Weshalb wird in der IT-Security in den meisten Fällen dem Endpoint wenig Beachtung geschenkt? Ist der Endpoint nicht mehr die letzte Verteidigungslinie oder das erste Frühwarnsystem? Vielleicht liegt es daran, dass die BYOD Mentalität zwar in den Köpfen lebt aber doch noch nicht die Überhand gewonnen hat. Wie viele «BYO» Devices in Ihrer Firma unterwegs sind und wie viele Corporate Clients im Vergleich dazu stehen, kann ein interessanter Hinweis sein, wie weit diese Mentalität in Ihrem Unternehmen fortgeschritten ist. Werden schützenswerte Daten und insbesondere auch Dateien diesen fremden Devices anvertraut? Oder werden die wirklich sensiblen Dateien und Zugriffe noch immer von firmeneigenen Geräten aus getätigt?
Die digitalen Workflows sind noch nicht so weit ausgereift, als dass keine Dateien mehr geschrieben oder getauscht werden müssen. Gerade in den Kernbereichen der Unternehmen stocken die automatisierten Datenaufbereitungen und es werden Excel, Word, Zeichnungen und Entwicklungen ausgetauscht und bearbeitet. In diesen Kernbereichen der Unternehmen sind die Firmen PCs und Laptops nach wie vor sehr verbreitet und es kann noch ein oder zwei IT-Generationen dauern, bis diese Konstellation sich drastisch verändern wird. Der Zeitpunkt, Sicherheit auf dem Endpoint zu vernachlässigen, scheint mir daher noch ein paar Jahrzehnte zu früh. Wenn man schon nicht an allen Fronten gleichzeitig kämpfen kann, dann sollte man sich doch immerhin auf diejenigen konzentrieren, die einen besonders verwundbar machen.
Vieles wird anders, manches bleibt gut
Der Multi-Layer Schutzansatz, auch in Zeiten von Borderless Network und Zero Trust Computing bleibt ein zentraler Bestandteil der IT Sicherheit. Es ist auch (oder gerade?) in der heutigen Zeit nachlässig, die Client Security auf einem Court Number 2 spielen zu lassen (in Wimbledon wäre das sprechenderweise «The Graveyard»), während andere Sicherheitsaspekte permanent auf dem Center Court spielen. Die Endpoint Security Landschaft hat in den letzten Jahren viel Zulauf durch junge Mitspieler erhalten und die alteingesessenen Profis wurden herausgefordert und haben sich der neuen Spielweise angepasst.
Heute dreht sich die IT-Security vielfach um neue, heisse Themen wie Cloud und Container, Serverless oder Secure-Application-Design. Security Teams in den heutigen Firmen sind thematisch sehr nahe bei den Netzwerkern angesiedelt, teilweise überschneiden sich die beiden Teams gar oder wachsen (wieder) zusammen. Die Security Architekten, als Schiedsrichter auf dem Platz, wiederum befassen sich mit Netzwerksegmenten und Zonen, allenfalls um eigenentwickelte Applikationen und um die Verpflichtungen von Drittanbietern bei deren Datenverarbeitung ihrer Lösungsangebote. Selten gehen sie im Detail auf Anforderungen auf dem Client ein.
Die Client Teams sind ohne grössere Berührungspunkte mit den Security Teams unterwegs, kämpfen ihrerseits bereits ein Match gegen die Inkompatibilitäten von Applikationen, Windows Updates und Patches und den Eigenheiten von zu neuer oder veralteter Hardware. Für die Security reicht es, wenn Logdaten in eine riesige Datensenke geschickt werden und ein Virenscanner der Gartner Top 5 installiert ist.
Selten spielen Client und Security Teams im Doppel miteinander, meist stehen sie gefühlt auf unterschiedlichen Platzhälften. Diese Spielweise gilt es zu durchbrechen, um einen angemessenen Schutzgrad innerhalb der gesamten IT Umgebung zu gewährleisten.
Das beste Team gewinnt
EDR Lösungen, die Daten mit Netzwerk Threat Detection Lösungen korrelieren lassen, Machine Learning Technologien beim Zugriff auf Dateien, Verhaltenserkennung bei und während der Ausführung von Dateien, Application Control und Privilege Management oder eine Isolation von möglicherweise gefährlichen Inhalten vom Client Rechner sind Technologien die heute eingesetzt werden können.
Durch die stärkere Zusammenarbeit von Client und Security Teams, die Vernetzung der einzelnen Bausteine und den neuen Möglichkeiten der Endpoint Security Produkte, werden die vorbeugenden Massnahmen (Prevention) wirkungsvoller und die Visibilität (Detection) erhöht. Ich muss weiterhin meine Netzwerke zonieren und segmentieren. Ich muss weiterhin meine Applikationen und meine Zugänge in die Cloud sichern. Aber ich darf dafür nicht das Client Segment vernachlässigen und Malware ein leichtes Spiel auf den Clients erlauben.
Und nun?
Dabei geht es nicht nur um das Single Pane of Glass bei der ich alle Bausteine desselben Herstellers einsetzen muss. Es geht auch nicht darum, riesige Datenmengen in ein SIEM einzubringen. Das kann die Lösung für Unternehmen sein, muss aber nicht die richtige Lösung für mein Unternehmen sein. Auch ein SOC oder Managed SOC wird nicht die Lösung für alle Firmen sein. Durch geschickte Wahl meiner Security Produkte und einem Hand in Hand Arbeiten von Client, Netzwerk und Security Teams kann bereits viel erreicht werden. Auch in der IT dauert manches länger als wir uns erhoffen und bis wir auf das Arbeiten mit Dateien verzichten können und datenverarbeitende Client Rechner kein Angriffsziel mehr sind, werden wir noch weiterhin in den Schutz der Client Rechner investieren müssen.
