Rezension zu Symantec Endpoint Protection
Es gibt viele Schwachstellen in einem Netzwerk und viele verschiedene Ansätze zur Systemsicherheit. Letztendlich sind die Endpunkte, die die Benutzer direkt bedienen, der Schlüssel zum Erfolg des Unternehmens und müssen geschützt werden. Symantec Endpoint Protection konzentriert sich auf die Sicherheit dieser Benutzergeräte.
Symantec Endpoint Protection war 2019 der zweitgrößte Verkäufer auf dem Endpoint-Sicherheitsmarkt, nur ein Prozent hinter Trend Micro Datanyze .
Der Erfolg dieser Sicherheitssoftware beruht auf der Größe des Symantec-Konzerns und seinen hohen Investitionen in Entwicklung und Marketing.
Symantec Antivirus- und Anti-Malware-Marktstrategie
Die Strategie des IT-Sicherheitsmarktes hat sich in den letzten Jahren dramatisch verändert. Herkömmliche Antiviren- und Anti-Malware-Produkte sind dank neuer Angriffsvektoren, die von Hackern auf der ganzen Welt geschaffen wurden, veraltet. Das einfache Überprüfen von Prozessen auf einem Computer anhand einer Datenbank bekannter Viren bietet keinen ausreichenden Schutz mehr.
Symantec war einer der ersten Marktführer in der Antivirenbranche und hatte Mühe, bei Cybersicherheitsproblemen immer einen Schritt voraus zu sein. Firewall-Produkte für den Heimmarkt sind seit der zunehmenden Verwendung von Heim-WLAN-Routern, die NAT-Firewalls integrieren, weniger lukrativ geworden. Die Aufnahme des kostenlosen Windows Defender in sein Betriebssystem durch Microsoft hat das öffentliche Interesse an der Bezahlung von Antivirensystemen beseitigt. Symantec musste neue Sicherheitsmärkte erschließen, bevor seine gesamte Rentabilität verloren ging.
Symantec-Geschichte
Die Symantec Corporation ist seit 1982 im Geschäft. Das Unternehmen musste seine Produktfamilie mehrmals in seiner Geschichte komplett überarbeiten und konnte jedes Mal erfolgreich vermeiden, in sterbende Märkte und Sackgassen bei der Hardware zu geraten.
Umstellung von Großrechnern und Datenbanken auf PCs
Symantec erkannte 1984 das Potenzial von PCs und gab sein Angebot an Mainframe-Software auf und verlagerte seine Marktnische vollständig von Datenbankprodukten auf Systeme zur Berichterstellung. Bis 1990 diversifizierte das Unternehmen seine Produktbasis und produzierte Dienstprogramme für Tabellenkalkulationen, eine Speicherkarte für PCs und ein Komprimierungsprogramm. Alle diese Produkte wurden abgeschafft, als das Unternehmen 1990 Peter Norton Software übernahm.
Als Symantec die Norton-Produktfamilie erwarb, hatte sich Symantec bereits mit Antivirenprogrammen beschäftigt. Sein Schutzsystem war das führende Antivirensystem für Macs. Peter Norton Software hatte ebenfalls eine vielfältige Produktliste, aber sein Antivirensystem war das einzige, das weitergeführt wurde.
Symantec entwickelte die Marke Norton für Sicherheitsprodukte für Privathaushalte und einen eigenen Namen für Sicherheitssysteme für Unternehmen. Im Jahr 2014 startete das Unternehmen ein KI-Projekt, um das Unternehmen vom traditionellen Antivirenmodell weg und hin zu KI-gesteuerten Methoden zur Erkennung von Eindringlingen zu bewegen.
Symantec Endpoint Protection
Symantec brachte sein Endpoint Protection-Produkt im Jahr 2007 auf den Markt. Da das Unternehmen bereits erkannte, dass einfache Antivirensysteme im aufstrebenden Bereich der Cybersicherheit nicht mehr mit Respekt behandelt wurden, musste es seine Referenzen durch komplexere Systeme für die Unternehmenssicherheit stärken.
Antivirus war immer noch das Herzstück vonSymantec Endpoint Protection, aber das Paket enthielt auch andere ältere Produkte, um Schwachstellen im Antiviren-Ansatz zu beheben.
Hierbei handelte es sich um einen kurzfristigen „Schock-und-Awe“-Ansatz, um potenzielle Kunden mit einem Produktpaket zu verblüffen, das die von der Konkurrenz angebotenen Pakete übertraf. Dies verschaffte dem Unternehmen Zeit, das gesamte Antivirenprodukt neu zu programmieren, das als träge, unhandlich und zu viel Speicherplatz beanspruchend eingestuft wurde. Der abgespeckte Code von Endpoint Security beanspruchte ein Fünftel des Speicherplatzes seines Vorgängers.Symantec Corporate Edition 10.0.
Symantec Endpoint Security war eher ein Marketingerfolg als ein technologischer Fortschritt. Die größte Stärke von Symantec liegt jedoch darin, den Markt zu erkennen, und es ist die Fähigkeit des Unternehmensvorstands, Trends zu erkennen, und seine Bereitschaft, Produkte unsentimental zugunsten neuer Ansätze auszusortieren, die das Unternehmen zum Marktführer gemacht haben.
Der Vorstand erkannte den Anstieg der Managed Services und produzierte 2009 eine verwaltete Version von Symantec Endpoint Protection. Im Jahr 2010 wurde eine auf kleine Unternehmen ausgerichtete Edition auf den Markt gebracht. Im Jahr 2011 wurde auf die wachsenden Geschäftstrends von Cloud-Diensten reagiert und eine virtualisierungsfreundliche Version entwickelt Endpoint Protection-Dienst. Der MSP-Dienst und die cloudbasierte Signaturdatenbank entwickelten sich 2016 zu einer automatisierten Software-as-a-Service-Version von Symantec Endpoint Protection.
Die Einführung von KI
Trotz fast jährlicher Überarbeitungen von Symantec Endpoint Protection war das System kaum mehr als ein Antivirenpaket. Im Kern nutzte das Produkt noch das alte Servicemodell eines zentralen Forschungslabors, das neue Angriffe erkannte und Verarbeitungssignaturen identifizierte. Diese Signaturen wurden dann in die Signaturdatenbanken vor Ort auf den Client-Computern übertragen, die Quellmaterial für das ständig laufende Virenerkennungssystem auf jedem geschützten Gerät lieferten.
Herkömmliche Antivirenmethoden erfordern einen zentralen Expertenpool. Die Verbreitung von Aktualisierungen der Bedrohungsdatenbank über das Internet stellt eine potenzielle Sicherheitslücke dar. Die Verzögerung zwischen der Erfindung eines neuen Virus durch Hacker und der Entdeckung durch die Experten im Labor bedeutet, dass Antiviren-Benutzer immer angreifbar sind. Dies ist insbesondere der Fall, da sich die Hacker-Community in vollständig verwaltete Organisationen mit eigenen Produktpipelines umstrukturiert hat.
Einsatz von KI, um Schutz nahezu in Echtzeit zu erreichen
Im Wesentlichen basierte Symantec Endpoint Protection auf veralteter Technologie und verließ sich darauf, dass die Marketingabteilung des Unternehmens diese auf Hochglanz bringen würde. Das heißt, bis Version 14, die KI einführte.
Seit Anfang 2010 wurde in der Branche auf die Notwendigkeit neuer Ansätze für die Cybersicherheit hingewiesen. Die Forschung an Universitäten in den USA, Großbritannien, Deutschland und Russland begann durch Forschungsarbeiten und Präsentationen auf Cybersicherheitskonferenzen und Symantec in die weite Welt zu dringen auf das Feld gesprungen, sowohl als Weg nach vorne als auch zumindest als schöner Marketingvorteil.
Die Freisetzung von Symantec Endpoint Protection 14 im November 2016 war ein erster Erfolg für die KI-Forschungs- und Entwicklungsbemühungen des Unternehmens, die 2014 begonnen hatten. Sie bewahrten das Produkt davor, von den innovativen neuen Konkurrenten auf dem Cybersicherheitsmarkt wie Darktrace, Sophos und Fortinet in Vergessenheit geraten zu lassen.
Während die neuen Hunde im Kampf schlanker und attraktiver waren, verfügte Symantec über eine gut etablierte Marke und ein sehr großes Marketingbudget.
Symantec hat seine KI-Plattform nicht fertiggestellt, heißt esAnalyse gezielter Angriffe, bis 2018, aber der Vorgeschmack auf diese in Symantec Endpoint Protection 14 integrierte Taktik des maschinellen Lernens erregte große Aufmerksamkeit in der Presse und hielt das Unternehmen an der Spitze des Marktes.
Symantec Endpoint Protection-Methodik – der Game-Changer
Symantec Endpoint Protection 14ist ein Game-Changer in der Cybersicherheitsstrategie des Unternehmens.
Das Tool integriert neue Ansätze zum Endpoint-Schutz. Das traditionelle Modell eines Forschungslabors, das Aktualisierungen der Bedrohungsdatenbank versendet, hat sich zu einer hybriden On-Premises-/Cloud-Konfiguration entwickelt. Der Informationsfluss ist zu einem wechselseitigen Kanal geworden.
Jede Installation ist ein Forschungszentrum. Das maschinelle Lernelement der Software erkennt Bedrohungen, untersucht die bisherigen Erkenntnisse, identifiziert neue Viren und isoliert sie. Anschließend lädt es seine Erkenntnisse in das zentrale System in der Cloud hoch. Diese neue Bedrohungserkennung wird dann an alle anderen Symantec Endpoint Protection-Installationen auf der ganzen Welt weitergegeben. Derzeit gibt es 175 Millionen davon.
Bei dieser Architektur handelt es sich nahezu um ein Peer-to-Peer-Modell (P2P), das auf die Forschung angewendet wird und eine sehr praktische und effiziente Nutzung der Ressourcen von Kunden und Anbietern darstellt. Der große Unterschied zwischen dieser Kommunikationsarchitektur und P2P besteht darin, dass der zentrale Server als Vermittler fungiert, was bedeutet, dass er immer noch dem traditionellen Client-Server-Modell folgt.
Es bleibt abzuwarten, ob Symantec die Interaktionssicherheit optimieren kann, um zu einem vollständig autonomen, von der Community gesteuerten Sicherheitsgehirn zu gelangen, das erkennt, bekämpft und kommuniziert, ohne dass die allgegenwärtige Intervention der Symantec-Zentrale eingreifen muss.
Aktivität des lokalen Betriebssystems
Die lokale Software für Symantec Endpoint Protection wird auf laufenden Hosts installiertWindows,Mac OS, oderLinux. Es hat vier Hauptaktivitäten:
- Identifizierung von Schwachstellen
- Angriffsprävention
- Erkennung von Sicherheitsverletzungen
- Bedrohungsbeseitigung
Jede dieser Strategien klingt möglicherweise wie ein neuer Name für alte Methoden. Der Einsatz von KI in jeder Phase bedeutet jedoch, dass Vorgänge mit anderen Methoden ausgeführt werden als in herkömmlichen AV-Systemen.
Identifizierung von Schwachstellen
Zu den „Vorangriffs“-Aufgaben des Endpunktschutzsystems gehört die Identifizierung potenzieller Sicherheitslücken auf einem Endpunkt. Zu den offensichtlichen Angriffspunkten zählen hier USB-Buchsen, Kommunikationsdienste, Kommunikationssoftware wie Browser und Dienste auf dem Computer, die potenziell Einfallstore für Schadsoftware darstellen.
Ziel der Schwachstellenbewertung ist die Reduzierung der Angriffsfläche. Es handelt sich um einen kontinuierlichen Prozess, der die Dienstprogramme der Malware-Schutzsysteme, wie etwa Speicherplatz für Sandboxing und Quarantäne, einrichtet und verwaltet. Die Sicherheitsbasisprüfung erkennt alle neuen Hardware- oder Softwareschwachstellen, sobald sie dem Gerät hinzugefügt werden.
Angriffsprävention
Die Angriffspräventionsaktivitäten von Symantec Endpoint Protection entsprechen der herkömmlichen Arbeit von Firewalls. Ziel ist es, neue Viren daran zu hindern, auf den Endpunkt zu gelangen. Bei der neuen Methodik blockiert die Symantec-Software Exploits, also entdeckte Schwachstellen in Software. Dabei handelt es sich ebenfalls um ein Patch-Management-System, da Exploits von Softwareherstellern in der Regel mit Updates geschlossen werden.
Die Angriffsschutzsoftware schützt alle Zugangspunkte zum Computer, einschließlich der Netzwerkkarte und der USB-Steckplätze.
Erkennung von Sicherheitsverletzungen
Die Erkennung von Sicherheitsverletzungen ist die Hauptaktivität eines klassischen Antivirensystems. In dieser Aufgabenkategorie gibt es ein Element der Firewall-Arbeit. Das System zur Erkennung von Sicherheitsverletzungen sucht nach Codierungssignaturen, Verhaltensmustern und Programmaktivierungssequenzen, um Bedrohungen zu erkennen. Dies ist etwas mehr als der klassische Fall der Prüfung anhand einer Virensignaturdatenbank, da dabei auch das Verhalten untersucht wird. Dies liegt daran, dass ein Eindringling vertrauenswürdige Software, die sich bereits auf dem System befindet, für böswillige Zwecke ausführen kann.
Das System zur Erkennung von Sicherheitsverletzungen löst eine Reaktion aus und implementiert Sperren, beendet bösartige Prozesse und stellt verdächtige neue Software unter Quarantäne.
Bedrohungsbeseitigung
Sobald die unmittelbare Bedrohung bekämpft wurde, löst das Symantec Endpoint Protection-System Prozesse aus, um den erkannten Angriff dauerhaft zu blockieren. Diese Phase beinhaltet den Rückgriff auf die Symantec Targeted Attack Analytics. TAA ist das cloudbasierte Element des Schutzsystems und dieser Dienst verbreitet Nachrichten über einen Angriff und seine Lösung an die anderen 175 Millionen Benutzer von Symantec Endpoint Protection.
Der Behebungsprozess verfolgt alle Prozessstarts, um den Ursprung einer Schadstrategie auf dem Computer zu identifizieren. Ziel ist es, alle Persistenzprozesse anzugreifen und zu zerstören, die versuchen, getötete böswillige Aktionen auf dem Computer wiederzubeleben. Alle erfolgreichen Versuche werden an TAA zurückgemeldet, sodass die Gemeinschaft der ausgeführten Instanzen auch die Schadsoftware-Suite zerstören kann.
In der Phase der Bedrohungsbehebung ist auch eine menschliche Komponente beteiligt. Die Techniker im Labor von Symantec arbeiten anhand von Berichten nach globalen Cyberbedrohungstrends, damit sie die Entwicklung der Symantec Endpoint Protection-Software besser anpassen können.
Marktanteil von Symantec Endpoint Protection
Die Zufriedenheit von Symantec mit dem aktuellen Stand von Endpoint Protection zeigt sich darin, dass das Unternehmen keine Maßnahmen ergriffen hat, um sein Spitzenprodukt zu ersetzen. Alle Versionen der Software vor Release 14 sind veraltet – sie werden nicht mehr unterstützt. Bis 2016 produzierte das Unternehmen fast jedes Jahr eine neue Version des Pakets, seitdem gab es jedoch keine neue Version mehr und Version 14 ist mittlerweile drei Jahre alt.
Diese scheinbare Inaktivität könnte auch bedeuten, dass das Unternehmen keine Bedrohung durch Konkurrenten sieht. Obwohl das Unternehmen offiziell die Nummer zwei im Endpoint-Protection-Markt ist, ist der Marktanteil von einem Prozent zwischen ihm und dem Marktführer Trend Micro nahezu unbedeutend. Eine einzige Nachricht oder eine gezielte Web-Werbung könnte diesen Vorsprung leicht ausbauen.
Die beiden Unternehmen liegen faktisch Kopf an Kopf. Die Nummer drei im Markt, McAfee Virus Scan, liegt mit 13,61 Prozent Marktanteil deutlich weit hinter Symantec Endpoint Protection. Nummer vier, Tripwire, hat nur einen Marktanteil von 4 Prozent und alle anderen Anbieter haben jeweils weniger als 3 Prozent Marktanteil.
Wo sind also die Herausforderer?
Konkurrenten und Alternativen von Symantec Endpoint Protection
Die größten Wettbewerbsbedrohungen für den Marktanteil von Symantec Endpoint Protection gehen von einer Vielzahl von Konkurrenten aus:
- Trend Micro Apex One – Derzeit Marktführer.
- CrowdStrike Falcon – Besserer cloudbasierter Endpunktschutz.
- Sophos Intercept X Endpoint – Bessere Nutzung von KI für den Endpunktschutz.
- Cylance Protect – Ein innovativer und schlanker Anbieter für Endpunktschutz.
- Nessus Vulnerability Scanner et al – Ein ehemals freies System mit einer Schar freier Nachahmer.
Trend Micro Apex One
Trend Micro ist derzeit Symantecs engster Konkurrent. Das Unternehmen genießt den gleichen Ruf wie die Marke Symantec und verfügt über eine ebenso gut ausgestattete Marketingabteilung. Seine Lösung ist eine sehr ähnliche Mischung aus traditionellen AV- und KI-Techniken, die Symantec zum Aufstieg in die Charts verholfen hat.
Die größten Bedrohungen für die Krone von Symantec gehen nicht von seinen Mitbewerbern aus. Die neuen Marktteilnehmer, die Symantec durch Innovation und bessere Systembereitstellung überholen können, werden Symantec und Trend Micro von den Spitzenplätzen verdrängen.
CrowdStrike Falcon
CrowdStrike hat das Cloud-Element weiterentwickelt, das Symantec ausschließlich für die Bedrohungskommunikation zwischen Benutzern verwendet. DerCrowdStrike FalconDie Strategie, die gesamte Verarbeitung in die Cloud zu verlagern, eignet sich besser für mobile Geräte und IoT-Geräte – die Wachstumsbereiche der IT-Branche. Falcon ist als kostenlose Testversion verfügbar.
Sophos Intercept X Endpoint
Sophos verfügt über eine bessere KI-Engine als Herzstück seines Sicherheitssystems als die von Symantec entwickelte. Das Marketingbudget von Sophos ist nicht so groß wie das von Symantec, aber der Konkurrent lockt große Investoren an und stellt Geld zur Verfügung.
Cylance Protect
Cylance Protect wurde von Grund auf auf KI ausgelegt. Die fehlende Tradition von Cylance macht es agil auf dem Markt und eine attraktive Marke für Start-ups und innovative KMU. Wenn das Unternehmen den Durchbruch in den Markt für Großunternehmen schafft, wird Symantec Schwierigkeiten haben, seine Umsatzziele zu halten.
Nessus-Schwachstellenscanner
Der Nessus-Schwachstellenscanner wurde zunächst als Open-Source-Projekt entwickelt und war kostenlos. Obwohl es sich bei diesem Tool mittlerweile um ein proprietäres und kostenpflichtiges System handelt, ermöglichte die Verfügbarkeit seines Quellcodes einem Pool kostenloser Nachahmer den Eintritt in den Endpunktschutzmarkt. Diese kostenlosen Alternativen untergraben die kommerzielle Rentabilität aller kostenpflichtigen Endpunktschutzsysteme.
Innovatoren wieCrowdStrike FalconUndCylance Protecthaben einen Marktboom erzeugt, der sie derzeit attraktiv macht. Wenn man die Geschichte von Symantec betrachtet, besteht kein Zweifel daran, dass das Unternehmen dieser Konkurrenz durch eine erneute Überarbeitung seines Systems begegnen wird. Es wird von disruptiven Akteuren lernen und der Konkurrenz einen Schritt voraus sein.
Häufig gestellte Fragen zu Symantec Endpoint Protection
Ist Symantec Endpoint Protection für den Heimgebrauch geeignet?
Symantec Endpoint Protection richtet sich an Unternehmen. Die gesamte Marke Symantec, die mittlerweile zu Broadcom gehört, richtet sich an Geschäftsanwender. Das entsprechende System für den Heimgebrauch wird unter der Marke Norton vermarktet, einem eigenständigen Unternehmen.
Ist Symantec Endpoint Protection notwendig?
Während Heimcomputerbenutzer das Risiko eingehen können, keine Endpunktsicherheit zu installieren, dürfen Unternehmen bei der Sicherheit ihrer IT-Ressourcen nicht nachlässig sein. Datenlecks können verheerende Folgen haben und der Nutzungsausfall von Endpunkten aufgrund einer Malware-Infektion würde die Löschung und Neuinstallation des gesamten Computerinhalts erfordern.