Endpoint-Security gegen Endpunktbedrohungen (Endpoint-Delivered Threats)

Endpoint-Security schützt die an ein Netzwerk angeschlossenen Endgeräte (Endpunkte) vor Bedrohungen (Endpoint-Security-Threats) durch Dritte. Sie wird im Deutschen auch Endpunktesicherheit genannt.

Angriffe, die es auf Endpunkte eines Netzwerks abgesehen haben, gelangen in der Regel wie folgt in eine Organisation:

• Ein Gerät mit Malware, die sich lateral ausbreiten kann, wurde in das Unternehmensnetzwerk eingebracht. Das kann zum Beispiel ein portables Gerät sein.
• Benutzer werden dazu verleitet, schädliche Software herunterzuladen und zu installieren, unter der Vorgabe, dass es sich dabei um Virenschutzprogramme, Datenträgerbereinigungs- oder andere Dienstprogramm-Software handelt.

Angreifer hinterlassen häufig einen infizierten USB-Datenträger auf dem Parkplatz eines Unternehmens, in der Hoffnung, dass ein Mitarbeiter diesen mitnimmt und an ein vernetztes System anschließt. So können sie die Endpoint-Administration des Unternehmens umgehen. Die Verwirklichung eines solchen Angriffs ist jedoch teuer und für den Angreifer mit hohen Risiken verbunden, besonders wenn er selbst nicht vor Ort ist und deshalb ein eingeweihter Komplize lokal am Angriff mitwirken muss.

Häufig greifen deshalb sowohl opportunistische Angreifer als auch solche, die gezielte Angriffe auf Organisationen vornehmen, auf Social-Engineering-E-Mails zurück, die an Unternehmenskonten geschickt werden, um Benutzerendpunkte zu infizieren und so Zugriff auf das Netzwerk zu erlangen.

Diese Strategie ist einfach umzusetzen und kosteneffektiv, da die Angreifer den Angriff aus der Ferne ausführen können und Angriffe auf mehrere Benutzer und zu verschiedenen Zeitpunkten möglich sind.

Im Bericht „2013 Verizon Data Breach Investigations“ wird erläutert, dass im Rahmen einer solchen Kampagne ein Angreifer mit nur drei gezielte Phishing-E-Mails eine Chance von mehr als 50 % hat, mindestens einen Benutzer zum Klicken zu verleiten, und dadurch seinen Computer zu infizieren; zehn gezielte Phishing-E-Mails garantieren nahezu, dass mindestens ein Benutzer klickt und damit sein Gerät infiziert.

Ohne Endpoint-Security kann der Endpunkt nach der Infizierung einem Angreifer Zugriff auf gewaltige Datenmengen der Organisation liefern sowie Anmeldeinformationen preisgeben, die der Schlüssel zu kritischen Systemen und Daten sind. Das Risiko nimmt zu, wenn der infizierte Endpunkt mit dem Netzwerk verbunden ist und dem Angreifer so die laterale Ausbreitung durch die vernetzten Endpunkte der Organisation ermöglicht.

Endpoint-Security wird heutzutage immer komplexer, da Benutzer ihre privaten Geräte an das Unternehmensnetzwerk anschließen und immer mehr Mitarbeiter im Home Office arbeiten. Eine Organisation muss zwangsläufig akzeptieren, dass nicht der gesamte Verkehr auf dem Gerät des Benutzers unternehmensinterne Sicherheitskontrollen durchlaufen wird und dass die Organisation in vielen Fällen nicht die Kontrolle über alle Geräte besitzt, um eine umfassende Endpoint-Security-Lösung durchzusetzen.

Die beste Verteidigung ist deshalb ein geschichteter Endpoint-Security-Ansatz, der qualitativ hochwertige Sicherheitslösungen direkt am Endpunkt installiert, sodass schädliche Verhaltensweisen geprüft, Signaturen abgestimmt und der Verkehr von und zu dem Gerät untersuchet werden kann. Außerdem ist die Endpoint-Administration und -Erkennung sowie der Schutz vor Angriffen, die per E-Mail verbreitet werden, frühzeitig im Lebenszyklus eines Angriffs eine primäre Strategie zur Abwehr eines großen Volumens an Angriffen auf Endpunkte in einer Organisation.