Palo Alto Networks geht für 2015 von drei zentralen Entwicklungen im Bereich der Endpunkt-Sicherheit aus. Erstens: Unternehmen werden nicht mehr bereit sein, für herkömmliche Anti-Malware-Technologien zu zahlen, die ineffektiv bei der Abwehr fortschrittlicher Bedrohungen sind. Zweitens: 2015 wird sich der Fokus stärker auf den Endpunkt richten, nachdem viele Unternehmen auf Netzwerkebene bereits Abwehrmaßnahmen gegen fortschrittliche Bedrohungen einsetzen. Und drittens: Konsolidierung. Statt punktueller Lösungen wird sich der Trend zur integrierten Plattform durchsetzen, in Form einer Next-Generation-Firewall mit erweitertem Endpunkt-Schutz.
Kunden werden nicht mehr für ineffektive Technologien zahlen
Es hat sich deutlich gezeigt, dass herkömmliche Ansätze zur Endgerätesicherheit nicht mehr wirksam sind. Im Zeitalter der fortschrittlichen Bedrohungen ist der Endpunkt zur kritischen Verteidigungslinie geworden – und diese ist meist nicht ausreichend geschützt. Signatur-basierte Anti-Malware, Verhaltenserkennung oder Whitelisting reichen nicht mehr aus, um sich gegen hoch entwickelte Malware und Exploits zu schützen.
Sicherheitsexperten haben dies zur Kenntnis genommen und haben damit begonnen, auf neue Technologien für den Endpunktschutz umzusatteln. Angesichts des Scheiterns herkömmlicher Anti-Malware-Technik stellt sich daher die Frage, ob Kunden weiterhin bereit sind, für teure Endpoint-Security-Suites zu zahlen, die nicht mehr wirksam sind. Laut Chris Sherman von Forrester Research sind Sicherheitsexperten „heute mehr denn je damit beschäftigt, ineffektive Anti-Malware-Tools durch effektivere, neue Lösungen zu ersetzen“.
Verstärkter Fokus auf dem Endpunkt
Aufgrund der vielen Sicherheitsvorfälle der Vergangenheit überdenken Sicherheitsexperten für das kommende neue Jahr ihre Strategien rund um fortschrittliche Bedrohungen. Insbesondere werden dabei zwei Dinge deutlich. Erstens: Der Fokus allein auf netzwerkbasierter Erkennung und Reaktion wird sich weiterhin als ineffektiv erweisen. Und zweitens: Eine effektive Prävention gegen fortschrittliche Bedrohungen auf dem Endpunkt ist unumgänglich. Da zudem viele Unternehmen bereits Abwehrmaßnahmen gegen fortschrittliche Bedrohungen im Netzwerk installiert haben, wird sich 2015 der Fokus stärker auf den Endpunkt richten.
„Erkennung und Reaktion sind notwendige Bestandteile einer Sicherheitsstrategie, sollten aber nicht als Hauptziele angesehen werden. Das Prinzip ist dabei, Sicherheitsverletzungen so schnell wie möglich zu finden und Schaden zu reduzieren. Dass dies nicht immer gelingt, zeigt sich immer wieder daran, dass Unternehmen erst Monate oder sogar Jahre später eine Sicherheitsverletzung feststellen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Zwischenzeitlich kann sich dies zu einer massiven und anhaltenden Datenpanne auswachsen, ein Albtraum für Kunden, Führungskräfte und Investoren. Kein Softwareprodukt kann diesen bereits entstandenen Schaden beheben.“
Netzwerk-basierte Überwachung, insbesondere zur Verhinderung fortschrittlicher Bedrohungen, ist notwendig, aber immer noch nicht ausreichend. Die letzte Verteidigungslinie bleibt der Endpunkt selbst – und es ist mittlerweile klar, dass Netzwerküberwachung allein die neuesten Bedrohungen nicht abwehren kann. Darüber hinaus sind viele Unternehmen mit zunehmend anfälligen Endpunkten konfrontiert, die immer noch mit Windows XP betrieben werden, das nicht mehr mit Sicherheitsupdates versorgt wird. Das gleiche Schicksal wird bald Windows Server 2003 ereilen.
Konsolidierung auf Next-Generation-Firewalls mit erweitertem Endpunkt-Schutz
Viele Unternehmen sind daran interessiert, die Anzahl der unterschiedlichen Anbieter von Sicherheitslösungen in ihrer Sicherheitsarchitektur zu reduzieren. Ein erster Schritt war, separate IPS- (Intrusion Prevention System) und URL-Filter-Hardware durch eine Next-Generation Firewall zu ersetzen. Später kam der Bedarf für netzwerkbasierte dynamische Analyse von Dateien hinzu, um erweiterte Bedrohungen zu erkennen. Viele Unternehmen haben daher eine weitere Reihe von Geräten im Netzwerk hinzugefügt.
„Die weiter voranschreitende Innovation hat eine neue Konsolidierungsmöglichkeit hervorgebracht. Cloud-basierte dynamische Analyse auf einer Next-Generation-Firewall reduziert nicht nur Kosten und Verwaltungsaufwand, sondern maximiert auch die Fähigkeit, fortschrittliche Bedrohungen zu erkennen – und zu verhindern“, führt Thorsten Henning aus. „Der nächste logische Schritt besteht darin, die Next-Generation-Firewall mit erweitertem Endpunkt-Schutz mittels geteilter Bedrohungsanalyse zu kombinieren. Das Ergebnis ist eine Plattform, die weit stärker ist als die Summe ihrer Teile.“
Für 2015 ist daher zu erwarten, dass immer mehr Kunden punktuelle Lösungen für dynamische Analyse und Sandboxing durch eine integrierte Sicherheitsplattformen ersetzen werden. Die Nutzung dynamischer Analyse in der Cloud ermöglicht Shared Threat Intelligence, um so der ungebrochenen Innovationsstärke der Cyberkriminellen eine zeitgemäße und effektive Abwehrmaßnahme entgegenzusetzen.