Gartner EPP (Endpoint Protection Platform) Magic Quadrant 2019 zeigt Microsoft als Leader, vor anderen namhaften AV-Herstellern. Wer hätte das noch vor ein paar Monatne/Jahren gedacht?!
Gartner definiert einen Leader wie folgt:
Leader zeigen ausgewogene und beständige Fortschritte und Anstrengungen in allen Ausführungs- und Visionskategorien. Sie verfügen über umfassende Fähigkeiten im Bereich des erweiterten Malware-Schutzes und bewährte Managementfunktionen für große Unternehmenskonten.
Microsoft hat eine allumfassende Plattform aufgebaut, gerade auch im Bezug auf Azure, welches auch bei zertifizierten Partnern gehostet werden kann. Somit kann Microsoft auf Kundenwünsche reagieren und so eine sichere Cloudinstanz anbieten.
Wenn man nur im Microsoft Kosmos unterwegs ist, ist es die ideale Lösung. Doch wehe, Kunden haben noch andere UEM und oder EPP Produkte im Einsatz. Dann wird es schwierig. Denn Microsoft möchte alle hauseigenen Produkte verkaufen.
Nehmen wir mal zwei Beispiele:
- Outlook App
Verbindet sich immer zunächst zum Azure Proxy, da man ja nicht weiß, wo sich das Konto bzw Postfach befindet. Die App kann auch kein Splittunneling. - Conditional Access mit Fremd-UEM
Derzeit ist es noch nicht möglich. Denn bei an Dritt-UEM Systemen aktivierten Geräten wird im Azure AD das Flag “managed by 3rd Party” noch nicht gesetzt. Workaround: Alles von den Geräten per Tunnel nach intern schicken und nur die eigene IP am Azure Proxy freigeben.
Ein Mischbetrieb ist schwieriger, aber machbar.
Zurück zu EPP.
Auch der viel gehypte Kauf von BlackBerry ist gelistet, aber im Nischen Quadranten: Cylance. Direkter Mitwettbewerber CrowdStrike ist hingegen im Leader Quadranten. Im Nischen Quadranten findet man auch viele namhafte Konkurrenten: Bitdefender, Panda und F-Secure, um nur drei zu nennen.
Gartner:
Eine Endpoint Protection Platform (EPP) ist eine Lösung, die auf Endgeräten eingesetzt wird, um dateibasierte Malware, bösartige Skripte und speicherbasierte Bedrohungen zu verhindern. Es wird auch eingesetzt, um bösartige Aktivitäten aus vertrauenswürdigen und nicht vertrauenswürdigen Anwendungen zu erkennen und zu blockieren und um die Untersuchungs- und Korrekturfunktionen bereitzustellen, die für eine dynamische Reaktion auf Sicherheitsvorfälle und Warnmeldungen erforderlich sind.
Microsoft hat Defender Advanced Threat Protection (ATP) kontinuierlich weiterentwickelt:
- Microsoft Defender ATP bietet mehrschichtigen Schutz (integriert im Endpunkt und Cloud-basiert) vor dateibasierter Malware, bösartigen Skripten, speicherbasierten Angriffen und anderen fortgeschrittenen Bedrohungen.
- Kontextbezogene Bedrohungsberichte bieten SecOps nahezu in Echtzeit einen Überblick darüber, wie sich Bedrohungen auf ihr Unternehmen auswirken.
- Echtzeit-Erkennung, Priorisierung basierend auf dem Geschäftskontext und der dynamischen Bedrohungslandschaft sowie integrierter Abhilfeprozess beschleunigen die Beseitigung von Schwachstellen und Fehlkonfigurationen.
- Echtzeit-Bedrohungserkennung und -Schutz mit integrierten erweiterten Funktionen schützen vor weitreichenden und gezielten Angriffen wie Phishing und Malware-Kampagnen.
- In Windows 10 integrierter EDR-Sensor (Endpoint Detection and Response) für tiefere Einblicke in Kernel und Speicher und die Nutzung umfassender Reputationsdaten für Dateien, IPs, URLs usw., die aus dem umfangreichen Portfolio der Microsoft-Sicherheitsdienste stammen.
- “Deployment” ist so einfach wie nie zuvor, da es direkt in das Betriebssystem integriert ist. Es gibt keinen Agenten, der bereitgestellt werden muss, keine Verzögerungen oder Kompatibilitätsprobleme, keinen zusätzlichen Leistungsaufwand oder Konflikte mit anderen Produkten. Keine Bereitstellung und keine lokale Infrastruktur führt direkt zu niedrigeren Gesamtbetriebskosten.
- Reduziert das Risiko drastisch, indem es Abwehrkräfte stärkt, wenn potenzielle Bedrohungen erkannt werden. Microsoft Defender ATP kann automatisch bedingten Zugriff anwenden, um den Endpunkt vom Zugriff auf Unternehmensdaten bis zur Behebung der Bedrohung einzuschränken.
- Von der Alarmierung bis zur Behebung in wenigen Minuten – maßstabsgetreu. Microsoft Defender ATP nutzt die KI, um Warnmeldungen automatisch zu untersuchen, festzustellen, ob eine Bedrohung aktiv ist, welche Maßnahmen zu ergreifen sind, und dann komplexe Bedrohungen innerhalb von Minuten zu beseitigen.
- Microsoft Defender ATP sagt nicht nur, dass ein Problem vorliegt, sondern empfiehlt auch, wie man es mit Secure Score lösen (und die Ausführung verfolgen) kann.
- Mit dem Managed Detection and Response (MDR)-Service von Microsoft (genannt Microsoft Threat Experts) unterstützt Microsoft die Reaktions- und Alarmanalyse von Kunden.
Spannend finde ich aber auch einen Konkurrenten von Microsoft: Im Visionärs Quadranten ist Black Carbon gelistet. Dieses Unternehmen wurde letzte Woche von VMware aufgekauft. Somit hat bei einer Intergration Workspace One (ehemals AirWatch) noch eine weitere Funktion ist auch eine “eierlegende Wollmilchsau”, egal ob Cloud oder on-prem, denn es bietet unter anderem ein voll-Mandanten-fähiges UEM, Arbeitsplatzvirtualisierung mit SSO und Conditional Access, E-Mail-Gateway und vielem mehr. Nach dem Kauf nun auch EPP.
Wie wird wohl die Enterprise Systems Umgebung bald aussehen? Werden wir hier in fünf Jahren “nur” noch die Big Player sehen?