Was Sie wissen müssen
In diesem Hype Cycle werden die wichtigsten Innovationen im Bereich der Endpunktsicherheit dargestellt, um Marktführern im Sicherheitsbereich bei der Planung der Einführung und Umsetzung neuer Technologien zu helfen. Die Innovationen im Bereich Endpunktsicherheit konzentrieren sich auf eine schnellere, automatisierte Erkennung und Abwehr von Bedrohungen sowie auf die Beseitigung dieser Bedrohungen durch integrierte, erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR), um Datenpunkte und Telemetriedaten aus Lösungen wie Endpunkt, Netzwerk, Web, E-Mail und Identität zu korrelieren. Die Nachfrage nach unkomplizierten und sicheren Fernzugriffsmethoden ist ungebrochen, denn Desktop-as-a-Service (DaaS) und die Isolierung von Endgeräten und Browsern sorgen für mehr Kontrolle und Sicherheit. Die Einführung von Zero-Trust Netzwerkzugang (Zero-Trust Network Access, ZTNA) wird sich fortsetzen, zunehmend als Teil des Security Service Edge (SSE) oder eines umfassenderen Secure Access Service Edge (SASE). Dies ermöglicht den Zugriff auf Anwendungen von jedem Gerät aus über jedes beliebige Netzwerk, bei minimaler Beeinträchtigung der Nutzererfahrung.
Der Hype Cycle
Im Hype Cycle für Endpunktsicherheit werden Entwicklungen verfolgt, die Sicherheitsverantwortlichen helfen, ihre Unternehmen zu schützen. Bei der Entwicklung der Technologie gibt es zwei Tendenzen:
-
Neue Endpunkttechnologien umfassen die Isolierung des Endpunktzugriffs, endpunktagnostische Arbeitsplatzsicherheit sowie die Integration von Endpunktschutz-Tools und Upgrades.
-
Neue Nettoinvestitionen in die Sicherheit können sich auf neue Technologien und Anbieter konzentrieren, da die meisten Einkäufer ihre Anbieter konsolidieren.
Der betriebliche Aufwand, der durch den Einsatz interner Mitarbeiter für die Bedrohungsjagd entsteht, erfordert eine stärkere Korrelation der Signale und eine Automatisierung der Reaktion, um ausgefeilte, gezielte Angriffe abzuwehren. Dieser Hype Cycle zeigt, dass sich XDR wieder ausbreitet.
Einheitliche Endpunktsicherheit (Unified endpoint security, UES), die eine Endpunktschutzplattform (Endpoint Protection Platform, EPP) und MTD-Sicherheitsressourcen integriert, ist in diesem Hype Cycle auf dem Vormarsch. Während die Nutzung beschränkt ist, wird erwartet, dass Lösungen für den Betrieb von Endpunkten, die Geräte für eine konsistente Kontrolle und schnelle Abhilfemaßnahmen konfigurieren, zunehmen werden.
Die Einführung von Endpunkt-Erkennung und -Reaktion (Endpoint Detection and Response, EDR) schreitet voran, während EPP reift. In diesem Jahr wird die Sicherheit für kompromittierte Geschäfts-E-Mails (BEC) kompromittierte Konten erkennen, um Phishing zu verhindern. Netzwerkbasierte sichere Web-Gateways (Secure Web Gateways, SWGs) verhindern ebenfalls Angriffe auf Endpunkte, insbesondere auf Cloud-basierte. SSE übernimmt die Fähigkeiten von SWG.
Die Technologie unterstützt die Arbeit aus der Ferne und im Hybridmodell. Neue Fähigkeiten reifen und verbreiten sich.
Bringen Sie Ihren eigenen PC mit (Bring your own PC, BYOPC), einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) und DaaS sind ausgereift bei der Bewältigung von Problemen mit dem Zugriff und der Isolierung von Endpunkten, aber sie sind starr, was Technologien wie die Integration von Unternehmensanwendungen (Enterprise Application Integration, EAI) dazu ermutigt, den Berg zu erklimmen. SSE ermöglicht es ZTNA, dass jedes Gerät über jedes Netzwerk auf jede App zugreifen kann. Allein durch ZTNA sind die Endpunkte Online-Angriffen ausgesetzt und verlieren die Kontrolle über SaaS-Programme. ZTNA, SASE und neue Null-Vertrauensphilosophie-Implementierungen wie die automatisierte Verteidigung beweglicher Ziele (Automated Moving Target Defense, AMTD) werden in unterschiedlichem Tempo umgesetzt.
Edge Security Services werden gefördert. Käufer wünschen sich plattformübergreifende Sicherheitstools. UES-Produkte umfassen Telefone, Tablets und PCs. Die Verwaltung der Angriffsoberfläche (Attack Surface Management, ASM) und die Simulation von Angriffen ermöglichen ein einzigartiges Engagement und Verständnis des Eindringlings. XDR verwendet mehrere Domänen und Daten, um Bedrohungen schneller zu identifizieren. Der Gartner-Bericht „Konsolidierung von Sicherheitsanbietern“ vom Februar 2023 zeigt, dass Sicherheits- und Risikomanager die Konsolidierung von Anbietern bevorzugen, da sich die Technologie verbessert.
Die Prioritätsmatrix
Transformationelle Technologie
Aus Sicht von Gartner schützt SASE jede Anwendung, jedes Netzwerk und jeden Endpunkt. Sicherheitsverantwortliche sollten SASE nutzen, um Netzwerksicherheitslösungen wie SWG, Makler für Cloud-Zugangssicherheit (Cloud Access Security Broker, CASB) und ZTNA mit SD-WAN-Transformationen zu kombinieren und mit anderen Endpunktsicherheitslösungen zu verbinden, um Endpunkte unabhängig vom Standort zu sichern.
Schlüsseltechnologien
Im Zuge des Wachstums von XDR erwartet Gartner kommerzielle und technologische Anwendungsfälle. Diese Anwendungen simulieren gefälschte Angriffe, um Gefahren schnell zu erkennen. Endpunkt-Erkennung und -Reaktion , UEM und DaaS-Lösungen werden für die Sicherheit von BYOPC, UES und XDR unverzichtbar werden. Der Schutz vor Malware auf Endgeräten muss verbessert werden. Mit den Fortschritten der generativen KI werden Unternehmen dem BEC Priorität einräumen. Die Bewertung der Angriffsoberfläche (Attack Surface Assessment, ASA) und die Simulation von Angriffen (Breach Attack Simulation, BAS) sind Teil einer umfassenden Endpunktstrategie. Die Verwaltung von Angriffsoberflächen (Attack Surface Management, ASM) verwendet XDR-Telemetrie, um Angriffsoberflächen zu katalogisieren, ohne ASA oder BAS zu verwenden oder neue trügerische technologische Anwendungsfälle zu schaffen. Diese Technologien und die Gefährdungsverwaltung (Exposure Management, EM) ermöglichen es den Verteidigern, Erkennungs- und Angriffsverhalten miteinander zu korrelieren und maschinelles Lernen und Deep-Learning-Algorithmen durch die Verbesserung von Verhaltensmustern neue Methoden zu lehren.
Tabelle 1: Prioritätsmatrix für Endpunktsicherheit, 2023
|
Weniger als 2 Jahre
|
2–5 Jahre
|
5–10 Jahre
|
Mehr als 10 Jahre
|
|
Transformative
|
|
|
|
|
|
Hoch
|
|
|
|
|
|
Mittel
|
|
|
|
|
|
Gering
|
|
|
|
|
|
|
Quelle: Gartner (August 2023)
Auf dem Vormarsch
Unternehmensbrowser
Analyse von: Dan Ayoub
Vorteilsbewertung: MittelI just
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Unternehmensbrowser und -erweiterungen bieten Sicherheitsdienste für die Durchsetzung von Richtlinien, Transparenz und Produktivität über einen verwalteten Webbrowser oder Plug-in-Erweiterungen. In dieser Kategorie gibt es zahlreiche Produkte mit leichtgewichtigen Funktionen und Vorteilen, die denjenigen von SWG, CASB, ZTNA, RBI, VDI und VPN-Produkten ähneln. Unternehmensbrowser sind eine Ergänzung zu bestehenden Sicherheitslösungen und haben bereits erste Erfolge bei der Bereitstellung von Zugriffs- und Sicherheitsbewertungen für nicht verwaltete Geräte gezeigt.
Warum dies wichtig ist
Unternehmensbrowser bieten eine neue Möglichkeit zur Bereitstellung von Sicherheitsdiensten und zum Empfang von Echtzeit-Informationen von bestehenden Sicherheitsagenten, die in das Betriebssystem integriert sind. Viele dieser Produkte sind heute in der Lage, einige wichtige Funktionen und Vorteile anderer Sicherheitsprodukte zu bieten, aber es gibt immer noch Kompromisse. Es ist zu erwarten, dass sich diese Lücke im Laufe der Zeit schließen wird, wenn die Kategorie reifer wird und mehr Partner dem Ökosystem beitreten.
Geschäftliche Auswirkungen
Die vorhandenen Sicherheitsprodukte werden den Unternehmen auch weiterhin ein immer höheres Maß an Schutz, Zugangskontrolle und Berichtsanalysen bieten. Allerdings werden viele dieser Produkte die Funktionalität zur Unterstützung von Browsern über strategische Partnerschaften, Integrationen oder Browser-Erweiterungen erweitern. Es ist nicht davon auszugehen, dass Unternehmensbrowser die bestehenden Sicherheitskontrollen im gesamten Unternehmen ersetzen, sondern vielmehr die Reichweite dieser Tools erweitern, um zusätzliche Anwendungsfälle abzudecken.
Geschäftsfaktoren
-
Unternehmensbrowser greifen das neue Paradigma der Fernarbeit auf, um den sicheren Fernzugriff für Auftragnehmer, Zulieferer und Zweigstellen zu konsolidieren, die mit nicht standardisierten Geräten arbeiten.
-
Vorhandene Sicherheitslösungen haben oft Schwierigkeiten, nicht verwaltete Geräte zu unterstützen. Auf diesem Gebiet haben sich Unternehmensbrowser schon früh auf dem Markt durchgesetzt, da sie ein akzeptables Maß an sicherem Fernzugriff bieten, ohne dass der Endnutzer auf eine vertraute Umgebung verzichten muss.
-
Es ist davon auszugehen, dass kleine und mittelgroße Unternehmen diese Technologie ebenfalls frühzeitig einsetzen werden. Für Unternehmen mit einfacheren Umgebungen und Anforderungen ist ein Unternehmensbrowser eine kostengünstigere, zentral verwaltete Option, die ihren Reifegrad sofort erhöht, um bestehende Sicherheitskontrollen zu ersetzen oder neue hinzuzufügen.
-
Zahlreiche Anbieter von Sicherheitslösungen bieten bereits eine Integration mit Browsern über Erweiterungen an, während andere sich um strategische Partnerschaften und Integrationen mit Browserherstellern bemüht haben. Unternehmensbrowser repräsentieren eine neue Art der Bereitstellung von Sicherheitsdiensten für ein Unternehmen, die die Grenzen der traditionellen Netzwerksicherheitslösungen erweitern.
-
Anbieter von Unternehmensbrowsern integrieren zunehmend Sicherheitskontrollen wie Schutz vor Datenverlusten (Data Loss Prevention, DLP), Konfigurationsmanagement, Protokollierung und Integration mit Sicherheitsinformations- und Ereignisverwaltungsplattformen (Security Information and Event Management, SIEM)/Erweiterten Erkennungs- und Reaktionsplattformen (Extended Detection and Response, XDR), Identitätsschutz, Phishing-Schutz, Security Service Edge-Funktionen (SSE) und Überwachung bösartiger Aktivitäten bei Downloads und Erweiterungen.
Hindernisse
-
Kostenlose Browser sind inzwischen so allgegenwärtig, dass Unternehmen spezielle Anwendungsfälle vorweisen müssen, um die Anschaffung eines eigenen Browsers zu rechtfertigen. Diese Rechtfertigungen lassen sich leichter erkennen, wenn Unternehmen beginnen, das erweiterbare und flexible Potenzial des Browsers für Unternehmenssicherheit und -verwaltung zu erkennen. Es ist jedoch unwahrscheinlich, dass die Mehrheit der Unternehmen ein Budget für einen Unternehmensbrowser bereitstellen wird, ohne die Möglichkeit, diese Ausgaben anderweitig zu kompensieren.
-
Bei größeren Organisationen mit ausgereiften Cybersicherheits- und Infrastrukturabläufen kann es unpraktisch sein, die Komplexität ihrer bestehenden Umgebungen mit Enterprise Browsern zu reduzieren, obwohl es spezifische Anwendungsfälle geben kann, die eine relativ kleine Anschaffung rechtfertigen (z. B. die Bereitstellung von Day-1-Zugang für neue Organisationen, die durch Fusionen und Übernahmen hinzugekommen sind, die Verwaltung des Zugriffs von Auftragnehmern oder als mehrschichtige Sicherheitskontrollen über einer anfälligen kritischen Infrastruktur).
Nutzer-Empfehlungen
-
Beachten Sie, dass es eine verfehlte Strategie ist, alle Sicherheitskontrollen auf den Endpunkt (oder in diesem Fall den Browser) zu legen. Browserbasierte Integrationen können unter bestimmten Umständen sinnvoll sein, allerdings sind dann mehrere Integrationspunkte erforderlich.
-
Konzentrieren Sie sich auf hybride Angebote, die in der Lage sind, Browser zu nutzen, um einen sicheren Zugang zu Tools für die Mitarbeiterproduktivität zu ermöglichen.
-
Gehen Sie bei der Prüfung von Nachrichten und Versprechungen von Anbietern in diesem Bereich vorsichtig vor, da für bestimmte Anwendungsfälle immer noch eine spezielle Infrastruktur (Proxy, Gateway usw.) erforderlich sein kann.
-
Mit der Zeit werden immer mehr Funktionen von Sicherheits- und Produktivitätstools integriert. Allerdings befindet sich die Technologie noch im Anfangsstadium, so dass die Roadmaps der einzelnen Anbieter vom frühen Markterfolg abhängen werden.
Beispiele für Anbieter
Check Point Software Technologies; Ermes Cyber Security; Google; Island; Microsoft; Perception Point; Seraphic Security; SlashNext; SURF Security; Talon Cyber Security
Automatisierte Verteidigung beweglicher Ziele
Analyse von: Lawrence Pingree
Vorteilsbewertung: Hoch
Marktdurchdringung: 1 bis 5 % der Zielgruppe
Reifegrad: Aufkommend
Definition:
Die automatisierte Verteidigung beweglicher Ziele (Automated Moving Target Defense, AMTD) umfasst eine Reihe von Technologien, die Täuschungstechniken mit unvorhersehbaren automatisierten Änderungen an einem Endpunkt, seiner Konfiguration oder über Memory Morphing, Software-definierte Netzwerke, Containerisierung, Kryptographie oder andere Modifikationen an Laufzeitelementen kombinieren und es Angreifern so erheblich erschweren, Schwachstellen zu erkennen und auszunutzen.
Warum dies wichtig ist
-
AMTD geht von „erkennen und reagieren“ zu „proaktiver Täuschung und unvorhersehbaren Veränderungen“ über, um es Angreifern zu erschweren, Schwachstellen in einer gezielten IT-Umgebung auszunutzen.
-
Mittels AMTD auf Endpunkten werden Angreifer automatisch gestört, ohne dass umfangreiche Bedrohungsmodellierung, Bedrohungserkennungslogik oder Bedrohungsdaten erforderlich sind.
-
AMTD kann verhindern, dass Angreifer Muster in Netzwerken und Diensten analysieren.
-
Mitarbeiter des Sicherheitsdienstes sind überlastet und verbringen viel Zeit mit der Untersuchung von Fehlalarmen.
Geschäftliche Auswirkungen
Geschäftliche Auswirkungen umfassen folgende Bereiche:
-
Unternehmen, die sich stark auf Sicherheit konzentrieren, sind weiterhin mit fortschrittlichen Angriffen konfrontiert und müssen über eine unzureichende Erkennung und Reaktion hinausgehen.
-
AMTD unterstützt durchschnittliche Unternehmen bei der Bekämpfung aufkommender KI-Bedrohungen. AMTD bietet eine Alternative für Organisationen, die nicht über das Budget, das Personal oder die Zeit für den Einsatz von KI verfügen.
-
AMTD verspricht, die Anforderungen an das Sicherheitspersonal zu reduzieren, indem es die Falsch-Positiv-Raten von Erkennungs- und Reaktionstechnologien verringert, das Ausmaß der Auswirkungen reduziert und die Erkennung von fortgeschrittenen Angriffen verbessert.
Geschäftsfaktoren
-
AMTD-Technologien und akademische Studien haben neue Wege zur Umsetzung proaktiver Verteidigungsstrategien geschaffen, die für die Modernisierung der proaktiven statt der reaktiven Prävention erforderlich sind.
-
Angesichts der Überbetonung von Erkennungs- und Reaktionsstrategien, die nicht in der Lage sind, Sicherheitsverletzungen zu verhindern, sind AMTD-Technologien aufgetaucht, die in der Lage sind, einen neuen Wert für die Verteidigung zu liefern.
-
Systeme für die Arbeit von zu Hause aus sind eine wachsende Quelle für Datenschutzverletzungen in Unternehmen und für die Wiederverwendung von Zugangsdaten.
Hindernisse
-
Käufer haben oft falsche Vorstellungen darüber, dass bewegliche Zielverteidigungstechniken störend oder zu simpel sind, und verstehen die Vorteile der Verschleierung zur Abwehr von Bedrohungen auf Endpunktsystemen nicht vollständig.
-
Endpunkte, die am Arbeitsplatz von zu Hause genutzt werden, stoßen auf individuellen Widerstand gegen die Aufzeichnung von Verhaltensmustern aufgrund von Bedenken hinsichtlich des Datenschutzes und der Verwaltung.
-
Die Einführung von AMTD ist für Unternehmen angesichts der umfangreichen Investitionen in bestehende Sicherheitskontrollen (wie NGAV, EPP, EDR), die reaktiv angelegt sind, mit einem Sunk-Cost-Fehler verbunden. AMTD stellt proaktive Kontrollen zur frühzeitigen Erkennung von Bedrohungen bereit und kann bestehende Investitionen nicht ersetzen.
-
Ältere Technologien, einschließlich älterer Endpunkte, sind möglicherweise nicht für AMTD geeignet, was den Wert von AMTD für das Unternehmen verringert.
-
Anbieter von AMTD entwickeln die Technologie gerade erst und stehen vor dem Problem der Skalierbarkeit bei größeren Implementierungen, insbesondere bei netzwerkbasierten AMTD.
-
Das Timing. Die Kunden befinden sich bei vielen Sicherheitsprogrammen im Modus „Konsolidierung vs. Expansion“.
Nutzer-Empfehlungen
Nutzer, die eine automatische Verteidigung gegen bewegliche Ziele testen, sollten Folgendes tun:
-
Versuchen Sie, AMTD mit ausgereiften Sicherheitsteams zu nutzen, die eine Risikobereitschaft für Spitzentechnologie haben.
-
Priorisieren Sie AMTD als optionale Verteidigungsstrategie und Erweiterung des Technologieportfolios, wenn sie in bestimmten vertikalen Bereichen tätig sind, die eine hohe Verteidigungskritik aufweisen.
-
Bewerten Sie, welche AMTD-Lösungen für ihre Umgebung geeignet sind und es ihnen ermöglichen, eine Tiefenverteidigung zu erreichen und die Wirksamkeit der Täuschung zu maximieren.
-
Bewegen Sie sich vom reaktiven Endpunktschutz weg und wenden Sie sich der proaktiven Verteidigung zu. Es sollten Proof-of-Concept-Studien über die potenzielle Integration von AMTD-fähigen Lösungen im gesamten Sicherheitsstack durchgeführt werden.
-
Optimieren Sie aktuelle Tools wie EPP und EDR auf der Anwendungsebene in Workloads mit AMTD.
-
Decken Sie zuerst die Testarbeitsplätze und Endpunkte ab, da diese leicht angreifbare Ziele für Malware und Hackerangriffe sind.
-
Fordern Sie von den Sicherheitsanbietern, ihre Produktpläne mit automatisierten Technologien und Strategien zur Abwehr beweglicher Ziele zu erweitern, um den sich entwickelnden Bedrohungen zu begegnen.
Beispiele für Anbieter
Agita Labs; ARMS Cyber Defense; Cisco; Dispel; Dispersive; Hopr.co; Morphisec; NexiTech; R6 Security; RunSafe Security
Automatisierte Bewertung der Sicherheitskontrolle
Analyse von: Evgeny Mirolyubov, Jeremy D'Hoinne
Vorteilsbewertung: Mittel
Marktdurchdringung: 1 bis 5 % der Zielgruppe
Reifegrad: Aufkommend
Definition:
Die ASCA-Prozesse und -Technologien konzentrieren sich auf die Analyse und Behebung von Fehlern bei den Sicherheitskontrollen (z. B. Schutz von Endpunkten, Netzwerk-Firewall, Identität, E-Mail-Sicherheit sowie Sicherheitsinformations- und Ereignismanagement), wodurch die Sicherheitslage des Unternehmens verbessert wird. ASCA kann als eigenständiges Tool oder als Bestandteil anderer Sicherheitsprodukte eingesetzt werden, wie z. B. Firewalls, Erkennung von und Reaktion auf Identitätsbedrohungen, Verwaltung von Netzwerksicherheitsrichtlinien und Verwaltung von Berechtigungen für Cloud-Infrastrukturen.
Warum dies wichtig ist
Automatisierte Technologien zur Bewertung von Sicherheitskontrollen (Automated Security Control Assessment, ASCA) reduzieren die Angriffsfläche eines Unternehmens, die durch die Abweichung der Sicherheitseinstellungen, schlechte Standardeinstellungen, übermäßiges Tuning zur Reduzierung der „False-Positive“-Raten und eine hohe Fluktuation des Verwaltungspersonals entsteht. Mit Hilfe von ASCA lässt sich die Sicherheitslage verbessern, indem die ordnungsgemäße, konsistente Konfiguration von Sicherheitskontrollen überprüft wird, anstatt nur die Existenz von Kontrollen zu verifizieren.
Geschäftliche Auswirkungen
Unternehmen, die ASCA-Prozesse und -Technologien implementieren, verbessern die Effizienz ihrer Mitarbeiter, minimieren die Auswirkungen menschlicher Fehler und verbessern die Widerstandsfähigkeit gegenüber organisatorischen Veränderungen. ASCA verringert Lücken in der Sicherheitskontrolle, die das Unternehmen unnötigerweise vermeidbaren Angriffen aussetzen.
Geschäftsfaktoren
-
Mit der zunehmenden Komplexität der Umgebungen, neuen Bedrohungsvektoren, der Verbreitung neuer Sicherheitstools und der hohen Fluktuation des Verwaltungspersonals, nimmt die Zahl der Fehlkonfigurationen bei den Sicherheitskontrollen weiter zu, was zu einer größeren Angriffsfläche führt.
-
Konkrete organisatorische Anwendungsfälle und Ziele erfordern die Beibehaltung komplexer heterogener Infrastruktur- und Sicherheitsarchitekturen, anstatt eine Vereinfachung durch Konsolidierung der Anbieter anzustreben.
-
Zur Optimierung der Konfiguration von Sicherheitskontrollen im Unternehmen können Sie sich nicht ausschließlich auf manuelle, regelmäßige Konfigurationsprüfungen, isolierte, Tool-zentrierte Ansätze oder gelegentliche Penetrationstests verlassen.
-
Eine kontinuierliche Bewertung und Anpassung der Sicherheitskontrollen an die höchsten Risiken ist eine wirksame Strategie zur Risikominderung, die letztlich die Angriffsfläche reduziert.
Hindernisse
-
Fehlende Unterstützung für die Bewertung von Nischenanbietern und Sicherheitskontrollen macht ASCA-Tools weniger wertvoll für große, komplexe Organisationen mit spezialisierten Punktlösungen.
-
Überschneidungen mit vorhandenen Tools und Anbietern, die ähnliche Ziele in einzelnen Silos erreichen wollen, wie z. B. Tools für die Bewertung von Netzwerk-Firewalls oder Cloud-Konfigurationen.
-
Aufgrund des langsamen Tempos der Abhilfemaßnahmen, gepaart mit kontinuierlichen Bewertungen, können sich die Ergebnisse ohne angemessene Automatisierung und einen Triage-Prozess, der den geschäftlichen Kontext berücksichtigt, anhäufen.
-
Mangel an ausgereiften Prozessen, um die Sicherheitskontrollen von Anfang bis Ende zu optimieren.
-
Erhöhung des Budgets, um in Mitarbeiter, Technologien und möglicherweise verwaltete Dienste zu investieren, die erforderlich sind, um auf eine immer länger werdende Liste von Konfigurationsproblemen zu reagieren, die von ASCA-Tools entdeckt werden.
Nutzer-Empfehlungen
-
Senken Sie die Komplexität, indem Sie die Konsolidierung von Sicherheitsanbietern anstreben oder Alternativen in Betracht ziehen, wie z.B. „Richtlinien als Code“ zur Verwaltung von Sicherheitskonfigurationen.
-
Führen Sie Prozesse zur Bewertung der Sicherheitskontrollen im Unternehmen ein, einschließlich der Planung, Bewertung, Behebung und Validierung erwarteter Konfigurationen.
-
Bewerten Sie etablierte Sicherheitsanbieter auf ihre ASCA-Fähigkeiten, einschließlich der kontinuierlichen Überwachung der Konfiguration und der Benachrichtigung über die Auswirkungen von Konfigurationsänderungen auf den Sicherheitsschutz, den Betrieb und die Produktivität.
-
Bewerten Sie die Fähigkeiten der ASCA-Anbieter, einschließlich des Umfangs der Abdeckung Ihrer unternehmensweiten Sicherheitskontrollen, der Qualität der kontrollübergreifenden Konfigurationsanalyse und der Integration von Daten aus Cybersecurity-Validierungstools, wie BAS und VA.
Beispiele für Anbieter
Absolute Software; CardinalOps; Veriti; XM Cyber
Isolierung des Endpunktzugriffs
Analyse von: Chris Silva, Stuart Downes
Vorteilsbewertung: Mittel
Marktdurchdringung: 1 bis 5 % der Zielgruppe
Reifegrad: Aufkommend
Definition:
Die Isolierung des Endpunktzugriffs (früher VDI/DaaS-Endpunktsicherheit) erleichtert den sicheren Zugriff auf Anwendungen, VDI/DaaS-Umgebungen und Daten mithilfe lokaler Anwendungen, die die Sitzungsdaten vom Gerät isolieren. Die Technologie wird in Form eines Agenten, einer browserbasierten App oder einer Erweiterung eingesetzt und ermöglicht den Zugriff auf externe PCs, auf denen eine herkömmliche VPN- oder Virtualisierungsclient-Software nicht verwendet werden kann. Zu den lokalen Kontrollen gehören der Schutz vor Session-Hijacking, das Verhindern von Keylogging und die Bildschirmaufnahme sowie die Überprüfung lokaler Benutzer.
Warum dies wichtig ist
Unter Isolierung des Endpunktzugriffs versteht man clientseitige Software, die eine nutzungsspezifische Isolierung des Client-Geräts bei der Interaktion mit Arbeitsplatzanwendungen und -daten ermöglicht. Diese Technik kann als spezieller sicherer Zugriffsagent, als browserbasierte App oder als Erweiterung bereitgestellt werden, um die von lokalen Schwachstellen ausgehenden Risiken von den zugänglichen Systemen zu isolieren. Tools zur Isolierung des Endpunktzugriffs unterscheiden sich von herkömmlichen Zugriffs-Clients dadurch, dass sie die Positionierung und das Profiling um aktive Präventions- und Erkennungsfunktionen ergänzen.
Geschäftliche Auswirkungen
Konventionelle Tools für den Fernzugriff wie das klassische VPN können ein Gerät profilieren, aber lokale Bedrohungen nicht aktiv neutralisieren. Angesichts der Tatsache, dass Unternehmen darüber nachdenken, den Zugriff auf SaaS-Anwendungen über jeden Browser und von jedem Gerät aus zu ermöglichen, kann diese Technologie einen sichereren Weg zum Zugriff auf diese Anwendungen bieten. Dank dieser Technologie können Unternehmen sowohl den Standard-IT-„Stack“ als auch dessen Bereitstellung für Endnutzer für den Fernzugriff vereinfachen. Dies ist von besonderer Bedeutung, da hybrides Arbeiten für die meisten Unternehmen alltägliche Realität ist.
Geschäftsfaktoren
-
Der Austausch physischer Hardware gegen eine virtuelle Desktop-Infrastruktur (Virtual Desktop Infrastructure, VDI) und Desktop-as-a-Service-Sitzungen (DaaS) für Auftragnehmer und Partner wird die zugrunde liegenden Sicherheitsprobleme des lokalen Rechners nicht lösen – ein möglicher Vektor für den Diebstahl von Zugangsdaten und IP.
-
Es zeichnet sich ein Trend ab, eine zusätzliche Sicherheitsebene zu schaffen, indem eine einheitliche Browser-Konfiguration und -Kontrolle für alle Nutzer durchgesetzt wird, die von einem nicht verwalteten PC aus auf Produktivitätsanwendungen und Unternehmensdaten zugreifen.
-
Methoden zur Erhöhung der Sicherheit dieser Sitzungen beruhen auf Tools, die auf Proxys oder privaten Netzwerken basieren. Diese haben Auswirkungen auf die Leistung und die Nutzer sind möglicherweise nicht autorisiert oder ausgerüstet, sie zu installieren oder zu konfigurieren.
-
Es besteht ein Bedarf an detaillierter Sitzungsüberwachung, einschließlich der Möglichkeit, Benutzer vor einer Gerätekamera zu überwachen oder Kameradaten zu verwenden, um zu überprüfen, ob Benutzer diese Tools benötigen.
Hindernisse
-
Trotz der geringen Attraktivität und Komplexität für die Nutzer ist die Verlängerung der Lebensdauer eines herkömmlichen, VPN-basierten Zugangs eine kostengünstige Option im Vergleich zu einer zusätzlichen Technologie zur Isolierung des Endpunktzugriffs.
-
Eine Kombination von Methoden zur Isolierung des Endpunktzugriffs kann erforderlich sein, um allen Anwendungsfällen gerecht zu werden, z. B. eine browserbasierte App für Mitarbeiter und ein sicherer Zugriffs-Client für Auftragnehmer.
-
Einige browserorientierte Tools stehen möglicherweise im Wettbewerb mit Anbietern von Security Service Edge (SSE), die mit ähnlichen Funktionen werben, oder mit Anbietern von Browsern, die ähnliche Funktionalitäten entwickeln oder integrieren.
-
Arbeits- und Datenschutzbestimmungen erschweren die aufdringlichsten Funktionalitäten einiger Tools – zum Beispiel die Kameraüberwachung zu Hause.
-
Unternehmen lassen sich möglicherweise von den Kosten für zusätzliche VDI- und DaaS-spezifische Sicherheitstools abschrecken, zusätzlich zu den Kosten für die zugrunde liegende Infrastruktur. Hinzu kommt ein Umfeld, in dem der Trend zur Konsolidierung von Sicherheitstools geht.
Nutzer-Empfehlungen
-
Geben Sie Lücken in der Kontrolle an, die die Sicherheit auf Anwendungsebene oder VDI/DaaS-Tools nicht nativ lösen können (z. B. Einschränkungen beim Kopieren/Einfügen). Auf diese Weise können Sie herausfinden, welche Art von Lösung Sie benötigen.
-
Reproduzieren Sie die bestehenden Sicherheitsmaßnahmen für physische Endpunkte in der VDI- oder DaaS-Umgebung, bevor Sie ein zusätzliches Tool für die Sicherheit von VDI- oder DaaS-Endpunkten in Betracht ziehen.
-
Neben diesen Basiskontrollen sollten Sie ermitteln, wo Sie anwendungsspezifische Kontrollen wie die biometrische Identitätsüberprüfung anwenden und wann Sie die physische Identität bestimmter Nutzer überprüfen müssen.
-
Falls Sie Punktlösungen in Betracht ziehen, vergleichen Sie deren Effizienz und Kosten mit traditionellen Alternativen wie VPN.
-
Sprechen Sie sich mit den Rechts- und Personalabteilungen ab, um die gesetzlichen Datenschutzverpflichtungen bei der Verwendung von biometrischer Authentifizierung oder kamerabasierter Nutzerüberwachung zu prüfen.
Beispiele für Anbieter
Citrix Systems; Island; Rapid7 (Minerva Labs); SessionGuardian; SentryBay; Talon;
ThinScale
Gefährdungsverwaltung
Analyse von: Pete Shoard, Mitchell Schneider, Jeremy D'Hoinne
Vorteilsbewertung: Transformative
Marktdurchdringung: 1 bis 5 % der Zielgruppe
Reifegrad: Aufkommend
Definition:
Die Gefährdungsverwaltung (Exposure Management, EM) umfasst eine Reihe von Prozessen und Technologien, die es Unternehmen ermöglichen, die Sichtbarkeit, Zugänglichkeit und Anfälligkeit der digitalen Assets eines Unternehmens kontinuierlich und konsistent zu bewerten. EM wird durch ein effektives Programm zur kontinuierlichen Gefährdungsverwaltung (Continuous Threat Exposure Management, CTEM) gesteuert.
Warum dies wichtig ist
Mit Hilfe von EM können Unternehmen die Herausforderungen bei der Inventarisierung, Priorisierung und Validierung von Bedrohungen verringern, die aufgrund einer schnell wachsenden Angriffsfläche bestehen, bei der ein herkömmliches Schwachstellenmanagement nicht ausreicht. Der Aufwand und die Vielfalt der möglichen Probleme führen zu unklaren Prioritäten und „Dashboard-Müdigkeit“. Bei der Priorisierung von Maßnahmen zur Risikominderung tun sich gerade SRM-Verantwortliche schwer und lassen dort Lücken, wo sie das Gefühl haben, weniger Kontrolle zu haben, wie z. B. bei SaaS-Plattformen und sozialen Medien.
Geschäftliche Auswirkungen
Gefährdungsverwaltung regelt und priorisiert die Risikominderung für das moderne Unternehmen und erfordert Bewertungen aller verwendeten Systeme, Anwendungen und Abonnements.
-
Wahrscheinlichkeit der Ausnutzung (Sichtbarkeit der Angriffsfläche des Unternehmens).
-
Inventarisierung und Priorisierung (Schwachstellen, Bedrohungsdaten, digitaler Werte).
-
Validierung des potenziellen Erfolgs eines Angriffs und der Frage, ob Sicherheitskontrollen bei der Erkennung oder Verhinderung von Angriffen helfen können.
-
CTEM ist ein Programm, nicht das Ergebnis eines speziellen Tools.
Geschäftsfaktoren
-
Im Allgemeinen werden Aktivitäten wie Penetrationstests, Threat Intelligence Management und Schwachstellen-Scans von Unternehmen getrennt durchgeführt. Solche isolierten Ansichten bieten wenig oder gar keinen Überblick über die gesamte Situation hinsichtlich der tatsächlichen Risiken, die das Unternehmen hat.
-
Der Umfang der entdeckten Schwachstellen und der Probleme, die durch Tests aufgedeckt werden, nimmt mit der Komplexität der Umgebungen, dem zunehmenden Umfang der verwendeten Anwendungen und der verstärkten Nutzung von Cloud-Diensten weiter zu.
-
Ein Mangel an Umfang und Verständnis für Prioritäten und Risiken in Verbindung mit einer hohen Anzahl von Erkenntnissen führen dazu, dass die Unternehmen viel zu viel zu tun haben, um ihre Risiken einzuschätzen, und dass sie kaum wissen, was sie zuerst tun sollen.
-
Ein programmatischer und wiederholbarer Ansatz zur Beantwortung der Frage „Wie exponiert sind wir?“ ist für Organisationen notwendig. Damit soll eine Neupriorisierung der Prioritäten ermöglicht werden, wenn sich die Umgebungen in einer sich schnell verändernden IT-Landschaft ändern.
-
Die Unternehmen sind gezwungen, ihre Prioritäten neu auszurichten und diese Prioritäten in drei verschiedene Fragen zu unterteilen: „Wie sieht mein Unternehmen aus der Sicht eines Angreifers aus?“, „Welche Einstellungen hat mein Unternehmen vorgenommen, die es anfällig für Angriffe machen?“; „Wie würden unsere Verteidigungskontrollen funktionieren und wie würden die Reaktionsprozesse aussehen?“
Hindernisse
-
Im Vergleich zu herkömmlichen VM-Programmen führt der größere Umfang von CTEM-Programmen zu einer Reihe von neuen Komplexitäten, die oft nicht vorher bedacht oder budgetiert wurden.
-
Der Ansatz, die Angriffsfläche zu bewerten, ist bekannt, und die fortgesetzte Konsolidierung von Sicherheitstools in diesem Bereich, wie z. B. EASM mit VA, beginnt, die täglichen Betriebsabläufe zu vereinfachen, aber die formale Integration anderer Technologien, wie CAASM und CSPM, ist noch gering.
-
Verfahren zur Verwaltung von End-to-End-Awareness (von der Erkennung möglicher Angriffsvektoren bis hin zur Reaktion auf Verstöße) sind in den meisten Unternehmen praktisch nicht vorhanden, die ihre Netzwerke oft nur aus Compliance-Gründen scannen und testen.
-
Angesichts der komplexen Art und Weise, wie sich ein Angriff äußern kann, sind bestimmte Fähigkeiten erforderlich, um ihn zu verstehen. Neue Märkte wie BAS machen es einfacher, die „Out-of-the-Box“-Szenarien zu testen. Um diese Technologien und Dienste effektiver zu nutzen und maßgeschneiderte Simulationen zu entwickeln, sind jedoch neue Fähigkeiten und Kenntnisse erforderlich.
Nutzer-Empfehlungen
-
Nehmen Sie umfassendere CTEM-Programme als Sicherheits- und Risikomanagementexperten an, anstatt nur Schwachstellen mit VA-Tools zu bearbeiten.
-
Mobilisieren Sie die verschiedenen Interessengruppen des Unternehmens, da der Erfolg davon abhängt. Automatisierte Abhilfemaßnahmen durch Tools werden wahrscheinlich keine signifikanten Auswirkungen haben.
-
Konzentrieren Sie sich auf die Sichtbarkeit. Die Nutzer müssen wissen, wo die Risiken liegen, und sie müssen planen, wie sie auf Bedrohungen reagieren können, auch wenn das Unternehmen keine Möglichkeit hat, die Gefährdung durch diese zu verringern.
-
Bereiten Sie Antwort- und Reaktionspläne vor. Die Überwachung und Reaktion auf identifizierte Probleme und Risiken ist ein wichtiger Teil der Gefährdungsverwaltung. Die Bestätigung, dass Gefährdungen bestehen und Kontrollen funktionieren, ist nützlich, aber es ist wichtig, dass Organisationen auch darauf vorbereitet sind, zu reagieren.
-
Beziehen Sie auch Vermögenswerte in Ihre Gefährdungsverwaltung ein, die sich nicht im direkten Besitz Ihres Unternehmens befinden, wie z. B. Konten in sozialen Medien, SaaS-Anwendungen und Daten von Partnern in der Lieferkette.
Einheitliche Endpunktsicherheit
Analyse von: Chris Silva, Franz Hinner
Vorteilsbewertung: Hoch
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Aufkommend
Definition:
Einheitliche Endpunktsicherheit (Unified endpoint security, UES) ist eine strategische Architektur, die Endpunkt-Operationen und Endpunkt-Sicherheitsworkflows und -Tools integriert, um einen vollständigen Zyklus zur Identifizierung, Analyse und Behebung von Risiken zu schaffen. Das Ergebnis von UES ist die Integration ausgewählter Funktionen von Tools zur einheitlichen Verwaltung von Endpunkten (Unified Endpoint Management, UEM) und zum Schutz von Endpunkten (Endpoint Protection, EPP), einschließlich Tools zur Erkennung von Endpunkten (Endpoint Detection, EDR) und zur Abwehr mobiler Bedrohungen (Mobile Threat Defense, MTD).
Warum dies wichtig ist
Tools zum Schutz von Endpunkten können Exploits vereiteln, bevor die Schwachstelle des Geräts überhaupt behoben ist, aber viele können die zugrunde liegende Fehlkonfiguration, den fehlenden Patch oder das fehlende Update nicht beheben.
Mit der UES-Architektur werden einheitliche Tools und Workflows für die Verwaltung von Endpunkten und EPP bereitgestellt, die kontextbezogene Informationen über Bedrohungen in Echtzeit enthalten, um Patches und Abhilfemaßnahmen für verwaltete Endpunkte zu priorisieren. EPP bietet Schutz für anfällige Systeme und informiert UEM, dass die zugrundeliegenden Probleme durch geplante Wartung behebt.
Geschäftliche Auswirkungen
Die Integration von EPP-Bedrohungsdaten in den Endpunkt-Betriebsprozess verbessert:
-
Risikobasiertes Patching durch das UEM und Priorisierung der Konfiguration.
-
Einheitliche Endpunkt-Konfiguration und Patch-Compliance durch die Integration von Endpunkt-Schutz und einheitlichen Endpunkt-Management-Tools.
-
Proaktive, präzise Risikoberechnung durch Integration von UEM- und EPP-Tools zur kontinuierlichen Überprüfung der Endpunkt-Konfiguration.
Geschäftsfaktoren
Die Gartner-Umfrage 2022 zur Konsolidierung von Sicherheitsanbietern (XDR und SASE Trends) ergab, dass 75 % der Unternehmen aktiv eine Strategie zur Konsolidierung von Sicherheitsanbietern verfolgen, eine Integration, die zur Schaffung von Sicherheit beiträgt:
-
Normen dafür, wann und ob Dinge wie automatische Risikobeseitigung – in Form eines Patches oder Updates – durchgeführt werden sollten.
-
Ein automatisierter, risikobewusster Schutz der Endpunkte, der dem Nutzer folgt, im Gegensatz zu netzwerkbasierten Kontrollen und Einschränkungen, die für Mitarbeiter, die auf SaaS-Anwendungen außerhalb des Netzwerks zugreifen, oft überflüssig sind.
Hindernisse
-
Eine Umgebung mit mehreren Anbietern, die eine manuelle Integration von Tools erfordert. Diese Integrationen erhöhen die Komplexität von Wartung und Support.
-
Die Auswahl eines konsolidierten Satzes von Tools eines einzigen Anbieters erhöht die Abhängigkeit von diesem Anbieter und kann den Prozess der Suche nach Ersatz verlängern, wenn sich die Preise oder andere Details des Engagements ändern.
-
Nach Schätzungen von Gartner wird es noch zwei bis drei Jahre dauern, bis diese Technologie den Höhepunkt des Hype Cycle erreicht hat. In vielen Unternehmen sind die Zuständigkeiten für Betrieb und Sicherheit getrennt, was eine einheitliche Planung erschwert.
Nutzer-Empfehlungen
-
Bewerten Sie das Potenzial für eine Integration zwischen EPP und UEM und versuchen Sie, eine einseitige Integration zwischen den beiden zu erreichen, um die Priorisierung von Patches zu verbessern.
-
Untersuchen Sie, ob das Unternehmen in der Lage ist, Endpunkt-Patches oder Konfigurationsänderungen nahezu in Echtzeit zu implementieren; falls nicht, ist die Modernisierung der Endpunkt-Verwaltung der erste Schritt, den Sie tun sollten.
-
Berücksichtigen Sie die Verwendung der UES-Architektur, um andere dynamische Sicherheitsergebnisse voranzutreiben, wie z. B. die Integration von UES-Risikodaten, die bei dynamischen SSE/ZTNA-Zugangsentscheidungen verwendet werden können.
Beispiele für Anbieter
BlackBerry; IBM; Ivanti; Microsoft; Sophos; Syxsense; Tanium; VMware
Management externer Angriffsflächen
Analyse von: Ruggero Contu, Elizabeth Kim, Mitchell Schneider, Franz Hinner
Vorteilsbewertung: Mittel
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Das Management externer Angriffsflächen (External Attack Surface Management, EASM) bezieht sich auf die Prozesse, Technologien und verwalteten Dienste, die eingesetzt werden, um die dem Internet zugewandten Unternehmensressourcen und -systeme und die damit verbundenen Risiken zu entdecken. Zu den Beispielen gehören ungeschützte Server, Fehlkonfigurationen von öffentlichen Cloud-Diensten und Code-Schwachstellen in der Software von Drittanbietern, die von Angreifern ausgenutzt werden könnten.
Warum dies wichtig ist
Die Initiativen zur digitalen Transformation haben die Ausweitung der externen Angriffsflächen von Unternehmen beschleunigt. Die Einführung der Cloud, Remote-/Hybridarbeit und die Konvergenz von IT, IT und IoT sind einige der wichtigsten Veränderungen, die die Anfälligkeit für externe Bedrohungen erhöhen. EASM unterstützt Sie bei der Identifizierung von Anlagen, die mit dem Internet verbunden sind, und bei der Priorisierung von entdeckten Schwachstellen und damit verbundenen Bedrohungen. Ziel ist die Bereitstellung von Risikoinformationen über digitale Güter im öffentlichen Bereich, die Bedrohungsakteuren ausgesetzt sind.
Geschäftliche Auswirkungen
EASM stellt den Marktführern von SRM wertvolle Risikokontexte und umsetzbare Informationen zur Verfügung. EASM sorgt für Transparenz durch fünf Hauptfunktionen:
-
Bestandsaufnahme/Inventarisierung von externen Anlagen und Systemen.
-
Überwachung von Unternehmen, die dem Internet ausgesetzt sind (Cloud-Dienste, IPs, Domains, Zertifikate und IoT-Geräte).
-
Analyse zur Bewertung und Priorisierung der entdeckten Risiken und Schwachstellen.
-
Indirekte Abhilfe, Schadensbegrenzung und Reaktion auf Vorfälle durch vorgefertigte Integrationen mit Ticketing-Systemen und SOAR-Tools.
Geschäftsfaktoren
-
Interesse an einem Verständnis dessen, was Unternehmen aus der Sicht eines Angreifers ausgesetzt sind.
-
Digitale Geschäftsinitiativen wie Cloud-Einführung, Anwendungsentwicklung, hybrides Arbeiten und IT/OT/IoT-Konvergenz stellen neue Unternehmensrisiken dar.
-
Der Bedarf an einer Quantifizierung der Risiken für Dritte, die sich aus Aktivitäten wie Fusionen und Übernahmen (M&A) und der Integration der Infrastruktur der Lieferkette ergeben.
-
Die Übernahme von EASM über verschiedene Sicherheitsplattformen hinweg, indem EASM-Funktionen als Teil eines breiteren Lösungspakets zur Unterstützung einer besseren Handlungsfähigkeit angeboten werden.
Hindernisse
-
Die Wahrnehmung von geringem Wert, wobei EASM eher für einmalige Fälle als für mehrere Bereiche genutzt wird.
-
Unklarheiten über die Verfügbarkeit von EASM als Funktion verschiedener Plattformen, wie DRPS und VA.
-
Die Kapazitäten für das Schwachstellenmanagement (Vulnerability Management, VM) sind bereits überlastet, und die Teams sind besorgt, dass die Arbeitsbelastung weiter zunimmt.
Nutzer-Empfehlungen
-
Prüfen Sie die verfügbaren EASM-Funktionen, die sich aus konvergierenden Märkten ergeben, in Bereichen wie Bedrohungsdaten (Threat Intelligence, TI), Sicherheitstests/-validierung, Schwachstellenbewertung oder Anbietern mit breiteren Plattformen wie Palo Alto Networks und Microsoft. Eventuell haben Sie bereits eine Geschäftsbeziehung mit einem Anbieter, dessen Funktionalitäten gut genug sind.
-
Prüfen Sie die Möglichkeiten der Anbieter, wie z. B. den Umfang der Abdeckung (Erkennung), die Genauigkeit, die Effizienz der Priorisierung und den Automatisierungsgrad bei der Unterstützung von Abhilfemaßnahmen, da diese von Anbieter zu Anbieter sehr unterschiedlich sind.
-
Berücksichtigen Sie bei der Auswahl einer EASM-Technologie oder eines Dienstanbieters die anerkannte Priorität des Anwendungsfalls, aber planen Sie auch längerfristige Anforderungen ein, die sich möglicherweise auf die Anwendungsfälle DRPS, TI, Bedrohungsjagd und/oder Sicherheitsprüfung/-validierung erstrecken.
-
Sorgen Sie dafür, dass sich Ihre EASM-Investitionen in die übergeordnete ASM-Strategie einfügen, bei der die externe und interne Gefährdungsverwaltung miteinander kombiniert werden.
-
Betrachten Sie EASM als eine Schlüsselfunktion, wenn der Hauptumsatz des Unternehmens durch nach außen gerichtete Webdienste erzielt wird.
Beispiele für Anbieter
Bishop Fox; Censys; CrowdStrike; CyCognito; FireCompass Technologies; IBM; Palo Alto Networks; Pentera; SOCRadar; ZeroFox
Erkennung von und Reaktion auf Identitätsbedrohungen
Analyse von: Mary Ruddy
Vorteilsbewertung: Hoch
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Die Erkennung von und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) ist eine Disziplin, die Tools und bewährte Praktiken zum Schutz der Identitätsinfrastruktur selbst vor Angriffen umfasst. Mit Hilfe von ITDR können Sie Bedrohungen blockieren und erkennen, die Position des Administrators überwachen, auf verschiedene Arten von Angriffen reagieren und bei Bedarf den normalen Betrieb wiederherstellen.
Warum dies wichtig ist
Die Identität ist die Grundlage für Sicherheitsoperationen (identitätsorientierte Sicherheit). Nur autorisierte Nutzer, Geräte und Dienste sollten Zugriff auf Ihre Systeme haben. Mit der zunehmenden Bedeutung der Identität nehmen Bedrohungsakteure zunehmend die Identitätsinfrastruktur selbst ins Visier.
Unternehmen müssen sich stärker auf den Schutz ihrer IAM-Infrastruktur konzentrieren. Durch ITDR werden Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) und Cybersicherheitsimplementierungen um eine zusätzliche Sicherheitsebene erweitert.
Geschäftliche Auswirkungen
Eine sichere Identitätsinfrastruktur ist für den Sicherheitsbetrieb von entscheidender Bedeutung. Falls Ihre Konten kompromittiert sind, Berechtigungen falsch gesetzt sind oder Ihre Identitätsinfrastruktur selbst kompromittiert ist, können Angreifer die Kontrolle über Ihre Systeme übernehmen. Dem Schutz Ihrer Identitätsinfrastruktur muss höchste Priorität eingeräumt werden. „Business-as-usual“-Prozesse, die ausreichend schienen, bevor Angreifer begannen, Identitäts-Tools direkt anzugreifen, reichen nicht mehr aus.
Geschäftsfaktoren
Immer raffiniertere Angreifer zielen nun aktiv auf die IAM-Infrastruktur selbst ab. Zum Beispiel:
-
Die missbräuchliche Verwendung von Anmeldeinformationen für Administratoren ist heute ein Hauptvektor für Angriffe auf die Identitätsinfrastruktur.
-
Angreifer können mithilfe administrativer Berechtigungen Zugriff auf das globale Administratorkonto des Unternehmens oder ein vertrauenswürdiges SAML-Token-Signierzertifikat (Security Assertion Markup Language) erlangen, um SAML-Tokens für laterale Bewegungen zu fälschen.
-
Die heutigen Angriffe haben gezeigt, dass die herkömmliche Identitätshygiene nicht ausreicht. Eine perfekte Prävention gibt es nicht. Multifaktor-Authentifizierungs- und Berechtigungsverwaltungsprozesse können umgangen werden, und diesen Tools fehlen in der Regel Mechanismen zur Erkennung und Reaktion, wenn etwas schiefläuft.
-
Der Einsatz von ITDR wird zusätzlich zu IGA, PAM, einer Lösung für das Sicherheitsinformations- und Ereignis-Management (Security Information and Event Management, SIEM) und einem internen Sicherheitsoperationszentrum (Security Operations Center, SOC) oder einer ausgelagerten Managed Detection-Lösung benötigt. Zwischen dem IAM und den Sicherheitskontrollen für die Infrastruktur gibt es große Erkennungslücken. IAM dient traditionell als präventive Kontrolle, während die Infrastruktursicherheit breit eingesetzt wird, aber bei der Erkennung identitätsspezifischer Bedrohungen beschränkt ist. ITDR-Mechanismen sind spezifischer und arbeiten mit geringerer Latenz als allgemeine Systeme für Konfigurationsmanagement, Erkennung und Reaktion.
Hindernisse
-
ITDR verlangt eine Koordinierung zwischen IAM- und Sicherheitsteams, die für einige Unternehmen schwer zu erreichen ist.
-
Aufgrund des mangelnden Bewusstseins für die bewährten Praktiken zur Hygiene, Erkennung und Reaktion von IAM-Administratoren schützen viele Unternehmen ihre Identitätsinfrastruktur nicht angemessen. Wir brauchen mehr als nur das traditionelle AD TDR.
-
IAM-Teams investieren oft zu viel Aufwand in den Schutz der digitalen Assets anderer Gruppen und nicht genug in den Schutz ihrer eigenen IAM-Infrastruktur.
-
Zum umfassenden Schutz der Identitätsinfrastruktur sind mehrere Funktionen erforderlich. Dazu gehören eine genauere Überwachung von Konfigurationsänderungen an Root-IAM-Administratorkonten, die Erkennung von kompromittierten Identitäts-Tools, die Ermöglichung schneller Untersuchungen und effizienter Abhilfemaßnahmen sowie die Fähigkeit, schnell zu einem bekannt guten Zustand zurückzukehren.
-
Der „R“-Teil von ITDR befindet sich noch im Anfangsstadium. Die automatisierten Antworten sind noch relativ einfach.
-
Obwohl es viele verschiedene ITDR-Funktionen gibt, bieten bestimmte Anbieter nur einige von ihnen an.
Nutzer-Empfehlungen
-
Nehmen Sie die ITDR-Strategie in Ihr formelles IAM-Programm auf. ITDR erfordert einen Sponsor, der die Interessengruppen identifizieren und diese gemeinsame Initiative anführen kann.
-
Setzen Sie den Schwerpunkt auf die Sicherung der Identitätsinfrastruktur mit Tools zur Überwachung von Identitätsangriffstechniken, zum Schutz von Identitäts- und Zugriffskontrollen, zur Erkennung von Angriffen und zur schnellen Abhilfe.
-
Verwenden Sie den MITRE ATT&CK-Rahmen, um ITDR-Techniken mit Angriffsszenarien zu korrelieren, um sicherzustellen, dass zumindest die bekannten Angriffsvektoren berücksichtigt werden.
-
Kombinieren Sie die grundlegende IAM-Infrastrukturhygiene, wie PAM und IGA, mit ITDR. Verwalten Sie die Sicherheitslage und die Konfiguration von Nutzer-Verzeichnissen und Token-Generatoren. So erreichen Sie die Störfestigkeit des Identitätsmaterials.
-
Vermeiden Sie, dass Administratorkonten kompromittiert werden (z. B. indem Sie die ordnungsgemäße Beendigung von RDP-Sitzungen erzwingen).
-
Modernisieren Sie die IAM-Infrastruktur unter Verwendung aktueller und neuer Standards (z. B. OAuth 2.0, CAEP).
Beispiele für Anbieter
Authomize; CrowdStrike; Gurucul; Microsoft; Netwrix; Oort; Proofpoint (Illusive); Semperis; SentinelOne (Attivo Networks); Silverfort
Auf dem Höhepunkt
BYOPC-Sicherheit
Analyse von: Eric Grenier
Vorteilsbewertung: Hoch
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Bringen Sie Ihren eigenen PC mit (Bring your own PC, BYOPC) Programme ermöglichen es persönlich ausgewählten/gekauften Client-Geräten, auf Unternehmensanwendungen und Unternehmensdaten zuzugreifen. In der Regel unterstützen diese Initiativen Apple macOS und Microsoft Windows-Geräte, seltener auch ChromeOS und Linux. Ein Mangel an Sicherheitskontrollen oder Standardisierung von Hardware und Betriebssystem kann ein erhebliches Risiko darstellen, wenn nicht mit einer definierten BYOPC-Sicherheitsstrategie gearbeitet wird, die von Fall zu Fall umgesetzt wird.
Warum dies wichtig ist
BYO-Programme (Bring your own) haben sich von mobilen Geräten auf macOS und Windows-PCs ausgeweitet, aber die Sicherheit dieser Geräte ist mit Abstrichen bei der Funktionalität und der Sicherheit verbunden. Die Programme sollten nicht für alle Nutzer gelten, sondern von Fall zu Fall angewendet werden.
Zur Aufrechterhaltung einer soliden Sicherheitslage in Umgebungen, in denen nutzerinterne/unverwaltete Geräte auf Unternehmensanwendungen und -daten zugreifen, ist eine spezielle BYOPC-Sicherheitsinitiative erforderlich.
Geschäftliche Auswirkungen
Unternehmen, die ein BYOPC-Programm einführen, sollten die Sicherheitsrisiken minimieren, die sich aus der Verwendung von Geräten im Besitz des Nutzers für Geschäftszwecke ergeben. Mit strukturierten BYOPC-Programmen können Sie Ihre Mitarbeiter befähigen und gleichzeitig Unternehmensdaten und -anwendungen schützen.
Geschäftsfaktoren
-
Hybridarbeit hat dazu geführt, dass die Zahl der Geräte, von denen Nutzer auf Unternehmensanwendungen und -daten zugreifen, zugenommen hat, wobei persönliche PCs einen immer größeren Anteil der verwendeten BYO-Geräte ausmachen.
-
Der erweiterte Zugriff für mehr Nutzer, von mehr Geräten aus, verbessert die Geschäftskontinuität und gibt Nutzern mehr Flexibilität zu geringen Kosten, erfordert aber neue und anpassungsfähige Sicherheitskontrollen.
-
Angesichts der zunehmenden Verwendung von erbeuteten Nutzerdaten durch bösartige Akteure ist eine strengere Authentifizierung von Nutzern und Geräten gerechtfertigt. Die Zahl dieser Angriffe nimmt zu und es wird mehr Sicherheit auf einem persönlichen Gerät benötigt.
-
Fähigkeiten zur Einrichtung geeigneter Kontrollstufen auf einem BYOPC – sei es durch die Verwendung von Anwendungskontrollen, die Isolierung von Daten, bedingten Zugriff oder eine Kombination aus allen dreien – ermöglichen flexible Optionen für verschiedene Anwendungsfälle.
Hindernisse
-
Striktere Datenschutzbestimmungen, gepaart mit dem potenziellen Risiko der Einrichtung lokaler Kontrollen auf den persönlichen PCs der Nutzer, erfordern nuanciertere Lösungen als die Standardgeräteverwaltung.
-
Um Datenverluste zu vermeiden und die Unternehmenssysteme von lokaler Malware zu isolieren, werden VDI und DaaS häufig für BYOPC eingesetzt, sind aber für die IT-Abteilung kostspielig und für die Nutzer komplex.
-
BYO ist nicht für jeden Nutzer geeignet. Die fehlende Möglichkeit, persönliche Geräte zu überwachen und BYO-Systeme auf einem akzeptablen Niveau zu korrigieren, beschränkt die Anwendungsfälle, die durch BYO abgedeckt werden können.
-
Eine gemeinsame Nutzung von Geräten, wie sie bei privater Hardware üblich ist, kann ungeachtet der Sicherheitskontrollen gegen Richtlinien zur fairen und akzeptablen Nutzung oder andere Compliance-Vorgaben verstoßen.
-
Die Komplexität und der Zeitaufwand, die für eine ordnungsgemäße Datenklassifizierung erforderlich sind, stellen eine Hürde dar, die Unternehmen überwinden müssen, wenn sie BYOPC in großem Maßstab einführen wollen.
-
BYO-Programme verlagern viele IT-Probleme auf HR-Probleme, wenn Geräte aufgrund von Sicherheits- oder technischen Zwischenfällen nicht verfügbar sind.
Nutzer-Empfehlungen
-
Führen Sie isolationsbasierte Kontrollen für BYOPC ein. Dies kann sich auszahlen, indem Sie Support-Modelle schaffen, die auch für Auftragnehmer und Zeitarbeiter geeignet sind.
-
Implementieren Sie BYOPC-Richtlinien von Fall zu Fall. Verwenden Sie es nicht als Deckmantel, denn es wird Nutzer geben, die nicht für BYOPC geeignet sind. Detaillierte, dokumentierte Beschreibungen der Zugriffsmodelle, die von einem BYOPC-Gerät aus unterstützt werden, die Supportberechtigungen und alle inhärenten Einschränkungen für jedes Zugriffsmodell.
-
Isolieren Sie lokale Geräterisiken und schränken Sie Datenverluste ein, indem Sie Datenschutz und Richtlinien für den bedingten Zugriff für alle BYO-Nutzer kombinieren und VDI/DaaS für den Zugriff auf sensible Anwendungen und Daten nutzen.
-
Sprechen Sie mit der Rechtsabteilung und der Personalabteilung, um zu verstehen, welche technischen Kontrollen auf den persönlichen Geräten der Nutzer vertretbar sind und welche Datenschutzbedenken berücksichtigt werden müssen.
Beispiele für Anbieter
Amazon Web Services; BlackBerry; Citrix; Microsoft; Okta; Venn Software; VMware
Simulation von Verletzungen und Angriffen
Analyse von: Jeremy D'Hoinne, Eric Ahlm, Mitchell Schneider, Pete Shoard
Vorteilsbewertung: Hoch
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Die Technologien zur Simulation von Sicherheitsverletzungen und Angriffen (Breach and Attack Simulation, BAS) ermöglichen es Unternehmen, sich einen besseren Überblick über die Schwachstellen ihrer Sicherheitslage zu verschaffen, indem sie das kontinuierliche Testen von Bedrohungsvektoren wie Seitwärtsbewegungen und Datenexfiltration automatisieren. BAS ist eine Ergänzung zu Red Teaming oder Penetrationstests, kann diese aber nicht vollständig ersetzen. BAS prüft die Sicherheitslage von Unternehmen, indem es die Fähigkeit testet, ein Portfolio von simulierten Angriffen zu erkennen, die von SaaS-Plattformen, Software-Agenten und virtuellen Maschinen aus ausgeführt werden.
Warum dies wichtig ist
Der entscheidende Vorteil der BAS-Technologie besteht darin, dass sie eine automatische und konsistente Bewertung der Bedrohungsvektoren eines Unternehmens ermöglicht. Zahlreiche BAS-Produkte sind inzwischen so innovativ, dass sie Funktionen für externe Angriffsflächen enthalten, um eine aktuelle Bewertungsliste zu führen und einen größeren Teil der Angriffskette abzudecken. Regelmäßige automatisierte BAS-Bewertungen ermöglichen es Unternehmen auch, Lücken in ihrer Sicherheitslage aufgrund von Konfigurationsfehlern zu erkennen oder die Prioritäten für anstehende Sicherheitsinvestitionen neu zu bewerten.
Geschäftliche Auswirkungen
BAS gestattet es Unternehmen, die Auswirkungen dessen zu überprüfen, was Bewertungen der Angriffsoberfläche und Tools zur Verwaltung der Sicherheitslage als potenzielle Gefährdung durch eine bestimmte Bedrohung anzeigen.
Unternehmen können diese Bewertungen kontinuierlich durchführen, um häufiger Einblick in einen größeren Prozentsatz ihrer Anlagen zu erhalten. Sie können die Effizienz ihrer Sicherheitskontrollen bewerten und Angriffspfade aufdecken, die zu ihren kritischsten Anlagen führen, so dass sie Abhilfemaßnahmen priorisieren können.
Geschäftsfaktoren
BAS ist für mehrere Anwendungsfälle der Expositionsvalidierung relevant, einschließlich, aber nicht beschränkt auf:
-
Gefährdungskonfirmation: Unternehmen, die Programme zur Validierung der Cybersicherheit einführen, nutzen die BAS-Technologie in erster Linie, um eine konsistente und dennoch verbesserte Sicherheitslage im Laufe der Zeit und über mehrere Standorte hinweg zu gewährleisten.
-
Validierung der Sicherheitskontrolle: BAS-Tools lassen sich über Verwaltungs-APIs oder durch das Auslesen von Warnprotokollen in Sicherheitskontrolltechnologien integrieren, was die Verwaltung der Sicherheitseinstellungen ermöglicht und die Sichtbarkeit von Verteidigungslücken verbessert.
-
Compliance-Optimierung: BAS bietet „sicherere“ und stärker automatisierte Bewertungen, die Unternehmen zur Vorbereitung auf obligatorische Penetrationstests oder zur Neuausrichtung der Red-Team-Aktivitäten auf fortgeschrittenere Szenarien schätzen.
IT- und Unternehmensverantwortliche unterstützen häufig den Einsatz von BAS-Technologien, da sie darin eine sicherere Möglichkeit sehen, die Kompetenz der aktuellen Sicherheitskontrollen, ihre Konfiguration und die Prozesse zur Reaktion auf Vorfälle im Unternehmen zu bewerten. BAS ermöglicht außerdem Programme zur kontinuierlichen Gefährdungsverwaltung (Continuous Threat Exposure Management, CTEM), indem es den Schritt der „Validierung“ stärker automatisiert.
Hindernisse
-
Nur Unternehmen mit einem höheren Reifegrad führen erfolgreich eine Initiative zur Gefährdungsverwaltung ein oder versuchen, über die minimalen Compliance-Anforderungen hinauszugehen.
-
BAS-Anbieter verlangen eine umfassende interne Unterstützung, nicht nur durch das Sicherheitsteam, sondern auch durch andere Infrastrukturteams, wie Netzwerke oder Anwendungen. Probleme, die BAS-Tools entdecken, führen zu komplexen Abhilfemaßnahmen.
-
Die BAS-Tools brauchen mehr als nur eine Diagnose und grundlegende Anleitungen zur Behebung von Problemen durch Standardrahmen.
-
Die erforderlichen Fähigkeiten für den Einsatz, die Wartung und den Betrieb eines BAS-Tools sind umfangreich und umfassen technische Kompetenzen, Kenntnisse über Bedrohungsakteure und -techniken sowie Einblicke in die Infrastruktur und Anwendungsarchitektur.
-
Die BAS-Technologie ist durch den zunehmenden Wettbewerb mit benachbarten Tools, die Angriffssimulationen hinzufügen, beeinträchtigt und muss erweitert werden, um mehr Umgebungen abzudecken, z. B. Cloud-Infrastrukturen und SaaS.
Nutzer-Empfehlungen
-
Legen Sie die Prioritäten für die Anwendungsfälle Ihres Unternehmens fest und bewerten Sie dann die Fähigkeiten der BAS-Anbieter, einen kontinuierlichen Mehrwert zu liefern, indem sie regelmäßig neue Funktionen wie EASM hinzufügen, aber auch Veränderungen in der Sicherheitslage hervorheben und Berichte in einer Form bereitstellen, die die Diagnosemüdigkeit minimiert.
-
Integrieren Sie BAS in einen Plan zur Validierung der Cybersicherheit, als Teil eines Programms zur kontinuierlichen Gefährdungsverwaltung (Continuous Threat Exposure Management, CTEM). Lassen Sie BAS nicht isoliert laufen.
-
Bewerten Sie die Anzahl der Bedrohungsvektoren und Angriffsszenarien, die BAS-Tools liefern können, und die Häufigkeit, mit der diese Simulationen aktualisiert werden, um reale Angriffe zu reflektieren.
-
Lernen Sie die Vorteile und Herausforderungen kennen, die sich aus den Einsatzmöglichkeiten der BAS-Technologien ergeben. BAS-Produkte verwenden möglicherweise Software-Agenten, virtuelle Maschinen und SaaS-Komponenten.
-
Arbeiten Sie mit Ihren Prüfern zusammen, um festzustellen, ob die BAS-Technologie verwendet werden kann, um die Wirksamkeit der bestehenden Sicherheitskontrollen zu überprüfen.
-
Sorgen Sie dafür, dass die von den BAS-Produkten gelieferten Ergebnisse umsetzbar sind.
Beispiele für Anbieter
AttackIQ; Cymulate; Google; Keysight; Pentera; Picus Security; Ridge Security; SafeBreach; SCYTHE
Security Service Edge
Analyse von: Charlie Winckless, John Watts
Vorteilsbewertung: Transformative
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Security Service Edge (SSE) sichert den Zugriff auf das Internet, Cloud-Dienste und private Anwendungen. Die Funktionen umfassen adaptive Zugriffskontrolle, Datensicherheit, Sichtbarkeit und Kontrolle. Weitere Funktionen umfassen eine erweiterte Bedrohungsabwehr und eine Kontrolle der akzeptablen Nutzung, die durch netzwerkbasierte und API-basierte Integrationen durchgesetzt wird. SSE wird vorwiegend als Cloud-basierter Dienst bereitgestellt und kann auch Komponenten vor Ort oder agentenbasierte Komponenten enthalten.
Warum dies wichtig ist
SSE bietet Unternehmen mehr Flexibilität bei der sicheren Nutzung von Web- und Cloud-Diensten sowie bei der Fernarbeit. SSE-Angebote sind die Konvergenz von Sicherheitsfunktionen (zumindest sichere Web-Gateways [Secure Web Gateways, SWGs], Makler für Cloud-Zugangssicherheit [Cloud Access Security Broker, CASBs] und Zero-Trust Netzwerkzugang [Zero Trust Network Access, ZTNA]), um die Komplexität zu reduzieren und die Erfahrung der Nutzer zu verbessern. Sie werden aus der Cloud bereitgestellt. Wenn Unternehmen eine Secure Access Service Edge (SASE)-Architektur anstreben, wird SSE mit Software-defined WAN (SD-WAN) kombiniert, um den Netzwerk- und Sicherheitsbetrieb zu vereinfachen.
Geschäftliche Auswirkungen
Die hybride Arbeit treibt die Einführung von öffentlichen Cloud-Diensten, insbesondere von SaaS-Anwendungen, weiter voran. Sowohl hybrides Arbeiten als auch die Nutzung von Public Cloud Services bleiben für die meisten Gartner-Kunden geschäftsfördernd. SSE ermöglicht es dem Unternehmen, Mitarbeiter jederzeit und überall zu unterstützen, indem es einen Cloud-zentrierten Ansatz zur Durchsetzung von Sicherheitsrichtlinien beim Zugriff auf das Internet, Cloud-Dienste und private Anwendungen verwendet. Gleichzeitig reduziert SSE den Verwaltungsaufwand für den Betrieb mehrerer Produkte.
Geschäftsfaktoren
-
Unternehmen müssen Nutzer-, Anwendungs- und Unternehmensdaten schützen, die verteilt und dezentralisiert sind und einen sicheren Fernzugriff erfordern.
-
Zahlreiche Unternehmen haben inzwischen eine beträchtliche Menge an kritischen Daten in SaaS gehostet. Aus diesem Grund ist es notwendig, Daten, die sich auf diesen SaaS-Plattformen befinden, dorthin gelangen oder sie verlassen, vor Datenverlusten zu schützen (Data Loss Prevention, DLP).
-
SSE bietet flexible und primär Cloud-basierte Sicherheit für Nutzer und Geräte, ohne an die Netzwerkinfrastruktur und Konnektivität vor Ort gebunden zu sein. Unabhängig von ihrem Standort und ihrer Konnektivität erhalten die Nutzer das gleiche Sicherheitsergebnis.
-
Für Administratoren gibt es einen besseren Überblick über den Nutzerverkehr und einen einzigen Ort für die Konfiguration und Überwachung dieses Verkehrs.
-
Mit SSE können Unternehmen einen identitäts- und kontextbasierten Schutz am Netzwerkrand implementieren.
-
Durch eine Konsolidierung der Anbieter reduzieren Unternehmen die Komplexität, die Kosten und die Anzahl der Anbieter, die zur Durchsetzung von Sicherheitsrichtlinien eingesetzt werden. Die Verwendung einer einzigen SSE-Plattform anstelle mehrerer punktueller Angebote kann sowohl die Komplexität verringern als auch Lücken in der Sicherheitsabdeckung schließen.
-
Die Überprüfung sensibler Daten und Malware kann parallel über alle Zugriffskanäle erfolgen. Dank SSE können Sie beide Inspektionen parallel durchführen, was zu einer besseren Leistung und einer konsistenteren Konfiguration führt, als wenn Sie sie getrennt durchführen.
-
Ein adaptiver Zugriff kann mehr Eingabesignale berücksichtigen und konsequenter durchgesetzt werden, unabhängig vom Ort oder Typ der Anwendung.
-
Unternehmen suchen beim Aufbau einer SASE-Architektur nach tiefer gehenden Sicherheitsfunktionen im Vergleich zu Anbietern, deren SD-WAN-Angebot möglicherweise nur ein Minimum an Sicherheitsfunktionen enthält.
-
Enge Integrationen zwischen einzelnen SD-WAN- und SSE-Anbietern ermöglichen die Interoperabilität, ohne dass ein Single-Vendor-Ansatz erforderlich ist.
Hindernisse
-
Da sich der Markt durch die Konvergenz von Fähigkeiten bildet, können Anbieter in bestimmten Fähigkeiten stark und in anderen schwach sein. Außerdem mangelt es den Anbietern möglicherweise an einer engen Integration zwischen SSE-Funktionen oder mit SD-WAN-Anbietern.
-
Längst können nicht alle Anbieter sensible Daten ausreichend identifizieren und schützen, um Geschäftsrisiken zu bewältigen.
-
Einige Anbieter haben sich weniger auf SaaS-Sicherheit und -Integrationen konzentriert. Allerdings benötigen Unternehmen zunehmend diese Transparenz und diesen Schutz.
-
Being cloud-centric, SSE typically doesn’t address every need supported by on-premises conAufgrund ihres Cloud-Charakters erfüllt SSE in der Regel nicht alle Anforderungen, die von Kontrollen vor Ort unterstützt werden, wie z.B. eine interne Firewall.
-
Unternehmen sind besorgt über die Betriebszeit oder die Verfügbarkeit von Diensten, auf die sie für ihr Geschäft angewiesen sind. Erschwerend kommen die schwachen SLAs einiger Anbieter hinzu.
-
Einige Anbieter stellen nicht alle Funktionen in allen Regionen zur Verfügung, was zu Leistungs- oder Verfügbarkeitsproblemen führen kann.
-
Umstellungskosten von etablierten Anbietern oder der Zeitpunkt des Auslaufens von Verträgen verhindern eine kurzfristige Konsolidierung.
-
Die Migration eines VPN wird die Kosten erhöhen.
Nutzer-Empfehlungen
-
Nutzen Sie den konvergenten Markt, konsolidieren Sie Anbieter und reduzieren Sie die Komplexität und die Kosten, wenn Verträge für SWGs, CASBs und VPNs erneuert werden, indem Sie sie durch einen ZTNA-Ansatz ersetzen.
-
Identifizieren Sie bei der SSE-Konsolidierung, welche Elemente Sie bereits einsetzen können (z. B. eine bestehende cloudbasierte CASB oder SWG). Entwickeln Sie eine Auswahlliste von Anbietern auf der Grundlage Ihrer Anwendungsfälle in Bezug auf die Anforderungen sicherer Nutzer, der von Ihnen genutzten Cloud-Dienste und der Daten, die Sie schützen müssen.
-
Führen Sie eine Bestandsaufnahme Ihrer Geräte und Verträge durch, um einen mehrjährigen Ausstieg aus der Sicherheitshardware vor Ort und in den Zweigstellen zugunsten der Cloud-basierten Bereitstellung von SSE zu realisieren.
-
Global tätige Unternehmen sollten sich bei den ausgewählten Anbietern vergewissern, dass die Remote-Offices über eine akzeptable Leistung und Funktionen verfügen. Die Standorte der Anbieter (Point of Presence, POP) und der Service-Support sind entscheidend.
-
Bringen Sie sich aktiv in Initiativen zur Transformation von Niederlassungen, SD-WAN und Multiprotocol Label Switching (MPLS) ein und integrieren Sie Cloud-basierte SSE in den Umfang der Projektplanung.
Bringen Sie sich aktiv in Initiativen zur Transformation von Niederlassungen, SD-WAN und Multiprotocol Label Switching (MPLS) ein und integrieren Sie Cloud-basierte SSE in den Umfang der Projektplanung.
Broadcom; Cisco; Cloudflare; Forcepoint; iboss; Lookout; Netskope; Palo Alto Networks; Skyhigh Security; Zscaler
XDR
Analyse von: Eric Ahlm, Thomas Lintemuth, Franz Hinner
Vorteilsbewertung: Hoch
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) bietet eine einheitliche Erkennung von Sicherheitsvorfällen und automatische Reaktionsmöglichkeiten. XDRs integrieren Bedrohungsdaten und Telemetriedaten aus verschiedenen Quellen mit Sicherheitsanalysen, um eine Kontextualisierung und Korrelation von Sicherheitswarnungen zu ermöglichen. XDR muss native Sensoren enthalten. XDR kann sowohl vor Ort als auch als SaaS-Angebot bereitgestellt werden und wird in der Regel von Unternehmen mit kleineren Sicherheitsteams eingesetzt.
Warum dies wichtig ist
XDR ermöglicht einen weniger komplexen Ansatz für die Erkennung von und die Reaktion auf Bedrohungen, indem es einen systematischen Ansatz für den Aufbau eines Erkennungsstapels verwendet, anstatt ihn zu integrieren. XDR-Anbieter können eine Vielzahl von Sicherheitskontrollen einbauen, die in der Regel von den Anbietern über APIs nativ integriert werden. Die vom Anbieter vorgefertigten Playbooks ermöglichen die Zusammenarbeit in ihrem Stack und eine kohärente Erkennung von gemeinsamen Bedrohungen.
Geschäftliche Auswirkungen
Die einfache Anwendung von XDR zur Erkennung gängiger Bedrohungen reduziert den Bedarf an internen Fachkenntnissen und könnte den Personalbedarf für den Betrieb einer komplexeren Lösung, wie z. B. Security Information and Event Management (SIEM), verringern. XDR hilft auch, den Zeitaufwand und die Komplexität von Sicherheitsaufgaben durch ein einziges zentrales Untersuchungs- und Reaktionssystem zu reduzieren.
Geschäftsfaktoren
-
XDR-Plattformen sprechen Unternehmen mit geringem Reifegrad an, da die meist vom Anbieter bereitgestellte Erkennungslogik im Allgemeinen weniger Anpassungen und Wartung erfordert.
-
XDRs eignen sich für Unternehmen, die einen besseren Überblick über den gesamten Sicherheitsbereich haben möchten, sowie für Unternehmen, die den Verwaltungsaufwand für komplexere Lösungen zur Reaktion auf Vorfälle (Incident Response, IR) verringern möchten.
-
Mittelständische Unternehmen, die Schwierigkeiten haben, die von unterschiedlichen Sicherheitskontrollen generierten Warnmeldungen zu korrelieren und darauf zu reagieren, wissen den Produktivitätsgewinn durch zentralisierte XDR-Schnittstellen zu schätzen.
-
Es ist schwierig, Mitarbeiter mit den erforderlichen Fähigkeiten für die Wartung und den Betrieb eines erweiterbaren Erkennungsstapels zu rekrutieren und umzuschulen.
-
Die Anschaffung eines systemischen Erkennungsstapels in Form von XDR kann die Produktauswahl und den Erwerb vereinfachen.
Hindernisse
-
Systemische XDR-Lösungen eines einzelnen Anbieters können im Falle von Wirksamkeits- oder Effizienzproblemen erst nach Jahren ersetzt werden.
-
Die fehlende Erweiterbarkeit von XDR für benutzerdefinierte Erkennungen und andere Anwendungsfälle könnte dazu führen, dass einige Kunden sowohl eine XDR- als auch eine klassische SIEM-Lösung benötigen, um mehrere Anforderungen zu erfüllen.
-
Eine Erweiterung der Fähigkeiten eines XDR-Erkennungsstacks durch Hinzufügen oder Ersetzen von Sicherheitskontrollen kann durch den Anbieter beschränkt sein.
-
Der Bedarf an langfristiger Protokollspeicherung für andere Anwendungsfälle als die Reaktion auf Vorfälle, wie z. B. Compliance, Anwendungsüberwachung und Leistungsüberwachung, wird von einem XDR-Produkt allein nicht immer erfüllt. XDR eignet sich auch nicht für ein forensisch einwandfreies Aufzeichnungssystem für Dinge wie Zugriffsdaten.
Nutzer-Empfehlungen
-
Arbeiten Sie mit den Verantwortlichen für Sicherheitsabläufe zusammen, um festzustellen, ob die XDR-Strategie für Ihr Unternehmen geeignet ist.
-
Berücksichtigen Sie bei Ihren Entscheidungen das Personal- und Produktivitätsniveau, den Grad der IT-Föderation, die Risikotoleranz und das Sicherheitsbudget sowie die Konsolidierungsziele und das Vorhandensein von XDR-Komponenten-Tools.
-
Erarbeiten Sie eine interne Architektur und eine Beschaffungspolitik, die mit Ihrer XDR-Strategie übereinstimmt und die erklärt, wann und warum Ausnahmen zulässig sein könnten.
-
Planen Sie die Anschaffung von Sicherheitsprodukten und die Abschaffung von Technologien im Zusammenhang mit einer langfristigen XDR-Architekturstrategie.
-
Favorisieren Sie Sicherheitsprodukte, die APIs für den Informationsaustausch bereitstellen und die es ermöglichen, automatisierte Aktionen von einer XDR-Lösung zu senden.
Beispiele für Anbieter
CrowdStrike; Fortinet; Microsoft; Palo Alto Networks; SentinelOne; Sophos; Stellar Cyber; Trend Micro; Trellix
Ganz nach unten gerutscht
Schutz vor kompromittierten Geschäfts-E-Mails
Analyse von: Satarupa Patnaik, Craig Porter, Franz Hinner
Vorteilsbewertung: Hoch
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Der Schutz vor kompromittierten Geschäfts-E-Mails (Business Email Compromise, BEC) erkennt und filtert bösartige E-Mails, die sich in betrügerischer Absicht als vertrauenswürdige Instanzen wie Banken oder Kreditkartenunternehmen ausgeben, um Gelder oder Daten abzuzweigen. BEC-Angriffe enthalten keine URLs oder Anhänge und haben in der Regel einen guten Ruf als Absender, so dass es schwieriger ist, sie mit herkömmlichen Anti-Phishing-Tools zu erkennen. Zur Erkennung von BEC-Angriffen ist maschinelles Lernen erforderlich, um den E-Mail-Inhalt im Zusammenhang mit dem Kommunikationsverlauf eingehend zu untersuchen.
Warum dies wichtig ist
-
BEC beinhaltet keine bösartigen Links oder Anhänge. BEC-E-Mails, die von legitimen Servern verschickt werden, sind nur schwer zu erkennen. Angriffe werden durch öffentlich zugängliche Informationen wie LinkedIn, Crunchbase oder Wallmine sozialisiert.
Geschäftliche Auswirkungen
BEC-Angriffe stellen ein erhebliches Risiko für alle Branchen dar und führen zu verschiedenen Arten von Schäden, darunter:
Geschäftsfaktoren
Die Akzeptanz von BEC-Schutztechnologien nimmt zu, weil:
-
Herkömmliche Techniken zur Erkennung bösartiger Anhänge oder Links sind gegen BEC-Angriffe unwirksam.
-
Sensible Daten befinden sich immer noch in E-Mails, wie im Fall von Uber.
-
Die Verluste durch BEC-Angriffe können beträchtlich sein. Gemäß dem IC3-Jahresbericht 2022 des FBI wurden im Jahr 2022 rund 22.000 Beschwerden wegen BEC-Angriffen registriert und der Gesamtschaden belief sich auf rund 2,7 Milliarden Dollar.
-
Alle Ad-hoc-Finanztransaktionen – einschließlich Anfragen zur Änderung von Gehaltsabrechnungsdaten – sind gefährdet.
-
Kompromittierte E-Mail-Konten ermöglichen es Angreifern, E-Mail-Konversationen zur Umleitung von Geldern zu nutzen. Diese Kontoübernahme-Angriffe (Account Takeover, ATO) sind praktisch nicht von legitimen E-Mails zu unterscheiden.
-
BEC-Angriffe bleiben häufig unbemerkt. Betrug wird oft erst dann aufgedeckt, wenn die vorgesehenen Empfänger über eine Zahlung benachrichtigt werden, die Gelder aber nicht erhalten.
Hindernisse
-
Viele Unternehmen entscheiden sich für kostengünstigere und weniger wirksame Alternativen zum BEC-Schutz, wie z. B. die Schulung von Nutzern, wodurch das BEC-Risiko nur geringfügig verringert, und die Einführung verzögert wird.
-
Selbst die wirksamsten Lösungen sind nicht zu 100 % wirksam. Da sich die Techniken der Angreifer weiterentwickeln und generative KI-Plattformen wie ChatGPT nutzen, können Lösungen, die sich auf BEC konzentrieren, die neuesten Praktiken aus den Augen verlieren.
-
Die API-basierten Lösungen reichen allein nicht aus, um alle E-Mail-Angriffe abzuwehren.
-
Ein zentrales Problem, das es zu lösen und abzuschwächen gilt, ist die Tatsache, dass Angriffe auf die Übernahme von Konten fast unmöglich zu erkennen sind, insbesondere wenn die Angreifer Zugriff auf die Zugangsdaten haben. Dies erhöht das Risiko, dass Angreifer das Verhalten der Organisation kennen und ihre Spuren verwischen können.
-
BEC-Funktionen werden in Zukunft wahrscheinlich in umfassende E-Mail-Sicherheitslösungen integriert werden. Daher müssen die Verantwortlichen entscheiden, ob es ratsam ist, jetzt in Tools zum Schutz vor BEC zu investieren.
Nutzer-Empfehlungen
-
Informieren Sie Nutzer über BEC-Phishing-Techniken und die Beschränkungen von E-Mail als Authentifizierungsfaktor und verlagern Sie risikoreiche Transaktionen auf besser authentifizierte Anwendungen.
-
Etablieren Sie Standardbetriebsverfahren für alle Anfragen zu Finanz- oder Datentransaktionen, um Anfragen zu Ad-hoc-Transaktionsrisiken zu eliminieren.
-
Fordern Sie die Verwendung der Multifaktor-Authentifizierung (MFA) für den Zugriff auf E-Mails, um alle Nutzer vor der Übernahme von Konten zu schützen.
-
Erweitern oder ergänzen Sie Ihre E-Mail-Sicherheitslösungen mit einem erweiterten Phishing-Schutz, der speziell für BEC-Angriffe entwickelt wurde.
-
Wählen Sie Lösungen, die natürliche Sprachverarbeitung, natürliches Sprachverständnis, Computer Vision und maschinelles Lernen zur Analyse sozialer Graphen nutzen.
-
Setzen Sie Domain-basierte Implementierungen von Nachrichtenauthentifizierung, -berichterstattung und -konformität (Domain Based Message Authentication, Reporting and Conformance, DMARC) ein, um den Missbrauch von Domains zu überprüfen und zu minimieren.
Beispiele für Anbieter
Abnormal Security; Armorblox; Check Point Software Technologies; Egress; Microsoft; Mimecast; IRONSCALES; Proofpoint; Perception Point; SlashNext
Endpunktsicherheit für Außendienstmitarbeiter
Analyse von: Franz Hinner, Patrick Hevesi
Vorteilsbewertung: Mittel
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Unternehmen sollten für ihre Mitarbeiter spezielle Sicherheitstechnologien für Endpunkte einsetzen, um speziell entwickelte Geräte und deren Nutzer zu schützen. Abhängig von der Branche und dem Anwendungsfall müssen die Geräte physisch an feste Stationen gebunden sein, für den Schichtbetrieb verfolgt und ausgecheckt werden oder für zahlreiche Nutzer an Orten mit geringer Verbindungsfähigkeit eingerichtet werden.
Warum dies wichtig ist
Hardwareverfügbarkeit und Authentifizierungstechniken wie Biometrie sind unter rauen Feldbedingungen unerlässlich. Außendienstmitarbeiter benötigen langlebige, überwachte, gesperrte und sichere Geräte und ein robustes UEM-System, um sie auf dem neuesten Stand zu halten und mit Patches zu versehen. Die Verwendung persönlicher Geräte kann zu Datentrennung und Leistungsproblemen führen, daher ist eine angemessene Kontrolle entscheidend.
Geschäftliche Auswirkungen
Nutzer greifen auf Unternehmenssysteme und -daten in Frontline-Anwendungsfällen zu. Situationen an der Front erfordern mehr Sicherheit. Außerhalb des Firmengeländes befindliche Geräte sind anfällig für Manipulationen und Angriffe. Um kritische Systeme und Daten vor Kunden, Mitarbeitern und Auftragnehmern zu schützen, müssen sie robust sein. Alle Sicherheitsrisiken erfordern viele Lösungen. Bestimmte Lösungen wurden für die traditionelle mobile Verwaltung und nicht für das Personal an der Front entwickelt und erfordern eine individuelle Entwicklung, um die Sicherheitsstandards zu erfüllen.
Geschäftsfaktoren
-
Zunehmend geben Unternehmen ihren Mitarbeitern Zugriff, wodurch sowohl die Unternehmen als auch die Mitarbeiter zusätzlichen Sicherheitsbedenken gegenüber der Cloud ausgesetzt sind.
-
Angesichts des Potenzials für Datenverluste oder andere Arten bösartiger Angriffe sind Sicherheitsteams gezwungen, die Strategie und die Architekturen für die Sicherheit ihrer Endpunkte zu überdenken.
-
Mit der zunehmenden Verbreitung von BYOD benötigen Unternehmen neue Lösungen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) und die Abwehr mobiler Bedrohungen (Mobile Threat Defense, MTD), die zu Container-Lösungen auf Anwendungsebene führen.
Hindernisse
-
Für mehrschichtige Sicherheit werden spezialisierte Hardware und Cloud-Funktionen benötigt, was zu unerwarteten Kosten für Unternehmen führt.
-
Außendienstmitarbeiter benötigen möglicherweise zusätzliche Lösungen für die physische Sicherheit, z. B. Kameras, Check-in-/Check-out-Protokolle, Identitätsmanagement für Nutzer und Geräte, schichtbasierte Geräte, die nach der Nutzung eine Datenfreigabe erfordern, sowie geografischen/standortbezogenen Schutz.
Nutzer-Empfehlungen
Für verwaltete Geräte, die spezielle Lösungen erfordern:
-
Verwenden Sie speziell entwickelte mobile Sicherheitslösungen.
-
Verwalten und sperren Sie die Geräte mit EPP, UEM oder MAM.
-
Sorgen Sie dafür, dass die Sicherheitseinstellungen des Betriebssystems, Updates und Patches angewendet werden.
-
Sichern Sie Kioske mit Kabeln, Geofencing und Check-in/Check-out-Vorgängen.
Für nicht verwaltete Geräte, auf denen LOB- und andere Collaboration-Anwendungen ausgeführt werden dürfen:
-
Konzentrieren Sie sich dabei auf Kontrollen der Anwendungsebene für Datenlecks und auf Kontrollen der Identitätsebene für die Durchsetzung dynamischer Zugriffsrichtlinien.
-
Bewerten Sie MTD-Anbieter für gerätebasierte Risikobescheinigungen mit Hilfe von MA-Management.
Für nutzerdefinierte Mitarbeiter-Apps:
-
Stellen Sie sicher, dass LOB-Anwendungen mit sicheren Designprinzipien und Mehrbenutzer-Authentifizierung entwickelt werden.
-
Verwenden Sie App-Shielding, App-Wrapping und In-App-MTD, um IPs während der Laufzeit auf einem Gerät zu schützen.
Für Cloud-basierte Anwendungen:
-
Nutzen Sie CASB, um die Daten und die Infrastruktur Ihres Unternehmens vor potenziellen Gefahren zu schützen.
-
Verwenden Sie AAC für Nutzer und Geräte, die auf SaaS-Anbieter zugreifen.
Beispiele für Anbieter
CommuniTake Technologies; Imprivata (GroundControl); Lookout; Microsoft; Samsung Electronics; SOTI; Veracode; VMware, Zebra Technologies; Zimperiumq
Entschärfung und Rekonstruktion von Inhalten
Analyse von: Franz Hinner
Vorteilsbewertung: Hoch
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Bei der Entschärfung und Rekonstruktion von Inhalten (Content Disarm and Reconstruction, CDR), manchmal auch als „Inhaltsbereinigung“ bezeichnet, wird eine Datei in ihre Bestandteile zerlegt und alle Daten entfernt, die nicht der ursprünglichen Spezifikation/dem ISO-Standard des Dateiformats entsprechen. Darüber hinaus isoliert es Makros, Links und eingebettete Objekte aus dem Inhalt, bevor es eine bereinigte Version neu generiert.
Warum dies wichtig ist
CDR bietet Schutz vor Sicherheitslücken und vor Material, das verändert wurde, um als Waffe eingesetzt zu werden, ohne dass eine zeitaufwändige dynamische Analyse oder standardmäßige Inhaltsprüfungsmethoden (wie Signaturen) erforderlich sind, um schädliche Inhalte zu erkennen. Das ist besonders hilfreich in Situationen, in denen Dateien über Unternehmensgrenzen hinwegbewegt werden, z. B. bei der Verwendung von E-Mail, Web-Downloads oder Content-Sharing-Websites für Dateien.
Geschäftliche Auswirkungen
CDR ist eine Sicherheitstechnologie, die Unternehmen vor bösartigen Inhalten schützen kann. CDR scannt Dateien und E-Mails auf bekannte bösartige Inhalte. CDR kann sie entschärfen oder den bösartigen Code entfernen. Es kann:
-
Voraussetzungen für die sichere Zustellung von Nachrichten ohne aktive bösartige Inhalte schaffen, anstatt sich darauf zu verlassen, dass Antivirenprogramme am Endpunkt Malware erkennen und blockieren.
-
Das Risiko von Datenschutzverletzungen reduzieren. CDR trägt dazu bei, Datenschutzverletzungen zu verhindern, indem es die Ausführung von Malware und die Verbreitung von bösartigen Dateien unterbindet.
Geschäftsfaktoren
-
Die unterschiedlichsten Unternehmen verschieben Dokumente im Minutentakt über Grenzen hinweg. Dazu gehören das Hochladen von E-Mail-Anhängen, das Herunterladen von Web-Downloads, das Hochladen von Inhalten wie Bewerbungsformularen und Lebensläufen sowie der Austausch oder Empfang von Dokumenten aus nicht vertrauenswürdigen Quellen.
-
Es hilft, die Akzeptanz zu fördern, da bestimmte sichere E-Mail- und Security Service Edge (SSE)-Plattformen sowie Plattformen für die inhaltliche Zusammenarbeit bereits solche Funktionen bieten. Diese Funktionen können intern erstellt, neu gepackt oder zu zusätzlichen Kosten über eine Lizenz von einem Dritten erworben worden sein.
-
Bestehende Lösungen, wie die dynamische Analyse in Sandboxen und sogar einige Antivirenlösungen, sind notorisch träge. CDR-Lösungen verkürzen die Bearbeitungszeit, so dass die Nutzer sofort einen bereinigten Anhang sehen können.
Hindernisse
-
CDR beseitigt aktiven Code, wodurch die Funktionalität der Dokumente möglicherweise eingeschränkt wird. Einige Systeme isolieren die ursprüngliche Datei, wenn sie beschädigt ist, und bieten eine detailliertere Kontrolle darüber, was gelöscht wird, aber das schränkt den Nutzen von CDR ein.
-
Da CDR nicht auf Entdeckung beruht, kann es schwierig sein, die Wirksamkeit ohne zusätzliche, nachträgliche Analyse des Inhalts nachzuweisen.
-
Die meisten CDRs identifizieren weder bösartige Akteure noch bösartige Absichten. Informationen dieser Art können für die Funktionen der Bedrohungsaufklärung von entscheidender Bedeutung sein.
-
CDR-Lösungen unterliegen einer geringeren Investitionspriorität, was eine breitere Akzeptanz einschränkt. CDR ist nur für bestimmte Typen nützlich.
Nutzer-Empfehlungen
-
Verwenden Sie CDR, wenn Sie die Bedrohung durch aktive Malware, die in Dateien enthalten ist, beseitigen müssen und die Unternehmensführung eine Umgebung unterstützt, in der die Sicherheit Vorrang vor den möglichen Auswirkungen auf den Nutzer hat.
-
Verwenden Sie CDR zur Bereinigung von Dateiuploads, wenn diese in Plattformen zum Schutz von Webanwendungen und APIs oder als Teil der Funktionen zum Hochladen von Dateien von Webanwendungen integriert sind, um das Unternehmen vor Dateien zu schützen, die mit eingebetteter Malware hochgeladen werden.
-
Verwenden Sie CDR, um bestehende Sandboxing- und Multi-AV-Scan-Lösungen zu ergänzen oder zu ersetzen. Setzen Sie CDR ein, um Inhalte in hochsicheren Umgebungen zu bereinigen und sicherzustellen, dass nachverfolgte Änderungen, interne Kommentare und anderes vor der Freigabe entfernt werden.
-
Verwenden Sie CDR mit Sandboxing-Lösungen, damit die bereinigten Dokumente sofort verfügbar sind, während die Sandbox-Analyse abgeschlossen wird.
Beispiele für Anbieter
Check Point Software Technologies; Forcepoint; Fortinet; Fortra; Glasswall; JiranSecurity; odix; OPSWAT; Sasa Software; Votiro
SASE
Analyse von: Neil MacDonald, Andrew Lerner
Vorteilsbewertung: Transformative
Marktdurchdringung: 5 bis 20 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Secure Access Service Edge (SASE) bietet konvergierte Netzwerk- und Sicherheitsfunktionen, einschließlich SD-WAN, SWG, CASB, Firewall und Zero-Trust Netzwerkzugang (Zero Trust Network Access, ZTNA). SASE bietet sicheren Zugriff für Zweigstellen, Remote-Mitarbeiter und vor Ort. SASE wird in erster Linie als Dienst bereitgestellt und ermöglicht den Zero-Trust-Zugang zu Systemen, die auf der Identität eines Geräts oder einer Einheit basieren, kombiniert mit Echtzeit-Kontext und Sicherheits- und Compliance-Richtlinien.
Warum dies wichtig ist
SASE ist ein wichtiger Wegbereiter für die moderne digitale Transformation von Unternehmen, einschließlich ortsunabhängiger Arbeit und der Einführung von Edge Computing und Cloud-basierten Anwendungen. Es erhöht die Sichtbarkeit, Agilität, Leistung, Widerstandsfähigkeit und Sicherheit. Darüber hinaus vereinfacht SASE die Bereitstellung und den Betrieb von kritischen Netzwerk- und Sicherheitsdiensten drastisch, hauptsächlich über ein Cloud-basiertes Modell. Außerdem vereinfacht SASE die Bereitstellung und den Betrieb kritischer Netzwerk- und Sicherheitsdienste drastisch, vor allem über ein Cloud-Modell.
Geschäftliche Auswirkungen
SASE ermöglicht:
-
Digitale Geschäftsanwendungen (z. B. Filialtransformation und Hybrid Workforce Enablement) mit erhöhter Benutzerfreundlichkeit bei gleichzeitiger Reduzierung von Kosten und Komplexität durch Anbieterkonsolidierung und dedizierte Stromkreise.
-
Infrastruktur-, Betriebs- und Sicherheitsteams, die eine Vielzahl von Netzwerk- und Netzwerksicherheitsdiensten auf konsistente und integrierte Weise bereitstellen, um die Anforderungen des digitalen Wandels, des Edge Computing und des ortsunabhängigen Arbeitens zu erfüllen.
Geschäftsfaktoren
-
Die digitale Transformation des Geschäfts, einschließlich der Übernahme von Cloud-basierten Diensten durch mobile Mitarbeiter, Edge Computing und Business Continuity-Pläne, die ein flexibles, überall und jederzeit sicheres, identitätsbasiertes logisches Perimeter-Modell von SASE beinhalten müssen.
-
Der Bedarf an flexibler Unterstützung der digitalen Transformation von Unternehmen mit einer Zero-Trust-Sicherheitsarchitektur bei gleichzeitiger Beherrschung der Komplexität ist ein wichtiger Faktor für die Einführung von SASE, das in erster Linie als Cloud-basierter Dienst bereitgestellt wird.
-
SASE kann für die IT-Abteilung die Bereitstellungszeit für neue Nutzer, Standorte, Anwendungen und Geräte verkürzen.
-
Was die Informationssicherheit betrifft, so ermöglicht SASE die einheitliche Durchsetzung von Richtlinien für alle Arten von Zugriffen – Internet, Webanwendungen und private Anwendungen – und reduziert so die Angriffsfläche und verkürzt die Zeit für die Behebung von Problemen.
-
Der Wunsch von Unternehmen, die Implementierung von Netzwerken und Netzwerksicherheit durch die Reduzierung von Policy Engines und Verwaltungskonsolen zu vereinfachen.
Hindernisse
-
Organisatorische Silos, bestehende Investitionen und Qualifikationsdefizite: Eine vollständige SASE-Implementierung erfordert einen koordinierten und kohärenten Ansatz in den Sicherheits- und Netzwerkteams, was angesichts der Aktualisierungs-/Erneuerungszyklen, der Silos und der vorhandenen Fachkenntnisse der Mitarbeiter eine Herausforderung darstellt.
-
Organisatorische Ausrichtung und regulatorische Anforderungen für den Einsatz vor Ort:
Einige Kunden lehnen die Cloud ab und möchten die Kontrolle behalten.
-
Globale Abdeckung: SASE hängt von der Cloud-Bereitstellung ab, und die Cloud-Präsenz eines Anbieters kann die Bereitstellung in bestimmten Regionen wie China, Afrika, Südamerika und dem Nahen Osten verhindern.
-
SASE-Reifegrad: Die Möglichkeiten von SASE sind sehr unterschiedlich. Die Sichtbarkeit und Kontrolle sensibler Daten ist oft eine Fähigkeit, die hohe Priorität hat, die aber von vielen SASE-Anbietern nur schwer zu erfüllen ist. Auch wenn Ihr bevorzugter Einzelanbieter möglicherweise nicht über die von Ihnen benötigten Fähigkeiten verfügt, können Partnerschaften mit zwei Anbietern einen machbaren Weg darstellen.
Nutzer-Empfehlungen
-
Beziehen Sie den Sicherheitsarchitekten und den Netzwerkarchitekten in die Bewertung der Angebote und Roadmaps der etablierten und neuen Anbieter ein, um einen integrierten Ansatz zu gewährleisten.
-
Optimieren Sie die Aktualisierungszyklen von WAN-, Firewall- und VPN-Hardware oder Software-defined WAN (SD-WAN), um Netzwerk- und Netzwerksicherheitsarchitekturen zu aktualisieren.
-
Informieren Sie sich bei Ihren Investitionen über SASE-Optionen mit einem Anbieter, SASE mit zwei Anbietern und verwaltete SASE-Optionen. Vermeiden Sie jedoch den Einsatz von SASE mit mehr als zwei Anbietern, unabhängig vom Marketing der Anbieter für alle Kerndienste, um die Komplexität zu minimieren und die Leistung zu verbessern.
-
Verwenden Sie Anbieterkombinationen – wenn Sie sich für eine Lösung mit zwei Anbietern entscheiden – die über eine explizite Integration verfügen, einschließlich schlüsselfertiger Automatisierung und Transparenz sowie idealerweise Management und Integration der Datenebene.
-
Verbinden Sie Zweigstellen und Fernzugriff in einer einzigen Implementierung, um einheitliche Richtlinien zu gewährleisten und die Anzahl der erforderlichen Anbieter zu minimieren.
-
Setzen Sie die Umwandlung der Branche und die spezielle Schaltung von Straßenprojekten ein, um SASE einzuführen.
Beispiele für Anbieter
Cato Networks; Cisco Systems; Cloudflare; Forcepoint; Fortinet; Juniper Networks; Netskope; Palo Alto Networks; Versa Networks; Zscaler
Steigt weiter
Desktop-as-a-Service
Analyse von: Stuart Downes, Mark Margevicius, Tony Harvey, Craig Fisler, Sunil Kumar, Eri Hariu
Vorteilsbewertung: Hoch
Marktdurchdringung: Mehr als 50 % des Zielpublikums
Reifegrad: Früher Mainstream
Definition:
Desktop-as-a-Service (DaaS) ist die Bereitstellung von virtuellen Desktops durch eine öffentliche Cloud oder einen Service Provider. DaaS wird von IT-Verantwortlichen gekauft, die Desktops oder Anwendungen von virtuellen Maschinen aus bereitstellen möchten, auf die über ein Remote-Display-Protokoll zugegriffen wird. DaaS-Anbieter integrieren einen vollständig verwalteten Control-Plane-Service in ihre Angebote, der die Verbindungen der Nutzer erleichtert und eine Verwaltungsschnittstelle bereitstellt. DaaS kann vorkonfiguriert als Service oder als DaaS-Plattform bereitgestellt werden.
Warum dies wichtig ist
Mithilfe von DaaS befinden sich keine Daten auf dem Endpunkt. Diese Lösung kann die Sicherheit, die Ausfallsicherheit und die Reaktionsfähigkeit von Anwendungen für Remote-Mitarbeiter verbessern. DaaS stellt skalierbare Dienste ohne zusätzliche Infrastruktur zur Verfügung und ermöglicht es den Kunden, ihre Umgebungen Stunde für Stunde, Tag für Tag und Monat für Monat angemessen zu dimensionieren und zu nutzen.
Geschäftliche Auswirkungen
Mit DaaS können IT-Verantwortliche die Sicherheit für Desktops und Anwendungen erhöhen. Weitere Vorteile von DaaS im Vergleich zu herkömmlicher VDI sind:
-
Flexible Beschaffungsoptionen, die skalierbare Einsätze ermöglichen.
-
Vereinfachte Einführung von Diensten in neuen geografischen Regionen.
-
Anwendbarkeit auf ein breiteres Spektrum von Branchen und Anwendungsfällen.
-
IT-Betriebsteams benötigen weniger Kenntnisse für die Bereitstellung und den Betrieb virtueller Desktops und Anwendungen.
-
Schnellerer Anstieg oder Rückgang des Arbeitsaufkommens.
Geschäftsfaktoren
Bis zum Jahr 2026 wird DaaS weiter reifen und eine zunehmende Akzeptanz erfahren. Die Technologie hat die Phase der Desillusionierung hinter sich gelassen und ist aus folgenden Gründen auf den Weg der Erleuchtung gekommen:
-
DaaS bietet Geschäftskontinuität und Remote-Arbeit, ohne dass sich Daten auf dem Endpunkt befinden.
-
Diese Technologie ermöglicht die sichere Ausweitung der Dienste auf externe Auftragnehmer und Drittparteien.
-
Endpunkt-Computing-Modelle ermöglichen Geräteunabhängigkeit und BYOPC-Endpunkte (Bring your own PC).
-
On-Demand-Desktops ermöglichen ein Finanzmodell, das die Skalierung von Cloud-Ressourcen und ein Betriebskostenmodell (Opex) ermöglicht.
-
DaaS kann für kurze Zeiträume erworben werden und ermöglicht so Anwendungsfälle wie Saisonarbeiter oder kurzfristige Verträge.
-
DaaS ermöglicht einen schnellen Zugriff auf Systeme bei Fusionen, Übernahmen und Veräußerungen.
-
Grafikintensive Anwendungsbereiche wie Maschinenbau, Spieleentwicklung, Videobearbeitung und geografische Informationssysteme (Geographic Information Systems, GIS) profitieren von GPU-fähigen virtuellen Desktops und Anwendungen der Workstation-Klasse.
-
DaaS kann den Nutzern innerhalb von Stunden zur Verfügung gestellt werden. Die Bereitstellung eines physischen Geräts hingegen kann Wochen dauern, es fallen Versandkosten an und die Rückgabe ist nicht immer garantiert.
-
Diese Technologie macht komplexe und statische VDI-Implementierungen überflüssig.
Hindernisse
-
Üblicherweise wird der Business Case erst dann positiv, wenn die Auswirkungen auf die Sicherheit und die Kosten für die Nutzer berücksichtigt werden.
-
Unternehmen haben Schwierigkeiten, wenn sich die Finanzmodelle von Capex zu Opex ändern.
-
GPU-Anwendungsfälle können extrem teuer sein und erfordern oft erweiterte Protokolle, was die Komplexität erhöht.
-
Multimedia-Streaming, Web-Meetings und Videoanrufe in DaaS entsprechen nicht der Leistung eines physischen Endpunkts.
-
DaaS kann zu Leistungsproblemen führen, weil die Anwendungsarchitekturen netzwerkbezogene Probleme (z. B. Latenz und Hairpinning) mit sich bringen.
-
Einige DaaS-Lösungen erfordern eine Selbstmontage, die zwar einfacher ist als VDI, aber für manche Kunden dennoch zu komplex sein kann.
-
Möglicherweise werden die Anforderungen an das Desktop-Management von DaaS-Anbietern nicht vollständig erfüllt.
-
Microsoft-Produktbedingungen, die die Installation von Microsoft 365-Anwendungen auf „gelisteten Providern“ verhindern.
Nutzer-Empfehlungen
-
Beschäftigen Sie sich mit den drei DaaS-Marktsegmenten – Self-Assembled DaaS, Vendor-Assembled DaaS und Vendor-Managed DaaS – und wählen Sie einen Anbieter aus den entsprechenden Segmenten.
-
Sorgen Sie dafür, dass Ihre operativen Teams über die notwendigen Fähigkeiten verfügen, wenn Sie sich für selbst zusammengestellte DaaS-Lösungen entscheiden.
-
Wählen Sie eine DaaS-Lösung, die von einem Anbieter betrieben wird, oder eine von einem Anbieter verwaltete DaaS-Lösung, wenn Sie nicht über die nötigen operativen Fähigkeiten verfügen.
-
Entscheiden Sie sich für einen DaaS-Anbieter, dessen Dienste Ihren Anforderungen am besten entsprechen. Selbst innerhalb eines Segments gibt es Unterschiede zwischen den von den Anbietern angebotenen Diensten.
-
Optimieren Sie Multimedia-Streaming, Web-Meetings und Videoanrufe.
-
Wählen Sie einen DaaS-Anbieter, der die von Ihnen gewünschte Abrechnungsgranularität bietet.
Beispiele für Anbieter
Alibaba; Amazon; Anunta; ATSG; Citrix Systems; Microsoft; Nutanix; oneclick; VMware; Workspot
ZTNA
Analyse von: John Watts, Thomas Lintemuth
Vorteilsbewertung: Mittel
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Gartner definiert Zero-Trust Netzwerkzugang (Zero Trust Network Access, ZTNA) als Produkte und Dienstleistungen, die eine identitäts- und kontextbasierte, logische Zugriffsgrenze schaffen, die einen Nutzer im Unternehmen und eine intern gehostete Anwendung oder eine Reihe von Anwendungen umfasst. Die Anwendungen sind vor der Entdeckung verborgen, und der Zugriff ist über einen Trust-Makler auf eine Sammlung von benannten Entitäten beschränkt, wodurch die seitliche Bewegung im Netzwerk eingeschränkt wird.
Warum dies wichtig ist
ZTNA ist eine Schlüsseltechnologie zur Ermöglichung einer dynamischen Nutzer-zu-Anwendungs-Segmentierung über einen Trust Broker, um eine Sicherheitsrichtlinie durchzusetzen, die es Unternehmen ermöglicht, private Anwendungen und Dienste zu verbergen und ein Zugriffsmodell mit den geringsten Privilegien für Anwendungen durchzusetzen. Sie reduziert die Angriffsfläche durch die Schaffung individueller „virtueller Perimeter“, die nur den Nutzer, das Gerät und die Anwendung umfassen.
Geschäftliche Auswirkungen
ZTNA sorgt für eine logische Trennung von Quellnutzer/Gerät und Zielanwendung, um den vollständigen Zugriff auf das Netzwerk zu verhindern und die Angriffsfläche innerhalb des Unternehmens zu verringern. Dadurch werden die Benutzerfreundlichkeit (User Experience, UX) und die Flexibilität beim Fernzugriff verbessert und gleichzeitig eine dynamische, granulare Segmentierung zwischen Nutzern und Anwendungen durch eine vereinfachte Richtlinienverwaltung ermöglicht. Cloud-basierte ZTNA-Angebote verbessern die Skalierbarkeit und erleichtern die Einführung eines sicheren Fernzugriffs.
Geschäftsfaktoren
-
Der Anstieg von Zero-Trust-Initiativen in Unternehmen hat dazu geführt, dass eine präzisere Zugriffs- und Sitzungskontrolle bei Anwendungen vor Ort und in der Cloud erforderlich ist.
-
Es besteht ein zunehmender Bedarf, herkömmliche VPN-Implementierungen zu modernisieren und zu vereinfachen, die für statische Nutzerstandorte optimiert wurden, die sich mit Rechenzentrumsumgebungen verbinden und nicht mit Anwendungen, Diensten und Daten, die sich außerhalb eines Unternehmens befinden.
-
Cloud-basierte ZTNA-Dienste werden benötigt, um die Methoden für den Fernzugriff vor Ort zu ergänzen und hardwarebasierte Lösungen zu ersetzen, wenn der Bedarf an hybrider Arbeit die Hardwarekapazität übersteigt.
-
Einige Unternehmen benötigen die Fähigkeit, Zugriffsmuster von Anwendungen zu beobachten, bevor sie granulare Kontrollen durchsetzen können.
-
Andere Unternehmen haben das Bedürfnis, Dritte wie Lieferanten, Anbieter und Auftragnehmer sicher mit Anwendungen zu verbinden, ohne ihr gesamtes Netzwerk über VPNs preiszugeben, oder die Anwendungen für den Zugriff mit dem Internet zu verbinden.
-
Unternehmen, die Fusionen und Übernahmen durchführen, müssen in der Lage sein, den Zugriff auf Anwendungen auf die übernommenen Unternehmen auszuweiten, ohne Endpunkte zu installieren oder ihre Unternehmensnetzwerke miteinander zu verbinden.
Hindernisse
-
Kosten: ZTNA wird üblicherweise pro Nutzer und Jahr zu einem Preis lizenziert, der etwa doppelt oder dreimal so hoch ist wie bei herkömmlichen VPNs.
-
Eingeschränkte Unterstützung: Nicht alle Produkte unterstützen alle Anwendungen. Beispielsweise unterstützen einige clientbasierte ZTNA-Lösungen keine UDP-Anwendungen, und clientlose ZTNA-Lösungen unterstützen in der Regel nur Web-, Remote Desktop Protocol (RDP) und Secure Shell (SSH)-Protokolle. Einige Anbieter vermarkten VPN-as-a-Service (VPNaaS) als ZTNA, bieten aber keine Unterstützung für einige Zero-Trust-Posture-Funktionen.
-
Die Übernahme beschränkt sich auf den VPN-Ersatz: Cloud-basierte Trust Broker erweitern möglicherweise nicht die Punkte zur Durchsetzung von Richtlinien vor Ort, was die Anwendungsfälle im Vergleich zu universellen ZTNA-Angeboten einschränkt.
-
Granularität der Zugriffsrichtlinien: Unternehmen müssen den Zugriff von Nutzern auf Anwendungen abbilden, aber vielen fehlt dieses Verständnis und sie haben am Ende Zugriffsregeln, die entweder zu detailliert oder nicht detailliert genug sind.
Nutzer-Empfehlungen
-
Ermöglichen Sie den anwendungsspezifischen und dienstspezifischen Zugriff mit ZTNA ohne Client anstelle eines vollständigen Netzwerkzugriffs über einen Tunnel, der für eine erweiterte Belegschaft, Nutzer, die „ihren eigenen Computer mitbringen“ (BYOD), Fusionen und Übernahmen sowie B2B-Endnutzer gedacht ist.
-
Stimmen Sie die Wahl des ZTNA-Anbieters mit der Wahl des Security Service Edge (SSE) Anbieters ab, um einheitliche Sicherheitskontrollen für hybride Mitarbeiter und entfernte Niederlassungen sowie ZTNA-Richtlinien mit der Zero-Trust-Strategie des Unternehmens zu unterstützen. Messen Sie die Risikoreduzierung anhand von ergebnisorientierten Metriken.
-
Fordern Sie universelle ZTNA-Funktionen von Anbietern, die einen sicheren Fernzugriff anbieten, um Zugriffskontrollrichtlinien sowohl vor Ort als auch außerhalb zu vereinheitlichen, mit zusätzlicher Unterstützung für das Internet der Dinge (Internet of Things, IoT), um ältere Netzwerkzugriffskontroll- (Network Access Control, NAC) oder softwaregestützte Netzwerkimplementierungen (Software defined Network, SDN) zu ersetzen.
-
Schützen Sie Systeme wie herkömmliche VPN-Konzentratoren und Collaboration-Systeme, die dem Internet ausgesetzt sind, vor Scan-and-Exploit-Bedrohungen und erlauben Sie Nutzern nur die Interaktion mit beschränkten Anwendungen und Daten, um das Risiko zu verringern.
Beispiele für Anbieter
Appgate; Cisco; Fortinet; Google; Microsoft; Netskope; Palo Alto Networks; Zscaler
Abwehr mobiler Bedrohungen
Analyse von: Dionisio Zumerle
Vorteilsbewertung: Mittel
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Wachsend
Definition:
Die Abwehr mobiler Bedrohungen (Mobile Threat Defense, MTD) schützt Unternehmen vor Bedrohungen, die auf iOS- und Android-Mobilgeräte abzielen. Sie bietet Prävention, Erkennung und Abhilfe fürs Gerät, seine Netzwerkverbindungen und seine Anwendungen. Zur Abwehr und Erkennung von Bedrohungen für Unternehmen, wie z. B. Malware, verwenden MTD-Produkte eine Vielzahl von Techniken, einschließlich der Erkennung auf der Grundlage von Verhaltensanalysen. Die Angebote stammen von verschiedenen Anbietern, darunter EPP-Anbieter (Endpoint Protection Platform) und eigenständige MTD-Anbieter.
Warum dies wichtig ist
MTD verbessert die mobile Sicherheitshygiene, indem anfällige Geräte, bösartige Anwendungen und Netzwerke identifiziert werden. Darüber hinaus bietet die Lösung Einblicke in das Verhalten mobiler Geräte, die auf bösartige Aktivitäten hindeuten. Diese können mit anderen Beobachtungsdaten und Bedrohungsdaten korreliert werden, um die unternehmensweiten Erkennungs- und Reaktionsmöglichkeiten zu verbessern. Neben anderen Bedrohungen kann MTD auch mobiles Phishing abwehren. Finanzdienstleistungen und andere hochsichere und regulierte Branchen sind die Hauptanwender dieser Technologie.
Geschäftliche Auswirkungen
-
MTD lässt sich in eine bestehende UEM-Installation integrieren, um die Abhilfe zu optimieren, oder kann als eigenständiges Tool eingesetzt werden.
-
MTD gewährleistet die Sicherheit in regulierten Branchen, in Unternehmen, die eine Vielzahl unterschiedlicher und fragmentierter Versionen mobiler Betriebssysteme verwenden müssen, und in Organisationen, die sich dafür entscheiden, die mobilen Geräte, auf die sie im Unternehmen Zugriff haben, nicht zu verwalten.
Geschäftsfaktoren
-
Zahlreiche Unternehmen setzen MTD ein, um fortgeschrittene und gezielte Angriffe abzuwehren. In der Praxis bietet MTD eine eher traditionelle Sicherheitshygiene, wie z. B. die Überprüfung von Apps und die Verwaltung von Sicherheitslücken auf Geräten.
-
Der Schutz vor mobilem Phishing ist ein wichtiger Grund für die Einführung. Phishing-Angriffe auf mobile Geräte können traditionelle Unternehmensmaßnahmen wie E-Mail-Sicherheit über SMS und Instant-Messaging-Anwendungen wie WhatsApp umgehen.
-
Aufkommende Anwendungsfälle sehen MTD als eine Komponente der Zero-Trust-Architektur und eines erweiterten Erkennungs- und Reaktionssystems (Extended Detection and Response, XDR) vor. Dies geschieht zusätzlich zum Einsatz von MTD zum Schutz vor mobilem Phishing.
-
Für nicht verwaltete iOS- und Android-Geräte bietet MTD eine Sicherheitsgarantie, die für BYOD- und Work-from-Home-Szenarien geeignet ist. Wenn ein Nutzer eine Arbeitsanwendung auf einem Gerät startet, erlaubt die Anwendung den Zugriff nur, wenn MTD auf dem Gerät ausgeführt wird. Besonders Microsofts MAM-WE-Implementierung dieser Option hat an Popularität gewonnen, um Outlook und andere Microsoft-Anwendungen auf nicht verwalteten Geräten zu aktivieren.
-
Endpunkt-Sicherheitsanbieter erweitern ihre EPP-Angebote um die Unterstützung von iOS und Android.
Hindernisse
-
Die Einführung von MTD verläuft langsamer, als der Hype um die mobile Sicherheit vermuten ließ. Das Fehlen von Beweisen für mobile Sicherheitsprobleme, die zu größeren Sicherheitsverletzungen in Unternehmen geführt haben, macht MTD nicht zu einer Priorität für Unternehmen.
-
Reglementierte Branchen und Unternehmen mit hohen Sicherheitsanforderungen setzen MTD-Lösungen ein. Bei den etablierten Unternehmen beschränkt sich die Einführung von MTD-Produkten weitgehend auf diejenigen, die ihre allgemeine Sicherheitshygiene verbessern oder Informationen zur Geräteposition für BYOD-Geräte (Bring Your Own Device) bereitstellen, und nicht auf diejenigen, die bösartige mobile Bedrohungen abwehren wollen.
-
Mobile Betriebssysteme (insbesondere iOS und iPadOS) beschränken die Sichtbarkeit und die Abhilfemaßnahmen, die Sicherheitstools auf diesen Plattformen ergreifen können.
Nutzer-Empfehlungen
-
Setzen Sie MTD vorrangig in hochsicheren und regulierten Bereichen sowie in Unternehmen mit großen oder fragmentierten Android-Gerätebeständen ein. Priorisieren Sie die Geräte von Anwendern, die mit sensiblen Daten umgehen und die häufig mobil sind.
-
Schaffen Sie eine Sicherheitsgrundlage für mobile Geräte mit UEM, bevor Sie in MTD-Produkte investieren. Wenden Sie MTD für die App-Überprüfung und das Schwachstellenmanagement von Geräten an, um unmittelbare Vorteile zu demonstrieren, anstatt zu erwarten, dass sie fortgeschrittene bösartige Bedrohungen abwehren oder größere Sicherheitslücken aufdecken können.
-
Integrieren Sie MTD in etablierte Tools für die Verwaltung von Endpunkten (Unified Endpoint Management, UEM), um die Zero-Trust-Prinzipien auf mobile Geräte auszuweiten. Wählen Sie lieber die App-basierte Option und lassen Sie die Proxy-basierte Bereitstellung für hochsichere und rein geschäftliche Szenarien.
-
Nutzen Sie MTD-Produkte zum Schutz der Unternehmensinfrastruktur, wenn BYOD-Richtlinien in Kraft sind, und für andere Anwendungsfälle, in denen Geräte nicht verwaltet werden müssen. Betonen Sie die strategische Anpassung an den Anbieter gegenüber der Produktdifferenzierung, außer in Hochsicherheitskontexten und Situationen mit besonderen Anforderungen an die mobile Sicherheit.
Beispiele für Anbieter
BETTER; BlackBerry; CrowdStrike; Jamf; Lookout; Microsoft; Samoby; Sophos; Tehtris; Zimperium
Datenbereinigung
Analyse von: Rob Schafer
Vorteilsbewertung: Mittel
Marktdurchdringung: Mehr als 50 % des Zielpublikums
Reifegrad: Reifer Mainstream
Definition:
Datenbereinigung ist der disziplinierte Prozess der absichtlichen, dauerhaften und irreversiblen Entfernung oder Zerstörung der auf einem Speichergerät gespeicherten Daten, um sie unwiederbringlich zu machen. Ein bereinigtes Gerät verfügt über keine verwertbaren Restdaten, und selbst mithilfe fortschrittlicher forensischer Tools können die Daten nicht wiederhergestellt werden.
Warum dies wichtig ist
Es genügt ein einziges datenführendes Gerät, das durch eine Lücke in dem ansonsten robusten ITAD-Datensicherheitsprozess fällt, um Ihre Daten im Internet zum Verkauf anzubieten. Eine robuste, konsistente und durchgängige Datenbereinigung muss angesichts der zunehmenden Besorgnis über Datenschutz und -sicherheit, Datenverluste und die Einhaltung gesetzlicher Vorschriften eine zentrale Anforderung für alle IT-Organisationen sein. Darüber hinaus verstärken die ständig wachsende Kapazität der Speichermedien und das Volumen der Edge-Computing- und Internet-of-Things (IoT)-Geräte die Notwendigkeit einer konsequent robusten Datenbereinigung.
Geschäftliche Auswirkungen
Während die Datenbereinigung nicht unbedingt zu höheren Umsätzen oder Kosteneinsparungen führt, minimiert sie das Risiko erheblicher finanzieller und Markenschäden, die aus schwerwiegenden Datenschutzverstößen im Zusammenhang mit der IT-Asset-Disposition (ITAD) resultieren können. Die Nutzenbewertung ist moderat, da die Datenbereinigung zu einem zunehmend akzeptierten Verfahren zur Minimierung der wesentlichen Geschäftsrisiken der Datensicherheit geworden ist.
Geschäftsfaktoren
-
Einhaltung der Datensicherheit: Ungeachtet des angestrebten Endzustands der deinstallierten IT-Hardware ist die Datenbereinigung oder die physische Vernichtung von Festplatten von entscheidender Bedeutung, um die Einhaltung der internen und externen Datenschutz- und Sicherheitsanforderungen zu gewährleisten. Diese Prozesse werden oft am effektivsten und zuverlässigsten von einem erfahrenen ITAD-Anbieter durchgeführt. Angesichts des kritischen Risikos für Ihre Marke, das weniger solide Datenbereinigungsprozesse darstellen, ist eine Zertifizierung erforderlich, dass die Daten gemäß den üblichen Industriestandards bereinigt wurden.
-
Nachhaltigkeit und die Kreislaufwirtschaft: Der rasch wachsende Fokus auf Nachhaltigkeit und insbesondere auf die Kreislaufwirtschaft führt zu einer Verlagerung weg von der physischen Vernichtung hin zur Reinigung/Löschung von Datenträgern. Auf diese Weise lässt sich die Nutzungsdauer von IT-Anlagen um 50 bis 100 % verlängern, wodurch bis zur Hälfte der gesamten Treibhausgasemissionen vermieden werden können.
-
Standards zur Datenbereinigung und Verschlüsselung: Viele Unternehmen nutzen internationale Standards wie den US-amerikanischen NIST 800-88 oder den britischen ADISA-Standard und verlangen von ITAD-Dienstleistern die AAA-Zertifizierung von NAID (und nicht nur die NAID-Mitgliedschaft). Um Sicherheitsrisiken in der Lieferkette (z. B. Verluste beim Transport zur Einrichtung des ITAD-Anbieters) zu minimieren, verlangen viele ITAD-Manager (insbesondere im Finanz- und Gesundheitssektor), dass vor Ort irgendeine Form der Datenbereinigung durchgeführt wird. Einige Unternehmen, die keine Datenbereinigung vor Ort verlangen, setzen stattdessen die Verschlüsselung der Daten auf allen Geräten, auf denen Daten gespeichert sind, durch, um die Sicherheitsrisiken der Lieferkette zu minimieren.
-
Ganzheitliche, durchdringende Datenbereinigung: Eine umfassende Datenbereinigung wird auf alle Geräte mit Speicherkomponenten angewendet (z. B. Unternehmensspeicher und Server, PCs, mobile Geräte und zunehmend auch Edge Computing und einige IoT-Geräte). Der Mangel an robuster Datenbereinigungskompetenz ist oft darauf zurückzuführen, dass Phasen des Asset-Lebenszyklus als isolierte Ereignisse behandelt werden und die Koordination zwischen den Unternehmensgrenzen (z. B. Finanzen, Sicherheit, Beschaffung und IT) unzureichend ist).
-
Datenbereinigung aus der Ferne: Bei mobilen Geräten wird die Möglichkeit der Datenlöschung aus der Ferne in der Regel über einen mobilen Gerätemanager implementiert. Obwohl dies nicht als ausfallsicherer Mechanismus betrachtet werden sollte, ist seine Zuverlässigkeit für die meisten verlorenen oder gestohlenen Mobilgeräte ausreichend.
Hindernisse
-
Selbstgefälligkeit: Das „Business-as-usual“-Syndrom: „Wir haben es immer so gemacht und hatten nie ein Problem.“ Der rasche Anstieg der Anforderungen an Datensicherheitsanforderungen (z. B. die Datenschutz-Grundverordnung [DSGVO], der Health Insurance Portability and Accountability Act [HIPAA] und der California Consumer Privacy Act [CCPA]) erfordern eine gründliche (jährliche) Überprüfung der Datensicherheit und -bereinigung Prozesse.
-
Kosten: Eine robuste Datenbereinigung ist im Vergleich zu den vielen kostengünstigeren „Vertrau mir“-Alternativen kostspielig (z. B. der „Freund“, der verspricht, dass seine Prozesse robust sind). Denken Sie daran: Hier geht es um die Integrität Ihrer Marke auf dem Markt.
-
Mangelndes Bewusstsein und Fokus der Führungskräfte: Allzu oft geben Führungskräfte der C-Ebene selbstbewusst an, dass sie über erstklassige Datenbereinigungsprozesse verfügen, diese Prozesse jedoch seit mehreren Jahren nicht gründlich überprüft/geprüft haben. In großen Unternehmen gibt es vielleicht einen robusten, disziplinierten Prozess zur Datenbereinigung, aber an bestimmten entfernten Standorten werden diese Prozesse möglicherweise nicht konsequent durchgesetzt.
Nutzer-Empfehlungen
-
Verfolgen Sie einen IT-Risikomanagement-Lebenszyklusansatz, der explizite, dokumentierte Entscheidungen über die Archivierung, Datenbereinigung, Wiederverwendung und Stilllegung von Geräten beinhaltet.
-
Arbeiten Sie mit den Beteiligten an der Datenbereinigung (z. B. IT, Sicherheit, Datenschutz, Compliance, Recht, IT Asset Manager) zusammen, um geeignete End-to-End-Standards und -Prozesse für die Datenbereinigung auf der Grundlage der Datensensibilität für alle datenführenden Geräte zu entwickeln.
-
Da verschiedene Medien unterschiedliche Methoden der Datenbereinigung erfordern, stellen Sie sicher, dass Ihre interne IT-Organisation oder Ihr externer ITAD-Anbieter eine Bescheinigung über die Datenvernichtung gemäß Ihren Sicherheitsstandards (z. B. NIST 800-88) ausstellt.
-
Bewerten und minimieren Sie die Sicherheitsrisiken von tragbaren Datenträgern (z. B. mobile Geräte, USB-Laufwerke, IoT-Geräte).
-
Analysieren Sie bei extern bereitgestellten Diensten (z. B. SaaS, IaaS, PaaS) die Auswirkungen des Vertragsendes und die Prozesse zum Ausstieg aus den Daten und verlangen Sie von den Anbietern die Angabe ihrer Praktiken und Zertifizierungen für die Datenvernichtung, die Wiederverwendung und das Recycling von Daten.
Beispiele für Anbieter
Blancco; Iron Mountain (ITRenew)
Endpunkt-Erkennung und -Reaktion
Analyse von: Franz Hinner, Satarupa Patnaik, Eric Grenier
Vorteilsbewertung: Hoch
Marktdurchdringung: Mehr als 50 % des Zielpublikums
Reifegrad: Reifer Mainstream
Definition:
Endpunkt-Erkennung und -Reaktion (Endpoint Detection and Response, EDR) analysiert System-, Prozess- und Nutzeraktivitäten, um Sicherheitsbedrohungen zu erkennen. Die Lösung bietet Anleitungen zur Beseitigung von Bedrohungen, die die Präventionskontrollen umgehen, und ermöglicht die Untersuchung von Endpunkt-Bedrohungen. EDR-Funktionen sind häufig in Endpunkt-Schutzplattformen enthalten und werden als Software-Agenten bereitgestellt, die mit zentraler Cloud-basierter Software für Sicherheitsanalysen und -management verbunden sind.
Warum dies wichtig ist
EDR ist eine wesentliche Verteidigungskomponente für die meisten Endpunkte in Unternehmen. Es erfordert die Installation eines Agenten, der bei der Erkennung und Meldung verdächtiger und bösartiger Verhaltensweisen, der Visualisierung der Angriffsausbreitung und der Anleitung zur Abhilfe hilft. EDR kann bekannte Malware- und Ransomware-Familien stoppen, aber auch heimliche und unbekannte Bedrohungen entdecken und beseitigen.
Geschäftliche Auswirkungen
-
Alle Geräte und Server, die mit Unternehmensnetzwerken verbunden sind oder Daten verarbeiten, benötigen EDR-Schutz.
-
Neue Bedrohungen und verdeckte Angriffe erfordern eine frühzeitige Identifizierung und schnelle Reaktion.
-
Cyber-Versicherer und Regulierungsbehörden verlangen EDR, und einige EDR-Lösungen bieten eine kostengünstige Ransomware-Versicherung.
Geschäftsfaktoren
-
Die Form der Bedrohungen hat sich geändert. Eine 100%ige Vorbeugung ist nicht mehr praktikabel, und ältere Tools für die Endpunkt-Schutzplattform (Endpoint Protection Platform, EPP) sollten so aktualisiert werden, dass sie auch EDR-Funktionalität enthalten.
-
Heimliche Malware- und Ransomware-Kampagnen, staatlich geförderte Angreifer und Lieferkettenangriffe nutzen fortschrittliche Techniken, um unentdeckt zu bleiben und ältere Sicherheitskontrollen zu umgehen.
-
Die Arbeit per Fernzugriff hat die Einführung von Cloud-verwalteten Lösungen beschleunigt, die jetzt 80 % der installierten Basis und die meisten neuen Implementierungen ausmachen.
-
Die Aufdeckung von Angriffen auf die Identität von Nutzern und Maschinen sowie der Missbrauch von Anmeldedaten ist ein neues, unverzichtbares Merkmal.
-
Eine rasche Reaktion in Echtzeit ist entscheidend, wenn es darum geht, eine Bedrohung einzudämmen und ihre Ausbreitung zu verhindern.
-
Die Erweiterung bestehender Programme zur Verwaltung von Schwachstellen und die Bereitstellung von Mitteln zur Verringerung der Angriffsfläche werden zunehmend benötigt, um sicherzustellen, dass Systeme nicht falsch verwanzt sind und keine ungepatchten Schwachstellen aufweisen.
-
Die Erfassung von Protokollen und Ereignissen von EDR-Agenten bildet die Grundlage für die nachträgliche Erkennung von Bedrohungen und die Bedrohungsjagd.
-
Komplexe Angriffe erfordern eine neue Art von EDR-Tools, die ganzheitlich mit anderen Sicherheitstools als komponierbares Sicherheitsökosystem zusammenarbeiten, um den Schutz zu maximieren und die Gefährdung zu minimieren.
Hindernisse
-
In vielen Unternehmen fehlen die Kenntnisse und Ressourcen, um EDR-Tools erfolgreich zu installieren und einzusetzen. Die Einführung von EDR erfordert eine Schulung der Einsatzkräfte, einschließlich eines „Schießstand“-Trainings, bei dem Angriffe imitiert werden.
-
Herkömmliche Sicherheitstechnologien und Agenten für Endpunkte funktionieren nicht mit den „agilen“ Bereitstellungspipelines von Cloud-gehosteten Workloads. Dies trennt agil eingesetzte Workloads von Containern oder Serverless Computing.
-
Bei Systemen, die nicht unter Microsoft-Windows laufen, kann es zu einem Mangel an Funktionsgleichheit kommen. Endpunkt-Sicherheitslösungen für diese Systeme verfügen nicht über Funktionen zur EDR-Erkennung und -Reaktion.
-
Bei hybriden und dezentralen Arbeitsmodellen sind ältere Technologien vor Ort nur schwer einzuführen und zu warten.
Nutzer-Empfehlungen
-
Wählen Sie Lösungen mit einem einzigen, einheitlichen Agenten und schneller Remote-Bereitstellung.
-
Priorisieren Sie Technologien mit einfacher Bedienung und vorgefertigten automatisierten Playbooks.
-
Bevorzugen Sie in der Cloud gehostete Lösungen mit flexiblen Einsatzmöglichkeiten.
-
Bewerten Sie die Fähigkeit des Unternehmens, die Erkennungs- und Reaktionsdienste zu überwachen und zu verwalten, um Lücken zu identifizieren und festzustellen, ob ein verwalteter Dienst für Ihr Unternehmen erforderlich ist. Stellen Sie eine angemessene Datenaufbewahrung und die Einhaltung gesetzlicher Vorschriften sicher.
Beispiele für Anbieter
Cisco; CrowdStrike; Cybereason; Fortinet; Microsoft; Palo Alto Networks; SentinelOne; Sophos; Trellix; Trend Micro
Remote-Browser-Isolierung
Analyse von: John Watts, Neil MacDonald
Vorteilsbewertung: Gering
Marktdurchdringung: 20 bis 50 % der Zielgruppe
Reifegrad: Früher Mainstream
Definition:
Die ferngesteuerte Browser-Isolierung (Remote Browser Isolation, RBI) trennt das Rendering nicht vertrauenswürdiger Inhalte (typischerweise aus dem Internet) von Nutzern und ihren Geräten oder trennt sensible Anwendungen und Daten von einem nicht vertrauenswürdigen Gerät. Wenn RBI zum Schutz vor nicht vertrauenswürdigen Inhalten eingesetzt wird, verringert sich die Verletzungswahrscheinlichkeit erheblich, da sich ein Großteil der Angriffe auf Nutzer und Endgeräte verlagert hat. Wenn RBI zum Schutz sensibler Daten und Anwendungen vor nicht verwalteten Geräten eingesetzt wird, hilft es, die mit BYOD verbundenen Risiken zu verringern.
Warum dies wichtig ist
Die Browser-Isolierung sorgt dafür, dass die Sitzung zwischen einem Endpunkt und den Webdiensten, auf die er zugreift, getrennt bleibt, wodurch das Risiko von Malware und Datenverlusten verringert wird. Beim Zugriff eines Endpunkts auf Webinhalte verhindert RBI, dass über das Web verbreitete Malware direkt auf den Endpunkt übertragen wird. RBI funktioniert auch in umgekehrter Richtung. In Fällen wie dem SaaS-Zugriff über einen Makler für Cloud-Zugangssicherheit (Cloud Access Security Broker, CASB) oder dem internen Anwendungszugriff über Zero-Trust Netzwerkzugang (Zero Trust Network Access, ZTNA) schützt es sensible Daten und Anwendungen vor Angriffen durch ein nicht verwaltetes und potenziell infiziertes Gerät.
Geschäftliche Auswirkungen
Die meisten Angriffe erfolgen heute über das öffentliche Internet, entweder durch Exploits, die über das Webbrowsing verbreitet werden, oder über per E-Mail verschickte Links, die Nutzer dazu verleiten, bösartige Websites zu besuchen.
Durch die Verbindung des Browsers auf dem Desktop des Nutzers mit einem anderen Browser, der an einem anderen Ort läuft, wird die Effizienz der vorhandenen Sicherheitstools verbessert. Der RBI-Schutz kann auch auf private und SaaS-Anwendungen ausgedehnt werden, auf die von nicht verwalteten Geräten aus zugegriffen wird, wodurch die Gefahr der Datenexfiltration verringert wird.
Geschäftsfaktoren
-
Zahlreiche Unternehmen möchten eine adaptive Null-Vertrauenshaltung einrichten, indem sie die Isolierung als Richtlinienmaßnahme innerhalb der Security Service Edge (SSE) für Forward Proxy-, Reverse Proxy- und private Anwendungen einsetzen.
-
Häufig besteht die Notwendigkeit, Malware-Schutz und Datenschutz sowohl auf verwaltete als auch auf nicht verwaltete Geräte anzuwenden.
-
Die Isolierung von Websites ist ein effizienteres Mittel zur Verbesserung der Sicherheit, als sich auf langsame, statische Blocklisten zu verlassen, um gezielte Angriffe zu stoppen.
-
Der Zugriff auf nicht kategorisierte Websites kann die Reibungsverluste für den Nutzer verringern, wenn Sie diese nicht blockieren, sondern isoliert zulassen.
-
E-Mail-basierte URLs, die von außen aufgelöst werden, können isoliert werden, um Phishing-Angriffe auf Mitarbeiter zu verhindern.
Hindernisse
-
Endnutzer berichten häufig von einer schlechten Erfahrung, wenn RBI für alle Standorte eingesetzt wird, was einige Unternehmen dazu veranlasst, RBI nur auf bestimmte Kategorien von Standorten zu beschränken.
-
Nur wenige eigenständige RBI-Anbieter sind noch auf dem Markt, was die Auswahl einschränkt, da die meisten RBI-Optionen jetzt als Funktionen von Secure Access Service Edge (SASE) und SSE-Plattformen enthalten sind.
-
Die Lokalisierung des Browsing-Erlebnisses für Cloud-basierte, mandantenfähige RBI erfordert eine regionale Kombination von IP-Adresszuweisungen mit VPN-Ausgangspunkten oder lokalen Präsenzpunkten.
-
Die RBI ist eine zusätzliche Verteidigungsschicht mit zusätzlichen Kosten, da sie selten andere Sicherheitskontrollen vollständig ersetzt.
-
Die meisten RBI-Angebote sind softwarebasiert und werden in der Cloud bereitgestellt, was die Möglichkeiten für Unternehmen einschränkt, die nach einer hardwarebasierten Isolierungsoption vor Ort suchen.
-
Die RBI schützt nicht vor infizierten Inhalten, die auf den Endpunkt heruntergeladen werden dürfen. Mechanismen wie Virenschutz und Sandboxing, Konvertierung in PDF, Remote Viewer und Content Disarm and Reconstruction (CDR) sind erforderlich.
Nutzer-Empfehlungen
-
Evaluieren und testen Sie eine RBI-Lösung für bestimmte risikoreiche Nutzer (z. B. Finanzteams) oder Anwendungsfälle (z. B. das Rendern von E-Mail-basierten URLs), insbesondere wenn Ihr Unternehmen risikoscheu ist.
-
Bewerten Sie RBI als Funktion Ihres bestehenden SASE/SSE-Anbieters und ermitteln Sie, wie es zur Verbesserung der Effizienz der Lösung eingesetzt werden kann. Führen Sie die RBI zum Schutz vor Bedrohungen schrittweise ein. Beginnen Sie mit der Bereitstellung für eine begrenzte Anzahl hochwertiger Zielnutzer und isolieren Sie selektiv eine begrenzte URL-Anzahl. Erweitern Sie dann die Anwendungsfälle.
-
Bewerten Sie verschiedene Anbieteransätze für das Rendering (z. B. Pixel-Streaming, DOM-Rekonstruktion oder Grafik-Rendering) auf der Grundlage von Leistung, Latenz und Bandbreitenanforderungen.
-
Verwenden Sie RBI, um Dateien für die Anzeige zu isolieren. Wenn jedoch Downloads erforderlich sind, sollten Sie CDR oder die besten Offline-Scanner verwenden, um Malware zu verhindern.
Beispiele für Anbieter
Authentic8; Broadcom; Cloudflare; Forcepoint; Garrison; Menlo Security; Netskope; Proofpoint; Skyhigh Security; Zscaler