Es ist schwer, einen PC in diesen Tagen ohne Taskleiste mit verschiedenen Mitteln, Werkzeugen und Monitore gefüllt vorstellen. Es gab eine Zeit in der Geschichte des PCs, wenn die Idee von selbst laufen Anti-Virus war lächerlich. Diese Zeiten sind längst vorbei.

Rise of the Endpoint Security Suite

In den frühen 2000er Jahren gab es die erste Schlacht für den Endpunkt. IT-Abteilungen waren everyhere für die rasche Ausbreitung von Malware wie SQL Slammer und Code Red völlig unvorbereitet. Dies führte zu einer Explosion von Antivirus- und Personal-Firewall-Produkte.

Letztlich waren die Gewinner diejenigen, die ihre Konkurrenten überdauerten. Symantec, McAfee und Trend Micro alle stieg auf Prominenz während dieser Zeit. Microsoft schaffte es sogar, eine Endpoint-Security-Produkt zu überraschenden Erfolg zu Feld (und wenig überraschend Implosion.)

Endpoint IDS / IPS wurde auch ein brauchbares Produkt auch zu diesem Zeitpunkt. Alle großen Spieler schnell innovative Unternehmen erworben. McAfee Entercept erworben, Symantec erworben Sygate erwarb Cisco Okena, und mein geliebtes BlackICE Agent bei ISS nach Hause finden würde (letztlich IBM). Diese Akquisitionen wurden in Endpoint-Security-Suiten gesponnen, die wie verrückt verkauft. Neue Unternehmen stürzte in den Raum ebenso wie Eset, Sophos und Kaspersky. Jeder hatte eine Endpoint-Security-Suite mit neuen Funktionen, wie Verschlüsselung, Anwendungssteuerung und Datenverlustprävention ständig immer gegeben.

Jedoch kam der Sturz aus. Bis zum Jahr 2008 Experten sagten, "Anti-Virus" ist tot, und was bedeutet es wirklich. Allerdings war der Fall der Endpunkt nicht ein Versagen der Leistung, Fähigkeit oder Genauigkeit, wie viele glauben. Vielmehr war es eher banal.

Fall der Suite Endpoint Security

Die Probleme mit der Endpoint-Security in einer einzigen Tatsache verwurzelt: die Verwaltung von Endpoint-Agenten ist ein episches Kopfschmerzen. Für ein großes Unternehmen, Zehntausende von Endpoint-Agenten Verwaltung ist nicht nur schwierig, ist es eine miserable Zeit non-stop Support-Tickets und Bastelei saugen von. Endpoint-Agenten fordern Monster. Sie erfordern ewigen Pflege und Fütterung, und die die geringste Fehltritt kann Desktops abstürzen und das gesamte Unternehmen in die Knie zwingen.

Dies war der Fall mit 2010 ist ein Fehler in der Virensignatur-Updates Windows-Desktops abgestürzt ist, die manuell bereinigen. Dies ließ zahlreiche große Unternehmen gelähmt, während die Techniker rasten um auf die betroffenen Systeme aufzuräumen.

Das Ereignis (und andere) galvanisiert, die Opposition an den Endpunkt. Wenn ein Produkt mit Endpoint-Agent erforderlich wäre es unbarmherzig aus der Auswahlliste entfernt werden. Dieses Fieber war so heiß, dass bis 2011 Unternehmen regelmäßig ihre "agentenlosen" Fähigkeiten förderten. Während die Unternehmen zu Anti-Virus-abgefunden wurden ein lästiges Muss, sie würden hinzufügen nichts anderes die Mischung.

Natürlich in diesem Vakuum kamen neue Technologien. Der Niedergang der Endpunktsicherheit sehen würde anschließend den Aufstieg von sicheren Web-Gateways (SWG), Firewalls der nächsten Generation (NGFW) und Brucherfassungssysteme (BDS), die alle Arbeiten auf der Netzebene Angriffe zu stoppen. Diese Technologien versprach die Sicherheit, mit keiner der Endpoint-Agent-Kopfschmerzen. Sie schlossen auch Sicherheit und Netzwerk-Teams, die Systemadministratoren verlassen sich woanders unglücklich zu gehen. Jeder wurde verkauft und die Palo Altos, Fortinets, Blau Mäntel, Checkpoints und FireEyes wurden aus dem Regal fliegen.

Dann wird die Mutter aller Verletzungen passiert: Target.

Wenn der Zielverletzung Ende 2013 angekündigt wurde, ging die Nachricht von schlecht zu schlechter, zu Kiefer fallen, schließlich nur noch deprimierend sein Absetzen auf. Hier war ein Unternehmen mit enormen Ressourcen und die beste Technologie mit einem großen Bruch am Boden zerstört. Ziel hatte alle Sicherheits Goodies: NGFWs, BDS (FireEye), SWG, Menschen, Richtlinien und PCI-Compliance-Berichte mit großen grünen Kontrollkästchen alle über sie. Wie konnte das passieren?

Wiedergeburt der Endpoint Security Suite

Schon vor dem Ziel angreifen, wusste versierte Sicherheitsleute das Netzwerk würde nie alles zu tun können. Unabhängig davon, wie innovative NGFWs und BDS-Produkte wurden, gibt es einige Angriffe sie nicht erkennen kann. Insbesondere die Angriffe, die auf "trusted" Verkehr fahren in, wie das, was bei Target passiert ist. Wenn der Verkehr verschlüsselt ist, die meisten NGFWs sind BDS Produkte völlig blind sind. Sie müssen, dass der Verkehr zunächst entschlüsseln und dann untersuchen. Line-Geschwindigkeit Entschlüsselung ist möglich, aber es erhöht die Komplexität, Aufwand und Herausforderungen einer Netzwerkarchitektur.

Noch während sich die Welt die Auswirkungen der Ziel Verletzung verdauen, eine neue Generation von Endpoint-Security-Produkte abzeichnete. Diese neuen Produkte waren nicht Anti-Virus, sondern Endpoint Security Analytics (ESA). Produkte wie Cylance, CounterTack, Crowdstrike und Bit9 Carbonblack auf den Markt kam Malware ohne Signaturen zu erkennen, viel versprechende die neuesten Bedrohungsinformationen mit Malware zu erkennen. Andere Unternehmen waren schnell auch in den Markt zu springen.

Halt und Fangen von Dateien

Also, was ist innerhalb Endpoint-Security-Analysen? Die meisten dieser Technologien führen eine Art Verhaltensanalyse. Wir definierten voll, diese Technologie in unserer Serie über Sicherheit Analytics ().

Typischerweise einbetten diese Technologien selbst tief in das Betriebssystem und überwachen mehrere Dimensionen der Systemaktivität wie API-Aufrufe, Datei schreibt, Netzwerkverkehr, DNS-Anfragen usw. Wenn das System in einem "Malware-like" verhält, kann die Software berichten über die Veranstaltung, Aktivität aufzeichnen und bei Bedarf blockieren sie. Die genaue Art und Weise, in der jede dieser Technologien arbeitet variiert.

Vorteile Endpoint ESA

Endpoint-Security-Analytik hat zahlreiche Vorteile auf netzwerkbasierte Produkte.

• Forensik: Echtzeit-Erfassung von nicht nur System- und Netzwerk-Aktivität, sondern auch als auch Interaktion mit dem Benutzer.
• Verschlüsselung: Netzwerk-basierte Geräte sind blind für verschlüsselten Datenverkehr, es sei denn, sie abgefangen und entschlüsselt. Dies ist rechenintensiv und wird für die Leistung und / oder Datenschutzgründen routinemäßig umgangen.
• Unsichere Netzwerke: Mobilsysteme wandern herum auf alle Arten von schmutzigen Netzwerke, wo sie Malware abholen können und es wieder in die Umwelt bringen.
• Real-Time Defense: Es ist einfacher, Aktivität auf Host-Ebene zu blockieren, da nur die Software, die auf die Tätigkeit eines Systems zu konzentrieren hat, anstatt viele.

Endpoint ESA Herausforderungen

Während jedoch die ESA viel mehr auf einem System sehen kann, hat es auch deutlich mehr Verwaltungsaufwand. Während Ihr durchschnittlicher IT-Administrator ein Anti-Virus-Konsole umgehen kann, verlangen ESA-Konsolen hochqualifizierten Vorfall Handler. Diese Technologien erzeugen eine Menge von Daten, von denen nur einige tatsächlich gefährlich ist. Es werden nur die reifsten Sicherheitsprogramme der Lage sein, sie effektiv zu implementieren und zu nutzen.

Schlussfolgerung

Alte Technologien sterben nie, sie sind nur ein HTML5-Schnittstelle gegeben und haben das Wort "Next Generation" auf den Namen vorangestellt. Die Endpoint-Security-Markt kommt zurück und dieses Mal kann es nicht es zu stoppen sein. Dieses Mal gibt es mehr auf dem Spiel und die Anbieter haben deutlich mehr geschicktes Marketing. Im Jahr 2005 war Hacking etwas, das jemand anderem passiert. Jetzt Hacking ist ein chancengleichen Ärgernis.

Allerdings Endpoint-Security-Analysen ist nur ein Teil dieser Geschichte. Sicherheits Analytics ist die Zukunft der Informationssicherheit. NGFW, SWG, DLP und Anti-Virus alle haben jetzt ihre Plätze. Sie siedeln sich in commoditization. Aber Sicherheit Analytik hat nirgendwo zu gehen, aber nach oben. Dies erklärt zum Teil, warum Unternehmen wie Intel 7700000000 $ für McAfee bezahlt und Bain $ 2400000000 für Blue Coat bezahlt. Die Zukunft der Sicherheit ist hell.