ADMIN

2022

12

2022-11-29T12:00:00

Clientmanagement und Support

SCHWERPUNKT

097

Clients

Sicherheit

Endgeräte richtig schützen

Auf alles vorbereitet

von Martin Kuppinger

Veröffentlicht in Ausgabe 12/2022 - SCHWERPUNKT

Der Schutz von Endgeräten ist ein zentraler Baustein jedes Cybersicherheitskonzepts. Doch mit UEM, EPDR oder XDR gibt es eine ganze Reihe von Ansätzen und es stellt sich die Frage, was wirklich notwendig ist. Dazu stellen wir in diesem Artikel die zentralen Technologien vor und erläutern, was diese leisten. Der Artikel zeigt Unterschiede zwischen Endgeräteschutz und der kontinuierlichen Überwachung und Analyse von Sicherheitsereignissen sowie zwischen Grund- und erweiterten Sicherheitsfunktionen. So wird schnell deutlich, dass eine Technologie allein nicht ausreicht.

Das Marketing von IT-Anbietern ist von einer Unzahl an Schlagwörtern und Abkürzungen geprägt. Das gilt gerade auch im Bereich der Cybersichersicherheit. Selbst wenn wir nur die wichtigsten herauspicken, gibt es mit UEM, EDR, EPP, EPDR, NDR, MDR, XDR, SIEM, SOAR und SOCaaS schon eine beachtliche Zahl an Begriffen, die neben etablierten Werkzeugen wie Antivirus- oder Antimalware-Produkten zu beachten sind. Die gute Nachricht ist, dass manche dieser Akronyme schon wieder in neuen Ansätzen aufgehen – und Sie sich somit nicht alle im Detail einprägen müssen.
Welt der Akronyme
UEM (Unified Endpoint Management) steht für Werkzeuge, die drei Funktionen miteinander integrieren. Da ist zum einen das traditionelle Clientmanagement, also etwa die Verteilung von Betriebssystemen und der Software und das Patchmanagement, aber auch die Inventarisierung von Endgeräten. UEM integriert dabei das klassische Clienmanagement mit Fokus auf Windows und MacOS mit dem MDM (Mobile Device Management), also der Verwaltung mobiler Endgeräte. Außerdem sind Basisfunktionen im Bereich EPP (Endpoint Protection Platforms) heute auch gängiger Bestandteil führender UEM-Produkte.
EPP ist dabei faktisch der Nachfolger von Antivirus und Antimalware als erweiterte Schutzfunktionen für Endgeräte. Diese Tools sind in den meisten Fällen heute mit EDR-Funktionen (Endpoint Detection & Response) integriert, um nicht nur zu schützen, sondern auch schädliches Verhalten erkennen und darauf reagieren zu können. Daraus ergeben sich die EPDR-Produkte, die damit das zweite wichtige Marktsegment sind. Trotz einer gewissen Überlappung mit UEM ist EPDR typischerweise deutlich leistungsfähiger, wenn es um die Endgerätesicherheit geht.
Das Marketing von IT-Anbietern ist von einer Unzahl an Schlagwörtern und Abkürzungen geprägt. Das gilt gerade auch im Bereich der Cybersichersicherheit. Selbst wenn wir nur die wichtigsten herauspicken, gibt es mit UEM, EDR, EPP, EPDR, NDR, MDR, XDR, SIEM, SOAR und SOCaaS schon eine beachtliche Zahl an Begriffen, die neben etablierten Werkzeugen wie Antivirus- oder Antimalware-Produkten zu beachten sind. Die gute Nachricht ist, dass manche dieser Akronyme schon wieder in neuen Ansätzen aufgehen – und Sie sich somit nicht alle im Detail einprägen müssen.
Welt der Akronyme
UEM (Unified Endpoint Management) steht für Werkzeuge, die drei Funktionen miteinander integrieren. Da ist zum einen das traditionelle Clientmanagement, also etwa die Verteilung von Betriebssystemen und der Software und das Patchmanagement, aber auch die Inventarisierung von Endgeräten. UEM integriert dabei das klassische Clienmanagement mit Fokus auf Windows und MacOS mit dem MDM (Mobile Device Management), also der Verwaltung mobiler Endgeräte. Außerdem sind Basisfunktionen im Bereich EPP (Endpoint Protection Platforms) heute auch gängiger Bestandteil führender UEM-Produkte.
EPP ist dabei faktisch der Nachfolger von Antivirus und Antimalware als erweiterte Schutzfunktionen für Endgeräte. Diese Tools sind in den meisten Fällen heute mit EDR-Funktionen (Endpoint Detection & Response) integriert, um nicht nur zu schützen, sondern auch schädliches Verhalten erkennen und darauf reagieren zu können. Daraus ergeben sich die EPDR-Produkte, die damit das zweite wichtige Marktsegment sind. Trotz einer gewissen Überlappung mit UEM ist EPDR typischerweise deutlich leistungsfähiger, wenn es um die Endgerätesicherheit geht.
Auf der anderen Seite gibt es längst über alle Bereiche der IT hinweg SIEM-Anwedungen (Security Information and Event Management), die Sicherheitsfunktionen von einer Vielzahl von Systemen einsammeln und analysieren. Dazu gehören auch die Daten von Endgeräten. SIEM konvergiert inzwischen mit SOAR (Security Orchestration, Automation and Response) zu Lösungen, die nicht nur analysieren, sondern auch die automatisierte Reaktion auf kritische Ereignisse unterstützen.
Immer populärer wird auch XDR (eXtended Detection & Response), das EPDR mit NDR (Network Detection & Response) integriert und Ereignisse über alle Bereiche hinweg miteinander korreliert. Das ist wichtig, weil viele Angriffe zwar ihren Einstieg über ein Endgerät haben, sich dann aber über das Netzwerk zu anderen Endgeräten, ob Clients oder Server, ausbreiten. XDR steht oft als Managed Service bereit und wird dann als MDR (Managed Detection & Response) vermarktet. MDR stellt zusammen mit SOAR einen zentralen Baustein für SOCaaS-Angebote dar, also verwaltete Dienste, auf denen SOCs (Security Operations Center) basieren.
Endgeräteschutz ist keine umfassende Cybersicherheit
Endgeräte sind ein typischer Einstiegspunkt für Angreifer. Sie spielen in Schutzkonzepten neben der Sicherheit von digitalen Identitäten eine zentrale Rolle. Beim Zugriff auf Websites oder beim Empfang von Daten kann und muss Malware erkannt werden. Diese wird typischerweise im Rahmen eines Angriffs auf einem Endgerät platziert, um sich dann von dort weiter im Netzwerk auszubreiten. Damit sind auch Anomalien, die auf Clients auftreten, von zentraler Bedeutung für die Cybersicherheit.
Anders formuliert: Ohne einen starken Schutz von Endgeräten und die Analyse der Aktivitäten und sicherheitsrelevanten Ereignisse auf diesen gibt es keine umfassende Cybersicherheit. Auf der anderen Seite reicht der Schutz von Clients allein auch nicht aus. Das ist auch der Grund dafür, dass XDR immer mehr an Bedeutung gewinnt, weil es um eine integrierte Sicht auf Endgeräte – nicht nur Clients, sondern auch physische und virtuelle Server – und Netzwerkereignisse geht.
Die Unterstützung eines vollständige Cybersecurity-Zyklus benötigt eine Reihe von Technologien – UEM und EPDR/XDR spielen dabei eine wichtige Rolle.
Cyberhygiene und erweiterte Sicherheitsanalysen
Der Schutz von Endgeräten ist als grundlegende Sicherheitsmaßnahme damit auch ein wichtiger Teil der grundlegenden Cyberhygiene. Beim Blick auf das, was wir als Cyberhygiene bezeichnen, geht es dann allerdings eher um die grundlegenden Aspekte wie beispielsweise ein konsequentes Patchmanagement oder eben einen Basisschutz mithilfe von EPP respektive Antimalware-Werkzeugen. Die Funktionen umfassender EPDR-Anwendungen sind dann schon eher dem Bereich der erweiterten Sicherheitsanalysen zuzuordnen.
Für beide Bereiche, also den grundlegenden Schutz wie die erweiterten Sicherheitsanalysen, hat allerdings auch UEM eine wichtige Funktion. Beim grundlegenden Schutz geht es um Aspekte wie die System- und Sicherheitskonfiguration, um die gezielte Installation oder auch Deinstallation von Software und insbesondere um das Patchmanagement. Für die erweiterten Funktionen ist insbesondere das Assetmanagement respektive die Inventarisierung von Bedeutung, um eine umfassende Informationsbasis für Sicherheitsanalysen und gezielte Gegenmaßnahmen zu erhalten. Damit lassen sich beispielsweise Systeme mit kritischen Konfigurationen beim Auftauchen neuer Angriffsvektoren und Schwachstellen schnell für das Patchen oder gar das "Containment", also die Isolation, auswählen.
Die System- und Sicherheitskonfiguration zählt zu den Bereichen, deren Bedeutung für die Cybersicherheit nicht zu unterschätzen ist. Durch die Steuerung und Einschränkung von Systemfunktionen lassen sich viele Sicherheitsrisiken reduzieren. Schon die Gruppenrichtlinien für Win-dows-Systeme bieten hier vielfältige Möglichkeiten. Das gilt in gleichem Maße für das Management mobiler Endgeräte. Noch wichtiger ist die Kontrolle der installierten Software, ob klassische Anwendungen oder Apps. Gerade bei mobilen Endgeräten, auf denen Benutzer häufig Apps einrichten, ist dies von zentraler Bedeutung.
Das vielleicht wichtigste Element einer guten Cyberhygiene ist aber das Patchmanagement. In einer Zeit, in der Schwachstellen oft unmittelbar mit Bekanntwerden – und oft auch schon vorher – ausgenutzt werden, ist die Fähigkeit zur schnellen Verteilung von Patches essenziell. Neben dem automatischen Patchmanagement für Windows bieten hier UEM-Werkzeuge erweiterte Dienste. Wichtig dabei ist aber die Geschwindigkeit: Die Risikobewertung hat sich hier über die Jahre verändert. Während vor einer Dekade das Risiko von Systemausfällen durch das Patchen vielleicht noch eine gewisse Testperiode rechtfertigen konnte, überwiegt heute das Risiko durch Zero-Day-Attacken deutlich.
Bei den erweiterten Funktionen mithilfe von EPDR geht es dann um die Analyse von Ereignissen und die Reaktion, aber auch die gezielte Weiterleitung an zentrale Anwendungen für die Sicherheitsanalyse und Reaktion auf Ereignisse, wie sie sich bei XDR und SIEM/SOAR finden. Eine gute Cyberhygiene durch konsequente und gute Umsetzung der grundlegenden Sicherheitsmaßnahmen ist wichtig, reicht in der heutigen Bedrohungslandschaft aber längst nicht mehr aus, da auch bei guten Schutz- und Basismaßnahmen immer mit erfolgreichen Angriffen zu rechnen ist. Diese müssen IT-Verantwortliche zügig erkennen, um gezielt und schnell darauf reagieren zu können.
Da sowohl UEM als EPDR damit wesentliche Technologien sind, geht es bei der Auswahl von Produkten insbesondere darum, den Überschneidungsbereich zu erkennen und die Werkzeuge gezielt einzusetzen. Je leistungsfähiger das EPDR ist, desto mehr kann sich der Sicherheitsverantwortliche beim UEM auf die Stärken in den klassischen Funktionen für das Clientmanagement und MDM konzentrieren.
Welche Technologie wann hilft
Eine andere Perspektive, die bei der Auswahl der richtigen Produkte respektive bei einer gezielten Ergänzung des bestehenden Portfolios an Werkzeugen hilft, ist der Blick auf die verschiedenen Phasen im Cybersecurity-Zyklus und die Analyse der dafür erforderlichen Werkzeuge. Der etablierte NIST-Zyklus beschreibt die Phasen Identify, Protect, Detect, Respond und Recover, also die Identifikation von Schwachstellen und Sicherheitsrisiken, den Schutz, die Erkennung, die Antwort oder Reaktion und schließlich die Wiederherstellung. Dieser Zyklus lässt sich sinnvoll noch um die Phasen Prepare für die Vorbereitung von Schutz-, Reaktions- und Wiederherstellungskonzepten sowie Improve für die Auswertung des Status und die kontinuierliche Verbesserung erweitern.
Für die Identify-Phase sind weitere Tools wie das Attack Surface Management (ASM), das auch kontinuierliche Penetrationtests (Pentesting) umfassen kann, ein wichtiger Baustein. Bei Protect ist der Endgeräteschutz, zumindest als EPP-Funktionalität entweder separat oder als Teil von UEM, die Mindestmaßnahme für Endgeräte, idealerweise aber ergänzt um leistungsfähiges EPDR oder XDR – Letztere integrieren ja EPDR. Diese Werkzeuge adressieren dann, mit Blick auf die Endgeräte, auch die Phasen Detect und Respond.
Für die oft unterschätzte Recover-Phase spielt UEM dann wieder eine zentrale Rolle. Ein Recover ist von essentieller Bedeutung, um die Arbeitsfähigkeit der IT und damit des gesamten Unternehmens nach einem erfolgreichen Angriff schnell wieder zu ermöglichen. Dazu gehört auch die Wiederherstellung von Endgeräten – und UEM mit der automatischen Verteilung und Installation von Betriebssystemen und Software ist hier ein zentraler Baustein, neben guten Backup- und Recovery-Applikationen. Bei den beiden weiteren Phasen, also Prepare sowie Improve, geht es dann vor allem um Aspekte wie das IT-Risikomanagement, das Incident-Response- und das Business-Continuity-Management, wobei diese Funktionen auch für die weiteren Phasen relevant sind.
Alle diese Maßnahmen dürfen sich aber nicht auf technische Werkzeuge beschränken, sondern müssen durch Prozesse und trainierte Mitarbeiter und Partner unterstützt werden und getestet sein, damit sie im Krisenfall auch wirklich funktionieren.
Die richtige Basis schaffen
IT-Sicherheit beginnt nie auf der grünen Wiese, da es zumindest einen Basisschutz bei vielen Endgeräten und anderen Komponenten der IT-Umgebung gibt. Der Weg zu richtig guten Werkzeugen lässt sich daher in mehrere Schritte aufgliedern:
- IT-Verantwortliche müssen bereits vorhandene Tools im Bereich Cybersicherheit auflisten und analysieren, ob und welche Schwächen und nicht abgedeckten Anforderungen es gibt.
- Die Anforderungen an die Cybersicherheit sind zu analysieren und priorisieren.
- IT-Teams sind gefordert, ein Konzept auf technischer und organisatorischer Ebene für die Cybersicherheit einschließlich der Endgerätesicherheit als Gesamtbild und Sicherheitsarchitektur zu erstellen. Dies dient als Zielbild für die weitere Entwicklung.
- Bestehende Schwachstellen müssen analysiert werden. Dazu zählt die bereits genannte Analyse der bestehenden Werkzeuge auf bekannte Schwächen und nicht abgedeckte Anforderungen, aber auch ein Vulnerability Assessment (Schwachstellenanalyse), das idealerweise der Einstieg zu einem kontinuierlichen ASM (Attack Surface Management) ist.
- Danach gilt es zunächst, das vorhandene Portfolio an Cybersicherheitsanwendungen zu bereinigen. Häufig finden sich veraltete oder auch redundante Produkte. Nicht die Menge an Werkzeugen, sondern die richtigen, unterstützt durch eine durchdachte Organisation und Prozesse, sind entscheidend.
- Ein ganz wichtiger Aspekt ist dann die Definition des TOMs (Target Operating Models), also der Betriebsmodells. Hier geht es gerade im Bereich der Cybersicherheit darum, die externen Dienste wie MSSP (Managed Security Service Provider) oder SOCaaS (SOC-as-a-Service) zu definieren.
- Danach können IT-Verantwortliche dann Dienstleister, Clouddienste und Produkte auswählen und einführen, auf denen die Cybersicherheitsinfrastruktur zukünftig basieren wird.
Mit der Auswahl von Werkzeugen allein ist es dabei nicht getan. Es braucht UEM-Tools, gerade mit Blick auf das Patchmanagement und Recovery-Anforderungen. Es sind zudem EPDR oder XDR und eben auch das Betriebskonzept erforderlich: Zu diesem gehören nicht nur die Auswahl der Partner, sondern auch der Aufbau des internen Teams sowie die Definition von Prozessen für den Normalbetrieb ebenso wie für Krisen. Hier geht es dann auch um IRM (Incident Response Management) und BCM (Business Continuity Management), also Prozesse, die alle Bereiche hin zur Unternehmensleitung einbinden müssen.
Fazit
Über die von uns vorgestellten Technologien hinaus stellt sich schließlich noch die wichtige Frage nach der Notwendigkeit und dem Umfang von Managed Services. Die allerwenigsten Organisationen sind heute, schon aufgrund der Personalknappheit im Markt, in der Lage, alle Leistungen im erweiterten Bereich der Cybersicherheit selbst zu erbringen. Auch cloudbasierte Dienste müssen betrieben werden. Sicherheitsrelevante Ereignisse benötigen oft eine unmittelbare Reaktion.
Deshalb ist ein klar definiertes TOM so wichtig, das die Aufgaben der internen Organisation wie der Partner und Dienstleister klar beschreibt, sowohl für den Regelbetrieb als auch den Krisenfall. In den meisten Fällen sind mehrere Dienstleister notwendig, da die meisten Anbieter für XDR oder SOCaaS beispielsweise keine UEM-Dienste wie das Patchmanagement anbieten.
Davor steht aber die Frage, was Sie wirklich benötigen: UEM, EPDR oder XDR und erweiterte Dienste bis hin zum SOC-as-a-Service gehören dabei zu den Funktionen, die essentiell für die Cybersicherheit sind.
(jp)