zurück zum Glossar

Was ist

Endpunktsicherheit

?

Was ist die Geschichte von Endpoint Protection?

Der erste Computervirus, wie wir ihn heute kennen, gilt als Creeper aus dem Jahr 1971. Creeper zielte auf Mainframes ab und wurde mit der ersten Antivirensoftware (AV) namens Reaper konfrontiert. Interessanterweise war Reaper eigentlich ein Computerwurm, der Creeper entfernen sollte.


Lassen Sie uns ins Jahr 1994 vorspulen, als AV-Test berichtete, dass es 28.613 einzigartige Malware Beispiele in ihrer Datenbank, die bestätigen, dass Computerviren ein fortwährendes Problem sein würden. Da sich Malware als Bedrohung herauskristallisierte, wurden viele kommerzielle Antivirenprodukte, mit denen wir heute vertraut sind, in den 1990er Jahren auf den Markt gebracht.

Wie funktioniert Antivirus?

Traditionelle Virenschutzlösungen nutzten in ihrer einfachsten Form die sogenannte „signaturbasierte Erkennung“, um Viren und Schadsoftware zu erkennen und zu verhindern, dass sie auf Endgeräten ausgeführt werden.


Moderne Endpunktsicherheit mit NGAV und EDR ist zwar sehr effektiv bei der Abwehr von Bedrohungen, aber kein Anbieter oder keine Technik ist zu 100 Prozent effektiv.
Wenn eine neue Malware oder ein Virus gefunden wird, entwickeln Anbieter von Endpunktsicherheit eine Signatur, die der Signaturdatenbank des Anbieters hinzugefügt wird und auf allen Computern installiert ist, auf denen ihre Software ausgeführt wird. Die Signaturen ermöglichen es der AV-Software, Dateien zu scannen, um (hoffentlich) alle Malware/Viren zu erkennen und deren Ausführung zu verhindern.


Angreifer wurden auf den Prozess der Signaturaktualisierung aufmerksam. Um AV-Scans zu umgehen, die Malware blockieren würden, passten die Angreifer hinter der Malware die schädlichen Dateien leicht an, sodass sie nicht mit der exakten Signatur der AV-Datenbank übereinstimmten, was zu Infektionen führte.
Die Endpunktsicherheitsbranche versuchte, dem mit heuristischen oder generischen Erkennungen entgegenzuwirken. Bei leicht aktualisierter Malware wurden Teile des Codes mit älteren Varianten gemeinsam genutzt, sodass es mithilfe von Heuristiken möglich war, sich überschneidende Codes zwischen den Schadprogrammen zu erkennen.

Wie wirksam war der Virenschutz?

Trotz Heuristik verlor der Virenschutz, auf den wir uns jahrelang verlassen hatten, bei der Abwehr von Malware an Wirksamkeit. Im Jahr 2014 bestätigte eine Umfrage lediglich, was die meisten Sicherheitsexperten bereits wussten, und maß die Wirksamkeit von Antivirensoftware. Letztlich kam sie zu dem Schluss, dass „kein einziger AV-Anbieter die meiste Malware die meiste Zeit erkennen kann“, und es hieß weiter: „Am Tag 0 entdeckten nur 51% der AV-Scanner neue Malware-Proben.“

Was sind Endpoint Protection-Plattformen?

Angesichts der Notwendigkeit eines besseren Schutzes Endpunktsicherheit Anbieter rundeten ihr Angebot um zusätzliche Funktionen wie Personal Firewalls, Host Intrusion Prevention, Data Loss Prevention (DLP) oder Host-Verschlüsselung ab. Mit diesen neuen Funktionen zum Virenschutz wurden die Sicherheitssuiten für Endgeräte als Endpoint Protection Platforms (EPP) bekannt. Diese zusätzliche Funktion war zwar nützlich, verbesserte jedoch nicht wesentlich die Erkennungsrate von Malware, die immer noch die Hauptfunktion der Endpunktsicherheit ist.

Wie hat sich die Endpunktsicherheit weiterentwickelt?

Zum Glück haben wir in den letzten fünf Jahren eine rasante Entwicklung im Bereich der Endpunktsicherheit mit dem Aufkommen von Tools für Virenschutz (NGAV), Endpoint Detection and Response (EDR) und Endpunktsegmentierung erlebt. Dies ist begrüßenswert, da dateilose Angriffe und sich selbst verbreitende Ransomware weit verbreitet sind — und zu deren Bekämpfung ausgefeiltere Tools erforderlich sind.


Diese Tools greifen auf Funktionen zurück, die häufig über die Cloud bereitgestellt werden und heute im Bereich der Endpunktsicherheit eine wichtige Rolle spielen. Eine wichtige Technik ist die Sandbox-Malware-Analyse, mit der potenzielle Malware in einer virtuellen Umgebung ausgeführt wird, um festzustellen, ob eine Datei bösartig ist oder nicht.
Allgemeiner definiert CrowdStrike NGAV als:


... eine Kombination aus künstlicher Intelligenz, Verhaltenserkennung, Algorithmen für maschinelles Lernen und Exploit-Abwehr, sodass bekannte und unbekannte Bedrohungen vorhergesehen und sofort verhindert werden können.


Maschinelles Lernen, das zur Erkennung von Bedrohungen verwendet wird, besteht aus Algorithmen, die Malware vor der Ausführung identifizieren und in Echtzeit Millionen von Dateimerkmalen auswerten, um festzustellen, ob eine Datei bösartig ist. Die Abwehr von Sicherheitslücken hilft dabei, Angriffe ohne Malware zu verhindern, die auf Sicherheitslücken abzielen.
Indikatoren für Angriffe oder Angriffe sind eine weitere Technik, die heute häufig in der Endpunktsicherheit eingesetzt wird. Sie untersuchen das Verhalten sowohl legitimer Systemaktivitäten als auch verdächtiger Aktivitäten, um eine Reihe von Ereignissen zu erkennen, die auf Malware-Infektionsversuche oder bösartige Aktivitäten hinweisen.

 
Tools wie EDR ergänzen NGAV und bieten einen umfassenden Überblick über Endpunkte, sodass schädliche Dateien oder Prozesse erkannt und sofort eingedämmt werden können. EDR überwacht nicht nur Dateien, um zu verfolgen, wo sie sich befinden und was sie tun, sondern es untersucht auch die Endpunktaktivitäten und warnt vor allem, was mit Malware oder Ransomware zu tun hat, wie Änderungen an Prozessen, DLLs und Registrierungseinstellungen sowie Netzwerkaktivitäten.


Zu den Reaktionsmöglichkeiten gehören das nachträgliche Entfernen von Dateien oder das Isolieren von Endpunkten, um zu verhindern, dass Bedrohungen weiteren Schaden anrichten. Die umfassende Endpunkttransparenz von EDR ermöglicht auch die Bedrohungssuche, um proaktiv nach Anzeichen für Angriffe oder Bedrohungen zu suchen und detaillierte forensische Untersuchungen durchzuführen.


Auf welche Tools wird heute am meisten vertraut? Jüngsten Untersuchungen zufolge ist EDR mit 73% am häufigsten. Die Befragten geben jedoch auch an, dass sie über Antiviren-Funktionen verfügen, die alle bekannten schädlichen Dateien blockieren. Die Tatsache, dass die Mehrheit der Befragten über EDR-Funktionen verfügt, ist wahrscheinlich darauf zurückzuführen, dass die Anbieter von Endpunkt-Sicherheitslösungen, auf die sie sich in Sachen Virenschutz verlassen, einige EDR-Funktionen hinzugefügt haben.

Wie sieht die Zukunft der Endpunktsicherheit aus?

Die Endpunktsegmentierung ist ein weiteres Endpunktsicherheitstool, das verwendet wird, um die Ausbreitung von Ransomware und Malware zu verhindern.
Moderne Endpunktsicherheit mit NGAV und EDR ist zwar sehr effektiv bei der Abwehr von Bedrohungen, aber kein Anbieter oder keine Technik ist zu 100 Prozent effektiv. Eine aktuelle Umfrage zeigt, dass 56% der Befragten der Meinung sind, dass ihre Endpunkt-Sicherheitstools zwischen 1 und 10% der Malware übersehen.


Aus diesem Grund wird die Endpunktsegmentierung zusammen mit NGAV und EDR eingesetzt, um den Endpunkten Zero Trust zu verleihen. Sie blockiert jegliche Kommunikation von Endpunkt zu Endpunkt, die nicht ausdrücklich erlaubt ist. Dadurch wird die Angriffsfläche erheblich reduziert, die Bedrohungen wie Ransomware nutzen, um das Risiko unternehmensweiter Ransomware- und Malware-Angriffe zu verringern.

Erfahre mehr

  • Erweitern Sie Zero Trust mit Illumio Endpoint schnell bis zum Endpunkt — mehr erfahren hier.
  • Sehen Sie sich die Demo an um zu erfahren, wie Illumio Endpoint das Risiko beseitigt, das Endbenutzergeräte für Ihr Netzwerk darstellen.
  • Lesen Sie den Brief um mehr darüber zu erfahren, warum Sie EDR und Zero-Trust-Segmentierung kombinieren müssen, um am effektivsten gegen Ransomware und andere Cyberangriffe vorzugehen.
zurück zum Glossar

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr