{"id":18923,"date":"2021-05-21T11:26:00","date_gmt":"2021-05-21T09:26:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18923"},"modified":"2021-05-17T09:55:33","modified_gmt":"2021-05-17T07:55:33","slug":"die-bestmoegliche-strategie-fuer-eine-tiefgreifende-endpunksicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18923","title":{"rendered":"Die bestm\u00f6gliche Strategie f\u00fcr eine tiefgreifende Endpunksicherheit"},"content":{"rendered":"\n

Autor\/Redakteur: Stefan Schweizer, Vice President Sales DACH bei Thycotic<\/a>\/gg<\/p>\n\n\n\n

Wollen Cyberkriminelle erfolgreich ein Netzwerk infiltrieren, w\u00e4hlen sie als Einstiegspunkt meist einen Endpunkt. Haben sie diesen geknackt, nutzen sie in einem zweiten Schritt die dort gefundenen Passw\u00f6rter und damit verbundenen Berechtigungen, um sich lateral vom Endpunkt auf das Netzwerk zu bewegen. Um Exploits dieser Art nachhaltig zu verhindern, bedarf es einer gut durchdachten Endpoint Privilege Management (EPM)-Strategie, die auf einem Zero-Trust-Ansatz basiert und Zugriffsrechte gem\u00e4\u00df dem Least-Privilege-Prinzip einschr\u00e4nkt. Integrieren IT-Teams den EPM-Ansatz mit weiteren klassischen Endpunktschutztechnologien, k\u00f6nnen sie eine Verteidigung aufbauen, die die Transparenz erh\u00f6ht und selbst raffinierte Angriffe abwehrt.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Thycotic<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Wer das Risiko f\u00fcr Netzwerk-Infiltration \u00fcber Privilegien-Eskalation und Pass-the-Hash-Angriffe eind\u00e4mmen will, kommt um das konsequente Einschr\u00e4nken lokaler Administratoren-Rechte gem\u00e4\u00df dem Least-Privilege-Prinzip nicht vorbei. Richtlinienbasierte Kontrollen, einschlie\u00dflich Listen zum Gew\u00e4hren, Verweigern und Einschr\u00e4nken von Zugriffen auf Ger\u00e4te, Anwendungen und Dienste, k\u00f6nnen dabei sicherstellen, dass s\u00e4mtliche Nutzer nur die Zugriffsrechte erhalten, die sie zum Erledigen ihrer T\u00e4tigkeiten tats\u00e4chlich brauchen. Gleichzeitig halten sie die Schatten-IT unter Kontrolle. Das Erfolgsrezept von EPM ist dabei die Kombination von klassischem Privileged Access Management (PAM) und Anwendungskontrolle beziehungsweise Endpoint Application Control.<\/p>\n\n\n\n

Umfassender Endpunktschutz dank Kombination und Integration<\/strong><\/p>\n\n\n\n

Doch so viele Vorteile EPM auch bietet, so gibt es dennoch nicht zu vernachl\u00e4ssigende Aspekte der Endpunktsicherheit, die dieser Security-Ansatz nicht abdeckt. So ersetzt EPM etwa keine Firewalls, um Angriffe auf einen Endpunkt zu blockieren. Es authentifiziert zudem auch keine Benutzer bei der Anmeldung oder sch\u00fctzt Daten auf einem Endpunkt vor der Exfiltration. Dar\u00fcber hinaus kann EPM weder Malware von einem Endpunkt entfernen noch infizierte Endpunkte unter Quarant\u00e4ne stellen.<\/p>\n\n\n\n

Kurzum: F\u00fcr eine umfassende Endpunktsicherheit braucht es eine tiefgreifende Verteidigungsstrategie, die sich aus verschiedenen sich erg\u00e4nzenden Endpunktschutz-Tools und -Technologien zusammensetzt. Werden diese sinnvoll kombiniert, k\u00f6nnen IT- und Security-Abteilungen von einer bestm\u00f6glichen Abwehr selbst hochentwickelter Cyberangriffe sowie einer optimierten Verwaltung ihres Sicherheitstool-Stacks profitieren und die Effektivit\u00e4t der einzelnen Komponenten sogar optimieren.<\/p>\n\n\n\n

Die wichtigsten Endpoint-Security-Tools, und wie sie sich mit EPM erg\u00e4nzen<\/strong><\/p>\n\n\n\n

Anti-Virus<\/strong>: Antiviren- und EPM-L\u00f6sungen l\u00f6sen grunds\u00e4tzlich ganz unterschiedliche Probleme und m\u00fcssen daher erg\u00e4nzend eingesetzt werden. Genau wie Endpunkt-Firewalls zielt AV-Software in erster Linie darauf ab, Malware am Perimeter zu identifizieren und zu stoppen, w\u00e4hrend es bei EPM darum geht, den Endpunkt abzuschotten, damit Malware sich nicht weiter in den Systemen ausbreiten kann.<\/p>\n\n\n\n

Endpoint Detection and Response (EDR)<\/strong>: Wie EPM-L\u00f6sungen haben auch EDR-Systeme die Aufgabe, Exploits, die es schaffen, den AV-Schutz zu umgehen oder unbewusst von einem ahnungslosen Benutzer aktiviert werden, auf dem Endpunkt zu isolieren. Dabei liefern EDR-Tools aber auch n\u00fctzliche Daten \u00fcber die Endpunktnutzung. Sie helfen den Sicherheitsteams dabei, die Ursache eines Angriffs zu verstehen und festzustellen, ob sich dieser bereits \u00fcber den Endpunkt hinaus ausgebreitet hat. Durch kontinuierliches Sammeln und Analysieren von Daten s\u00e4mtlicher von einem Unternehmen verwalteter Endpunkte, bieten EDR-Systeme zugleich \u00dcberwachung, Alarmierung und Reporting. Die gesammelten Daten k\u00f6nnen dann verwendet werden, um das aktuelle Benutzerverhalten zu \u00fcberwachen und forensische Analysen durchzuf\u00fchren, nachdem ein Versto\u00df stattgefunden hat.<\/p>\n\n\n\n\n\n\n\n

Data Loss Prevention (DLP)<\/strong>: W\u00e4hrend sich Endpoint Privilege Management vor allem auf Berechtigungen und Privilegien konzentriert, ist Data Loss Prevention in erster Linie auf Daten ausgerichtet. Ziel ist es, Datenverletzungen und -lecks mithilfe von richtlinienbasierten Kontrollen, Datenverschl\u00fcsselung und Echtzeit-Aktivit\u00e4ts\u00fcberwachung zu unterbinden. Sobald potenziell b\u00f6sartige Aktivit\u00e4ten identifiziert werden, zum Beispiel wenn ungew\u00f6hnliche Kopien erstellt oder gro\u00dfe Mengen an Daten auf ein externes Laufwerk oder einen USB-Stick \u00fcbertragen werden, wird ein Alarm ausgel\u00f6st. Dabei erg\u00e4nzen sich EPM und DLP und sorgen so f\u00fcr noch mehr Sicherheit. Denn EPM unterst\u00fctzt DLP mit den entsprechenden Privilegien, um Endpunkte nach sensiblen Daten zu scannen und erh\u00f6ht so den DLP-Erfolg. Wie EPM-Systeme reagieren DLP-Tools automatisch, um Vorf\u00e4lle einzud\u00e4mmen, bevor sie aus dem Ruder laufen. Zudem stellen sie Audit-Protokolle bereit, falls es doch zu einer Datenverletzung kommt.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Thycotic<\/figcaption><\/figure>\n\n\n\n

Endpoint Protection Platform (EPP)<\/strong>: \u00c4hnlich wie die Antivirus-L\u00f6sung verfolgt auch die Endpoint Protection-Plattform das Ziel, Angriffe zu erkennen und zu stoppen, indem sie Malware blockiert, bevor sie \u00fcberhaupt gestartet wird. Dabei geht EPP jedoch weit \u00fcber das klassische AV hinaus und erkennt auch neue und bislang unbekannte Bedrohungen wirksam. Denn fortschrittliche EPP-L\u00f6sungen st\u00fctzen sich auf viele verschiedene Erkennungstechnologien, von statischen Indikatoren bis hin zur Verhaltensanalyse, um verd\u00e4chtige Aktivit\u00e4ten umfassend und schnell zu identifizieren. Wie bei AV erg\u00e4nzt EPM die EPP-L\u00f6sungen mit Least-Privilege-Funktionen, Reporting sowie Incident Response.<\/p>\n\n\n\n

File Integrity Monitoring (FIM)<\/strong>: Datei-Integrit\u00e4ts\u00fcberwachungsl\u00f6sungen beziehungsweise FIM-Tools erstellen in regelm\u00e4\u00dfigen Abst\u00e4nden Momentaufnahmen eines Endpunkts und vergleichen diese dann mit s\u00e4mtlichen \u00c4nderungen an einer Datei, um auf diese Weise verd\u00e4chtige Aktivit\u00e4ten sichtbar zu machen. Tritt etwas Verd\u00e4chtiges zutage, etwa eine pl\u00f6tzliche \u00c4nderung der Dateigr\u00f6\u00dfe oder ein Zugriff durch einen nicht autorisierten Benutzer, kann FIM Warnungen ausl\u00f6sen oder sofort Ma\u00dfnahmen ergreifen. EPM bietet \u00e4hnliche Funktionen, wenn es um Benutzer, Anwendungen und Dienste geht und erg\u00e4nzt sich daher ideal mit FIM-Tools.<\/p>\n\n\n\n

Reputation Engines<\/strong>: Ebenfalls gute Synergien ergeben sich durch die Integration von EPM-L\u00f6sungen mit Bedrohungsabwehr-Engines. Auf diese Weise lassen sich in Echtzeit Reputationspr\u00fcfungen durchf\u00fchren, damit Anwendungen, die als b\u00f6sartig bekannt sind, gar nicht erst ausgef\u00fchrt werden. F\u00fcr den Fall, dass eine unbekannte Anwendung nicht auf einer Abweisungsliste steht, kann die EPM-L\u00f6sung diese automatisch in eine Sandbox packen oder zu einer vor\u00fcbergehenden Abweisungsliste hinzuf\u00fcgen, bis sie von der IT-Abteilung auf ihre Gutartigkeit hin \u00fcberpr\u00fcft werden kann.<\/p>\n\n\n\n

Multi-Faktor-Authentifizierung (MFA)<\/strong>: MFA dient der Authentifizierung von Benutzern, indem \u00fcberpr\u00fcft wird, dass der Benutzer, der sich am Endpunkt anmeldet, auch tats\u00e4chlich derjenige ist, der er vorgibt zu sein. Dies geschieht mit verschiedenen Methoden wie SMS, Hardware- und Software-Tokens oder aber E-Mail. Indem der Nutzer in Echtzeit auf das MFA-System antwortet, typischerweise durch Eingabe eines tempor\u00e4ren Codes, best\u00e4tigt er, dass er ein Mensch und nicht etwa ein Bot ist. EPM kann mit MFA-Tools integriert werden, so dass Benutzer ihre Identit\u00e4t verifizieren m\u00fcssen, bevor entsprechende Berechtigungen erteilt oder erh\u00f6ht werden.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Thycotic<\/figcaption><\/figure>\n\n\n\n

System Center Configuration Manager (SCCM) beziehungsweise seit Version 1910 Microsoft Endpoint Configuration Manager (MECM):<\/strong> Dieses Microsoft-Tool wird eingesetzt, um neue Software, Software-Updates sowie Patches an Endpunkte zu verteilen. Eine Integration von SCCM-Tools in EPM-L\u00f6sungen bietet den IT-Teams einen Vorteil: Denn es kann automatisch \u00fcberpr\u00fcft werden, ob Software, Patches und Updates, welche von den Systemadministratoren neu bereitgestellt werden, die Least-Privilege-Richtlinien des Unternehmens erf\u00fcllen oder aber abgelehnt beziehungsweise angepasst werden m\u00fcssen.<\/p>\n\n\n\n

Ticketing-Systeme<\/strong>: Ebenfalls von Vorteil ist die Integration von EPM-Systemen mit Ticketing-Management-L\u00f6sungen wie zum Beispiel ServiceNow. Wenn Benutzer dann um Berechtigungen f\u00fcr eine Privilegienerh\u00f6hung bitten, durchl\u00e4uft ihre Anfrage automatisch die Support-Workflows, die von den Teams im Rahmen des EPMs bereits zuvor eingerichtet worden sind. Sie k\u00f6nnen daher schnell und problemlos genehmigt, verwaltet und gepr\u00fcft werden.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Beim Aufbau einer Endpunktsicherheitsstrategie empfiehlt sich, s\u00e4mtliche Bedrohungen der eigenen IT-Umgebung, egal ob sie von kriminellen Hackern oder Insider-Angreifern ausgehen, zu ber\u00fccksichtigen. F\u00fcr jedes m\u00f6gliche Szenario sollte dann eine effektive Verteidigungsstrategie entwickelt werden. Integrationen verschiedener Endpunkt-Sicherheitsl\u00f6sungen bieten den IT- und Security-Verantwortlichen hier viele Vorteile und sollten deshalb gezielt forciert werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wollen Cyberkriminelle erfolgreich ein Netzwerk infiltrieren, w\u00e4hlen sie als Einstiegspunkt meist einen Endpunkt. Haben sie diesen geknackt, nutzen sie in einem zweiten Schritt die dort gefundenen Passw\u00f6rter und damit verbundenen Berechtigungen, um sich lateral vom Endpunkt auf das Netzwerk zu bewegen. Um Exploits dieser Art nachhaltig zu verhindern, bedarf es einer gut durchdachten Endpoint Privilege Management (EPM)-Strategie, die auf einem Zero-Trust-Ansatz basiert und Zugriffsrechte gem\u00e4\u00df dem Least-Privilege-Prinzip einschr\u00e4nkt. Integrieren IT-Teams den EPM-Ansatz mit weiteren klassischen Endpunktschutztechnologien, k\u00f6nnen sie eine Verteidigung aufbauen, die die Transparenz erh\u00f6ht und selbst raffinierte Angriffe abwehrt.<\/p>\n","protected":false},"author":1,"featured_media":18925,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[5597,2243,6785,10130,13436,6332,14877,14878,4711,1942,11338],"class_list":["post-18923","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-anti-virus","tag-dlp","tag-edr","tag-endpunktsicherheit","tag-epm","tag-epp","tag-fim","tag-mecm","tag-mfa","tag-sccm","tag-thycotic"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18923","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18923"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18923\/revisions"}],"predecessor-version":[{"id":18928,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18923\/revisions\/18928"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18925"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18923"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18923"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18923"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}