzentriert, ist Data Loss Prevention in erster Linie auf Daten ausgerichtet. Ziel ist es, Datenverletzungen und -lecks mithilfe von richtlinienbasierten Kontrollen, Datenverschlüsselung und Echtzeit-Aktivitätsüberwachung zu unterbinden. Sobald potenziell bösartige Aktivitäten identifiziert werden, zum Beispiel wenn ungewöhnliche Kopien erstellt oder große Mengen an Daten auf ein externes Laufwerk oder einen USB-Stick übertragen werden, wird ein Alarm ausgelöst. Dabei ergänzen sich EPM und DLP und sorgen so für noch mehr Sicherheit. Denn EPM unterstützt DLP mit den entsprechenden Privilegien, um Endpunkte nach sensiblen Daten zu scannen und erhöht so den DLP-Erfolg. Wie EPM-Systeme reagieren DLP-Tools automatisch, um Vorfälle einzudämmen, bevor sie aus dem Ruder laufen. Zudem stellen sie Audit-Protokolle bereit, falls es doch zu einer Datenverletzung kommt.

Bild: Thycotic

Endpoint Protection Platform (EPP): Ähnlich wie die Antivirus-Lösung verfolgt auch die Endpoint Protection-Plattform das Ziel, Angriffe zu erkennen und zu stoppen, indem sie Malware blockiert, bevor sie überhaupt gestartet wird. Dabei geht EPP jedoch weit über das klassische AV hinaus und erkennt auch neue und bislang unbekannte Bedrohungen wirksam. Denn fortschrittliche EPP-Lösungen stützen sich auf viele verschiedene Erkennungstechnologien, von statischen Indikatoren bis hin zur Verhaltensanalyse, um verdächtige Aktivitäten umfassend und schnell zu identifizieren. Wie bei AV ergänzt EPM die EPP-Lösungen mit Least-Privilege-Funktionen, Reporting sowie Incident Response.

File Integrity Monitoring (FIM): Datei-Integritätsüberwachungslösungen beziehungsweise FIM-Tools erstellen in regelmäßigen Abständen Momentaufnahmen eines Endpunkts und vergleichen diese dann mit sämtlichen Änderungen an einer Datei, um auf diese Weise verdächtige Aktivitäten sichtbar zu machen. Tritt etwas Verdächtiges zutage, etwa eine plötzliche Änderung der Dateigröße oder ein Zugriff durch einen nicht autorisierten Benutzer, kann FIM Warnungen auslösen oder sofort Maßnahmen ergreifen. EPM bietet ähnliche Funktionen, wenn es um Benutzer, Anwendungen und Dienste geht und ergänzt sich daher ideal mit FIM-Tools.

Reputation Engines: Ebenfalls gute Synergien ergeben sich durch die Integration von EPM-Lösungen mit Bedrohungsabwehr-Engines. Auf diese Weise lassen sich in Echtzeit Reputationsprüfungen durchführen, damit Anwendungen, die als bösartig bekannt sind, gar nicht erst ausgeführt werden. Für den Fall, dass eine unbekannte Anwendung nicht auf einer Abweisungsliste steht, kann die EPM-Lösung diese automatisch in eine Sandbox packen oder zu einer vorübergehenden Abweisungsliste hinzufügen, bis sie von der IT-Abteilung auf ihre Gutartigkeit hin überprüft werden kann.

Multi-Faktor-Authentifizierung (MFA): MFA dient der Authentifizierung von Benutzern, indem überprüft wird, dass der Benutzer, der sich am Endpunkt anmeldet, auch tatsächlich derjenige ist, der er vorgibt zu sein. Dies geschieht mit verschiedenen Methoden wie SMS, Hardware- und Software-Tokens oder aber E-Mail. Indem der Nutzer in Echtzeit auf das MFA-System antwortet, typischerweise durch Eingabe eines temporären Codes, bestätigt er, dass er ein Mensch und nicht etwa ein Bot ist. EPM kann mit MFA-Tools integriert werden, so dass Benutzer ihre Identität verifizieren müssen, bevor entsprechende Berechtigungen erteilt oder erhöht werden.

Bild: Thycotic

System Center Configuration Manager (SCCM) beziehungsweise seit Version 1910 Microsoft Endpoint Configuration Manager (MECM): Dieses Microsoft-Tool wird eingesetzt, um neue Software, Software-Updates sowie Patches an Endpunkte zu verteilen. Eine Integration von SCCM-Tools in EPM-Lösungen bietet den IT-Teams einen Vorteil: Denn es kann automatisch überprüft werden, ob Software, Patches und Updates, welche von den Systemadministratoren neu bereitgestellt werden, die Least-Privilege-Richtlinien des Unternehmens erfüllen oder aber abgelehnt beziehungsweise angepasst werden müssen.

Ticketing-Systeme: Ebenfalls von Vorteil ist die Integration von EPM-Systemen mit Ticketing-Management-Lösungen wie zum Beispiel ServiceNow. Wenn Benutzer dann um Berechtigungen für eine Privilegienerhöhung bitten, durchläuft ihre Anfrage automatisch die Support-Workflows, die von den Teams im Rahmen des EPMs bereits zuvor eingerichtet worden sind. Sie können daher schnell und problemlos genehmigt, verwaltet und geprüft werden.

Fazit

Beim Aufbau einer Endpunktsicherheitsstrategie empfiehlt sich, sämtliche Bedrohungen der eigenen IT-Umgebung, egal ob sie von kriminellen Hackern oder Insider-Angreifern ausgehen, zu berücksichtigen. Für jedes mögliche Szenario sollte dann eine effektive Verteidigungsstrategie entwickelt werden. Integrationen verschiedener Endpunkt-Sicherheitslösungen bieten den IT- und Security-Verantwortlichen hier viele Vorteile und sollten deshalb gezielt forciert werden.

Ähnliche Beiträge:

  1. Privilegierte Zugriffsrechte zeit- und kostensparend verwalten
  2. Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool
  3. Thycotic erweitert Privileged Access-Schutz auf MacOS
  4. ForeScout CounterACT bietet bestmögliche Sichtbarkeit, Transparenz und Kontrolle von Windows-10-Geräten

Das könnte dir auch gefallen

Verteiltes Arbeiten sicher aufgleisen

dcg

Quo vadis, Workspace-Management?

gg

Werkstatt-Experte Technolit sieht dem nächsten Audit gelassen entgegen

dcg