This post is also available in: Français (Französisch) Español (Spanisch)
Im Hinblick auf die Netzwerksicherheit gibt es keine Einzellösung, die Unternehmen ausreichend vor der Vielzahl von Bedrohungen schützt. Einen umfassenderen Schutz bietet eine Kombination von Hardware und Software, die über mehrere Sicherheitsebenen verfügt und das Netzwerk so gegen verschiedene Gefahren absichert. Die für die sorgfältige Auswahl, Einführung und Aufrechterhaltung dieser Systeme erforderlichen zeitlichen, finanziellen und personellen Ressourcen stellen für jedes Unternehmen eine enorme Investition dar. Und doch befinden sich nicht alle Akteure eines Netzwerks auch zwangsläufig im Perimeter, weshalb der Netzwerkschutz für sie nicht immer ausreicht. Wenn die Endpunkte nicht mit der richtigen Sicherheitslösung geschützt werden, könnten diese Personen die Perimetersicherheit umgehen und Bedrohungen von außen mit in die Umgebung bringen. Das falsche Produkt für Endpunktsicherheit kann die gesamte Arbeit zur Sicherung des Netzwerks wieder zunichtemachen.
Nachfolgend finden Sie fünf wichtige Funktionen, die Ihr Endpunkt erfüllen muss, um negative Auswirkungen auf Ihre Netzwerksicherheit zu vermeiden:
1. Native Integration von Bedrohungsdaten
Laut einer Studie des Ponemon Institute von 2016 sind 39 Prozent der Befragten der Ansicht, dass sich alle Angriffe abwehren lassen, wenn sich das Unternehmen am öffentlichen Austausch von Bedrohungsdaten beteiligt. Durch die Nutzung globaler Bedrohungsdaten lassen sich die Schutzfunktionen einer Lösung um das gemeinsame Wissen einer globalen Gemeinschaft erweitern. Wenn andere Mitglieder der Gemeinschaft neuen Angriffen ausgesetzt sind, werden diese Informationen weitergegeben, sodass alle Mitglieder bekannte Gefahren automatisch erkennen und unbekannte Gefahren schnell identifizieren können.
Sowohl das Netzwerk als auch der Endpunkt sollten in den Austausch von Bedrohungsdaten einbezogen werden, um die wachsenden Bedrohungsdaten geräteübergreifend in der eigenen Umgebung anwenden zu können. Auch sollten sie die Daten untereinander austauschen, sodass eine am Endpunkt erkannte und verhinderte Bedrohung auch im Netzwerk erkannt und verhindert werden kann.
Doch Bedrohungsdaten allein reichen nicht aus. Die meisten Unternehmen, die sich am Datenaustausch beteiligen, versinken regelrecht in Daten, die sie nicht miteinander in Beziehung setzen oder in praktische Maßnahmen umsetzen können. Ohne die Fähigkeit zur automatischen Umsetzung von Bedrohungsdaten in neue Schutzmaßnahmen erwerben die Unternehmen lediglich mehr Daten. Das Problem wird verstärkt, wenn es keine native Integration zwischen den Komponenten in einer Umgebung gibt, in der diese Bedrohungsdaten generiert und ausgetauscht werden. Daten, die nicht nativ integriert sind und nicht automatisch in neue Schutzmaßnahmen umgesetzt werden können, lassen sich, wenn überhaupt, nur mit erhöhtem Personalaufwand nutzbar machen. Das Ergebnis wäre dann bloß ein mitarbeiterintensiverer Datenanalyseprozess.
2. Schutz vor bekannten und unbekannten Bedrohungen
Die meisten traditionellen Sicherheitsprodukte erkennen bekannte Bedrohungen, bevor sie in ein Unternehmen eindringen. Bis jedoch eine unbekannte Bedrohung erkannt wird, wurden jedoch in vielen Fällen bereits kritische Vermögenswerte kompromittiert. Die Erkennung ist also nicht leistungsfähig genug und obendrein zu spät. Hinzu kommt, dass Angreifer nicht nur auf bestehende Malware und Exploits setzen, sondern auch Angriffsstrategien ändern oder völlig neue entwickeln, um unter dem Radar zu bleiben. Daraus ergibt sich eine Fülle von Bedrohungen, die von den meisten Sicherheitsprodukten nicht bemerkt werden.
Die Erkennung und Problembehebung im Netzwerk oder am Endpunkt sind zwangsläufig zeitaufwändig, personalintensiv und ineffizient. Dieses Problem lässt sich vermeiden, wenn sowohl das Netzwerk als auch der Endpunkt bekannte und unbekannte Bedrohungen verhindern können. Im Idealfall stützen sich die Erkennungsfunktionen Ihrer Endpunktsicherheit nicht nur auf Signaturen oder die Bekanntheit eines Angriffs oder einer Schwachstelle, sondern machen auch von verschiedenen Analyse- und Präventionsmethoden Gebrauch, um ihre Wirkung zu maximieren.
3. Automatisierung
Angreifer können bei ihren Strategien von Automatisierung, Skalierbarkeit und Spezialtools Gebrauch machen. In der Umfrage „Economics of a Breach“ des Ponemon Institute von 2016 waren 68 Prozent der Befragten der Meinung, dass automatisierte Hacking-Tools erfolgreiche Angriffe erleichtern. Es gibt einen kompletten Wirtschaftszweig und Markt, über den diese Tools zu erschwinglichen Preisen verbreitet werden.
Zur Verteidigung gegen die immer ausgefeilteren Angriffe setzen viele Unternehmen ihre Hoffnung auf Punktlösungen, die aber oftmals komplex und ressourcenintensiv und anscheinend auch unzureichend sind. Um Angreifern einen Schritt voraus zu sein, muss ein Unternehmen dafür sorgen, dass erfolgreiche Angriffe schwieriger und weniger rentabel sind. Die Teilnehmer der genannten Umfrage gaben an, dass sich 60 Prozent der Angriffe verhindern lassen, wenn ihre Durchführung einen zusätzlichen Zeitaufwand von 40 Stunden erfordert. Die einzige Möglichkeit, dies auf skalierbare und nachhaltige Weise zu erreichen, ist durch automatisierte Prävention.
Die Erkennung im Netzwerk oder am Endpunkt ist nicht skalierbar, wenn ein Sicherheitsanalyst für die Untersuchung von Warnungen abgestellt werden muss. Automatisierung macht ein Unternehmen zu einem anspruchsvolleren Ziel, da sie den Erfolg eines Angriffs und somit den Gewinn verzögert und dazu führt, dass der Angreifer sein Glück bei einem anderen potenziellen Opfer versucht.
4. Gleichbleibend hoher Schutz
Benutzer werden immer mobiler und verbinden sich rund um den Globus mit internen Ressourcen. Dabei befinden sie sich jedoch oft außerhalb des Netzwerkperimeters des Unternehmens. Es sollte daher an allen Endpunkten, unabhängig von ihrem Verbindungsstatus – online oder offline, lokal oder remote – das gleiche Sicherheitsniveau gelten. Unterschiede führen zu einer Kompromittierung des Endpunkts und womöglich des gesamten Netzwerks, und zwar unabhängig davon, ob bereits ein Netzwerkschutz vorhanden ist. Die Endpunktsicherheit muss über den traditionellen Netzwerkperimeter hinaus erweitert werden, wo sich viele Cyberangriffe gegen Endbenutzer und Endpunkte richten und das Netzwerk nicht komplett sichtbar ist.
5. Vollständige Sichtbarkeit aller Aktivitäten im Netzwerk, am Endpunkt und in der Cloud
Moderne Angriffe durchlaufen bis zu ihrem Ziel mehrere Schritte. Um einen Angriff erfolgreich zu verhindern, müssen Unternehmen über eine vollständige Sichtbarkeit aller Benutzer, Geräte und Daten im Netzwerk, am Endpunkt und in der Cloud verfügen. Diese Sichtbarkeit ist notwendig, um die Hintergründe eines Angriffs zu verstehen, Sicherheitsrichtlinien im Netzwerk und am Endpunkt durchzusetzen und Sicherheitsereignisse miteinander in Verbindung zu bringen, um den Sicherheitsstatus des Unternehmens zu verbessern. Wenn nativ integrierte Bedrohungsdaten mit der automatisierten Erkennung bekannter und unbekannter Bedrohungen kombiniert werden, um unabhängig von der Verbindung oder dem Standort einen gleichbleibend hohen Schutz zu gewährleisten, können sich die Synergieeffekte äußerst positiv auf die Sicherheit eines Unternehmens auswirken. Dadurch wird das Unternehmen weniger attraktiv für potenzielle Angreifer, und auch die Wahrscheinlichkeit eines erfolgreichen gezielten Angriffs sinkt.
Eine falsche Lösung für Endpunktsicherheit kann dazu führen, dass Ihre Endpunkte anfällig für Bedrohungen sind und die aufwändigen Maßnahmen zur Sicherung des Netzwerks behindern oder gar zunichtemachten. Ihre Lösung für Endpunktsicherheit sollte alle Endpunkte kontinuierlich schützen sowie zusätzliche Funktionen für andere Teile des Unternehmens bieten und Ihre Netzwerksicherheit insgesamt stärken.
Der erweiterte Endpunktschutz Traps von Palo Alto Networks setzt auf multimethodale Prävention statt auf Erkennung von und Reaktion auf Sicherheitsverletzungen und verfügt über komplexe Methoden zur Malware- und Exploit-Prävention, die sowohl bekannte als auch unbekannte Bedrohungen verhindern. Als Bestandteil der Palo Alto Networks Security Operating Platform lässt sich Traps mit dem cloudbasierten Bedrohungsanalyse-Service WildFire integrieren, um vorhandene Bedrohungsdaten automatisch für die Malware-Prävention zu nutzen und damit Bedrohungen vorsorglich zu blockieren, bevor sie einen Endpunkt kompromittieren können.