Besuch mich auch auf Facebook

Magic Quadrant for Endpoint Protection Platforms

Published 20 August 2019 – ID G00352135 – 63 min read

The endpoint protection market is transforming as new approaches challenge the status quo. We evaluated solutions with an emphasis on hardening, detection of advanced and fileless attacks, and response capabilities, favoring cloud-delivered solutions that provide a fusion of products and services.

Download Gartner Reprint CrowdStike

Nachfolgend der vollständige Artikel in der Google-Übersetzung

Magic Quadrant für Endpoint Protection-Plattformen

Veröffentlicht am 20. August 2019 – ID G00 352135 – 63 min lesen

Der Markt für Endgeräteschutz wandelt sich, da neue Ansätze den Status quo in Frage stellen. Wir haben Lösungen evaluiert, bei denen das Hauptaugenmerk auf Absicherung, Erkennung fortgeschrittener und fileless Angriffe und Reaktionsmöglichkeiten gelegt wurde, und dabei Cloud-gelieferte Lösungen bevorzugt, die eine Fusion von Produkten und Dienstleistungen bieten.

Strategische Planungsannahme

Bis zum Jahr 2025 werden Cloud-EPP-Lösungen von 20% der neuen Deals auf 95% wachsen.

Marktdefinition / Beschreibung

Dieses Dokument wurde am 23. August 2019 überarbeitet. Bei dem angezeigten Dokument handelt es sich um die korrigierte Version. Weitere Informationen finden Sie auf der Seite Korrekturen auf gartner.com.

Eine Endpoint Protection Platform (EPP) ist eine Lösung, die auf Endpoint-Geräten bereitgestellt wird, um Endpoints abzusichern, Malware und böswillige Angriffe zu verhindern und die Ermittlungs- und Korrekturfunktionen bereitzustellen, die erforderlich sind, um dynamisch auf Sicherheitsvorfälle zu reagieren, wenn diese Schutzkontrollen entgehen. Herkömmliche EPP-Lösungen wurden über einen Client-Agenten bereitgestellt, der von einem lokalen Verwaltungsserver verwaltet wird. In moderneren Lösungen wird eine Cloud-native Architektur verwendet, die das Management und einen Teil des Analyse- und Erkennungs-Workloads in die Cloud verlagert.

Führende Sicherheits- und Risikomanager, die für den Schutz von Endgeräten verantwortlich sind, legen besonderen Wert auf Erkennungsfunktionen für fortschrittliche Bedrohungen ohne Dateien sowie auf Funktionen zur Ermittlung und Behebung von Problemen. Datenschutzlösungen wie Data Loss Prevention (DLP) und Verschlüsselung sind ebenfalls häufig Bestandteil von EPP-Lösungen, werden jedoch von Käufern in einem anderen Kaufzyklus berücksichtigt.

Der Schutz für Linux und Mac wird immer häufiger, während der Schutz für Mobilgeräte und Chromebooks zunimmt, jedoch normalerweise nicht als Muss angesehen wird.

Der Schutz von virtuellen, Windows- und Linux-Servern ist zwar weit verbreitet, doch aufgrund der evolutionären Verlagerung von Hardwareservern auf virtuelle Maschinen (VMs), Container und private / öffentliche Cloud-Infrastruktur gelten für Server-Workloads jetzt andere Sicherheitsanforderungen als für Endbenutzer Endpunkte. (Siehe „Endpoint- und Serversicherheit: Gemeinsame Ziele, unterschiedliche Lösungen“. ) Infolgedessen weichen spezialisierte Tools für das moderne hybride Rechenzentrum, das sowohl die Cloud als auch lokale Bereitstellungen verwendet, in einem neuen Markt ab, den Gartner als Cloud-Workload-Schutz bezeichnet Plattformen (CWPP; siehe „Market Guide für Cloud Workload Protection-Plattformen“). Gartner empfiehlt Unternehmen, die Kaufentscheidungen für Server-Workloads von allen Produkt- oder Strategieentscheidungen zu trennen, die den Endpoint-Schutz betreffen, da die Funktionen und das Management stark voneinander abweichen.

Dies ist eine Transformationsphase für den EPP-Markt, und da sich der Markt verändert hat, hat sich auch das für diese Forschung verwendete Analyseprofil geändert. Im Magic Quadrant für Endpoint Protection-Plattformen von 2019 werden Funktionen, die traditionell auf dem Markt für Endpoint Detection and Response (EDR) zu finden sind, als Kernkomponenten eines EPP angesehen, das moderne Bedrohungen abwehren und darauf reagieren kann (siehe „Markthandbuch für Endpoint Detection and Response-Lösungen“) ” ).

Magischer Quadrant

Abbildung 1. Magic Quadrant für Endpoint Protection-Plattformen

Quelle: Gartner (August 2019)

Stärken und Vorsichtsmaßnahmen des Herstellers

Bitdefender

Bitdefender ist ein privates Softwareunternehmen, das EPP und EDR auf einer Plattform, GravityZone Ultra, und einem Agenten auf Endpunkten sowie physischen, virtuellen oder Cloud-Servern anbietet, die über eine Cloud oder eine lokale Verwaltung bereitgestellt werden.

Bitdefender hat seine Präsenz im Unternehmenssegment konsequent ausgebaut und lizenziert seine Core Engine für eine breite Palette von Sicherheitsprodukten. Es wurde ein verwalteter Erkennungs- und Reaktionsdienst (Managed Detection and Response, MDR) eingeführt, der proaktive Warnmeldungen, Unterstützung bei der Untersuchung von Warnmeldungen und regelmäßige Gesundheitskontrollen bietet. Es wurde auch eine Vertrauensbewertung hinzugefügt.

Bitdefender ist eine gute Wahl für Unternehmen, die auf die Genauigkeit der Malware-Erkennung und die Leistung der Agenten sowie auf die vollständige Unterstützung von Rechenzentrums- und Cloud-Workloads aus einer einzigen Lösung Wert legen.

Stärken

Bitdefender verfügt über ein großes Forschungs- und Entwicklungsteam, das sich auf die Erforschung von Bedrohungen konzentriert und bei Malware-Schutztests stets die besten Ergebnisse erzielt.
Bitdefender bietet einen einzigen modularen Agenten für physische, virtuelle und Cloud-Plattformen sowie eine einzige SaaS-Konsole für die gesamte Administration der Endpunkt- / Serversicherheit.
Dank des geringen EDR-Aufwands, der von mehreren Erkennungsebenen und automatisierten Reaktionsmaßnahmen unterstützt wird, können Unternehmen und mittelständische Unternehmen von EDR profitieren.
Die Kunden von Gartner loben Bitdefender für seine Benutzerfreundlichkeit, die Bereitstellung und den Kundensupport.
Bitdefender bietet eine Reihe von Funktionen, die die Angriffsfläche des Endpunkts verringern können, einschließlich der Whitelist von Anwendungen. GravityZone bietet eine integrierte Überwachung von Sicherheitslücken und Konfigurationen und kann das Patch-Management mit einer Add-On-Lizenz versehen. Es bietet auch Festplattenverschlüsselung, Webinhaltsfilterung und Gerätesteuerung.

Vorsichtshinweise

Der Bitdefender-EDR-Funktion fehlen zahlreiche gemeinsame Funktionen für SOC-Benutzer (Advanced Security Operations Center), wie z. B. der Analysten-Workflow, die Integration von IOCs (Automatic Indicator of Compromise) oder Bedrohungs-Feeds, benutzerdefinierte Abfrage- und Blockierungsregeln, Kontextinformationen und geleitete Nachforschungen.
Das Bitdefender-Patch-Management-Modul, das Firewall-Modul und die Sandbox-Analyse-Funktion sind für die Linux-Plattform noch nicht verfügbar. Sie können auch nicht mit anderen Client-Management-Tools zur Fehlerbehebung zusammenarbeiten.
Die Erkennung von Anomalien und das MDR-Angebot von Bitdefender sind neu und auf dem Markt unerprobt.
EDR-Funktionen sind nur in der Cloud-Plattform verfügbar. Die App-Whitelist-Funktion ist nur auf der lokalen Plattform verfügbar.
Während Bitdefender Schritte unternommen hat, um seine Unternehmenspräsenz und seine Vertriebsaktivitäten auszubauen, ist der Mind Share unter den Gartner-Kunden nach wie vor gering.

BlackBerry Cylance

Cylance wurde mit Wirkung zum 21. Februar 2019 von BlackBerry übernommen und ist nun ein Geschäftsbereich von BlackBerry. BlackBerry hat seine Vision, das Internet der Dinge (Internet of Things, IoT) durch die Nutzung der KI-Technologien von Cylance als wesentliche Komponente abzusichern, öffentlich kommuniziert. Zu den ersten Plänen gehören das Cross-Selling von Cylance in BlackBerry-Unternehmenskonten und die Integration von Cylance AI in die einheitliche Endpoint Management-Lösung von BlackBerry und die QNX-Plattform für Automobilhersteller.

Cylance ist auf dem Markt am bekanntesten für seine signaturlose Malware-Prävention mithilfe von maschinellem Lernen (ML). Cylance hat das maschinelle Lernen auch auf sein EDR-Produkt CylanceOPTICS angewendet. Cylance verfügt über ein starkes OEM-Geschäft und Technologieintegrationen in nicht-traditionelle Endpunktlösungen wie Sicherheitsgateways, industrielle Steuerungssysteme und medizinische Geräte

Cylance bietet jetzt neben der SaaS-Bereitstellung auch lokale und hybride Bereitstellungen an. Lokale und hybride Bereitstellungen sind auf Umgebungen mit Luftspalten ausgerichtet. Der neu eingeführte CylanceGUARD, seine verwaltete Erkennungs- und Reaktionslösung, bietet eine proaktive Bedrohungssuche. Diese Funktion wurde jedoch erst nach Ablauf der Analysefrist für allgemein verfügbare Funktionen öffentlich angekündigt und nicht in die Analyse einbezogen.

Stärken

Die Hauptstärke von Cylance liegt in der Verwendung von Algorithmen, die vom maschinellen Lernen auf Agentenseite trainiert wurden, um dateibasierte Malware anstelle von Signaturdatenbanken zu erkennen. Dieser Ansatz vermeidet die Wartung und Netzwerkbelastung durch tägliche Updates, erkennt bekannte und unbekannte Malware effizienter und erfordert zum Schutz keine Internetverbindung. CylancePROTECT bietet außerdem Speicherschutz und Skriptsteuerung für dateilose Malware.
CylanceOPTICS bietet EDR-Funktionen für die Sichtbarkeit von Endpunkten und die Reaktion auf Vorfälle. Cylance ist gut positioniert, um mit seinem Fachwissen im Bereich maschinelles Lernen Funktionen zur Erkennung des Verhaltens von Benutzern und Entitäten bereitzustellen.
Die mit automatisierten Paketwiedergabebüchern orchestrierte Reaktion wurde 2018 eingeführt. Wiedergabebücher ermöglichen automatische Vorbeugungs- oder Korrekturmaßnahmen (z. B. Beenden von Prozessen, Unterbrechen von Prozessen, Löschen von Dateien, Löschen von Registrierungsschlüsseln, Abmelden von Benutzern usw.) über Python-Skripts, wenn ein Erkennungsereignis eintritt Ausgelöst.
CylancePROTECT unterstützt Windows-, MacOS-, AWS Linux- und Linux-Betriebssysteme. Aufgrund des minimalen Systemaufwands kann es in virtuellen Umgebungen verwendet werden.
Gartner-Kunden berichten von einer guten Erfahrung, einem effektiven Kundensupport, einer hohen Qualität des technischen Supports und einem wirksamen Schutz vor Malware und Ransomware.

Vorsichtshinweise

Die Übernahme durch BlackBerry führt zu einer gewissen Unsicherheit bei der Ausführung von Cylance. Die Ziele von BlackBerry stimmen möglicherweise nicht mit den Wünschen der Cylance-Kunden nach dem Produkt überein.
Die ML-Funktionen von CylancePROTECT haben bei der Erkennung neuer Malware gute Ergebnisse erzielt. CylancePROTECT ist jedoch in hohem Maße auf Technologie für maschinelles Lernen angewiesen, was es für Malware-Autoren einfacher macht, diese zu umgehen. Darüber hinaus haben Gartner-Kunden in CylancePROTECT mit benutzerdefinierten oder seltenen Anwendungen falsch positive Raten gemeldet, sodass Unternehmen einen Whitelisting-Prozess einrichten müssen. CylanceOPTICS ist erforderlich, um die Verhaltenserkennung hinzuzufügen.
CylancePROTECT und CylanceOPTICS erfordern zwei separate Agenten mit zwei separaten Installationen, obwohl ein integrierter Agent im dritten Quartal 19 fällig ist.
CylanceOPTICS speichert Verlaufsdaten auf dem Endpunkt, was zu einem Verlust führt, wenn auf den Endpunkt nicht zugegriffen werden kann. InstaQuery stellt nur Informationen von Geräten bereit, die online sind. Standardmäßige automatische Korrekturoptionen sind begrenzt. CylanceOPTICS unterstützt kein Linux. Erweiterte Bedrohungssuche und benutzerdefinierte Verhaltensregeln von CylanceOPTICS sind in Python geschrieben und nutzen keine benutzerfreundliche Benutzeroberfläche.
Cylance bietet noch keine Sicherheitsfunktionen wie Schwachstellen- und Konfigurationsbewertung. Diese Funktionen stehen jedoch auf der kurzfristigen Roadmap von Cylance.
Cylance hat mit Ausnahme des NSS Labs-Tests und von VirusTotal nicht an Tests zur Überprüfung der Wirksamkeit von Viren teilgenommen, was es potenziellen Kunden erschwert, die Wirksamkeit ohne einen Proof-of-Concept-Test mit anderen Lösungen zu vergleichen. Es nimmt an der nächsten Runde der MITRE-Evaluierungen teil.

Kohlenschwarz

Carbon Black hat kürzlich seinen Fokus auf den Verkauf und die Migration von Kunden zu seiner cloudbasierten Sicherheitsplattform, der CB Predictive Security Cloud (PSC), verlagert. Das Gesamtangebot des Unternehmens umfasst die lokalen Angebote CB Defense (EPP), CB ThreatHunter, CB LiveOps und CB ThreatSight on PSC sowie CB Response (Bedrohungssuche und Reaktion auf Vorfälle) und CB Protection (Whitelisting von Anwendungen und Sperrung von Geräten).

Carbon Black hat den Ruf, eine der führenden EDR-Lösungen auf dem Markt anzubieten. CB Response (Bedrohungssuche) ist normalerweise in komplexeren Umgebungen mit sehr ausgereiften Sicherheitsteams zu finden. Der CB Defense-Agent sammelt und sendet alle ungefilterten Endpunktdaten mithilfe eines proprietären Daten-Streaming-Mechanismus an die Cloud, der Bursts und Spitzen in Netzwerken eliminiert.

Stärken

Die Single-Cloud-Konsole von Carbon Black, der Single-Agent-Ansatz für integrierte EPP- und EDR-Funktionen, bietet eine benutzerfreundliche und nahtlose Integration zwischen Kernproduktangeboten und erweiterten Angeboten wie Bedrohungssuche (CB ThreatHunter) sowie Endpunktabfrage und -behebung (CB LiveOps).
Carbon Black bietet ein fortschrittliches Toolset (CB ThreatHunter), das Unternehmen mit ausgereiften Sicherheitsteams anspricht, die aus hochqualifizierten und sehr erfahrenen Mitarbeitern bestehen.
Die CB Defense-Lösung von Carbon Black umfasst einen kombinierten Ansatz aus Online- und Offline-Erkennungssignaturen, maschinellem Lernen, Überwachung des Softwareverhaltens, Prozessisolierung und Speicherschutz sowie Exploit-Prävention.
Die Cloud-native Konsole von Carbon Black bietet Administratoren eine vereinfachte Ansicht von Bedrohungen über visuelle Warnungen, Triage und Live-Remote-Secure-Shell-Zugriff.
Die APIs von Carbon Black und das umfassende Partner-Ökosystem von Drittanbietern bieten SOCs die Möglichkeit, Carbon Black-Ergebnisse in eine Reihe von Analysen, IT-Betriebsabläufen, Sicherheitsabläufen und Fallmanagementlösungen zu integrieren.

Vorsichtshinweise

The Predictive Security Cloud is the flagship platform; however, a substantial portion of Carbon Black’s installed base is still on the CB Response and CB Protection product lines, which do not include an EPP capability. PSC will be the primary platform for new features and functions.
Carbon Black continues to be at the premium end of cost per endpoint in terms of cost to acquire and cost to operate, especially if organizations require the EPP and the separate application whitelisting capabilities provided by CB Protection.
Carbon Black PSC is still missing common features such as rogue device detection. Some customers report lengthy issue resolution times and quality issues with Carbon Black’s customer support services.
Eine begrenzte Anzahl von Carbon Black-Kunden meldet Leistungsprobleme bei Endgeräten im Zusammenhang mit ihren CB Defense-Bereitstellungen, und die Fehlerbehebung in Bezug auf die Leistung könnte in der CB Defense-Lösung vereinfacht werden.

Check Point Software Technologies

Check Point Software Technologies ist ein globaler Sicherheitsanbieter, der für seine Netzwerk-Firewall-Produkte bekannt ist. Seit der Akquisition der Personal Firewall von Zone Labs im Jahr 2003 ist das Unternehmen ein Anbieter auf dem Endpoint Protection-Markt. Im Jahr 2016 führte Check Point SandBlast Agent ein, das sowohl erweiterte EPP- als auch EDR-Funktionen bietet. SandBlast nutzt die ZoneAlarm-Präventionstechnologien, richtet sich jedoch an das Unternehmen. Während ZoneAlarm jetzt kommerziell für Verbraucher bestimmt ist. Darüber hinaus bietet Check Point SandBlast Endpoint-VPN-, Verschlüsselungs-, URL-Filter- und Anti-Ransomware-Produkte an.

SandBlast ist über die Infinity-Verwaltungskonsole in Check Point-Gateways integriert, um Warnungen zu konsolidieren und Daten auszutauschen.

Stärken

Alle Endpoint Protection-Funktionen werden in einer einzigen Verwaltungskonsole verwaltet, die über einen Cloud-Dienst oder einen lokalen Verwaltungsserver bereitgestellt wird.
Zu den Schutzfunktionen gehören Schutz vor Speicherausnutzung, Verhaltensschutz und Browsererweiterungen für Chrome, Internet Explorer und Mozilla Firefox. Diese Erweiterungen bieten eine Überprüfung der heruntergeladenen Dateisandbox, einen Phishing-URL-Schutz und eine Überwachung der Wiederverwendung von Unternehmenskennwörtern. Es gibt auch eine Cloud-Sandbox für die Detonation verdächtiger Dateien.
Die Erfahrung im Umgang mit EDR-Vorfällen wird durch kontextbezogene Informationen zum Prozess und durch die automatische Korrelation von verdächtigen Ereignissen erweitert. Zu den Korrekturfunktionen gehören die Wiederherstellung verschlüsselter Dateien, die vollständige Sterilisierung der Angriffskette und die Maschinenisolierung.
SandBlast Mobile für Android und iOS bietet Jailbreak-Erkennung, Gerätekonfiguration und Profilüberwachung, Malware und Man-in-the-Middle-Angriffsprävention.

Vorsichtshinweise

Trotz seiner langen Marktgeschichte hat Check Point Mühe, Markt- und Marktanteile zu gewinnen.
Im zentralen Managementsystem werden nur ereignisbezogene Daten und ereignisforensische Berichte gespeichert. Rohdaten werden lokal auf dem Endpunkt gespeichert. Andere Funktionen der Enterprise-Klasse wie der Workflow, die erweiterte Suche nach Bedrohungen und die Erstellung benutzerdefinierter Regeln fehlen.
Die Erkennung von Rogue-Clients ist auf Daten beschränkt, die in Active Directory gespeichert sind. Der Anbieter bietet keine Verwundbarkeits- oder Konfigurationsverwaltungsfunktionen an.
Managementerfahrung ist inkonsistent. Die Untersuchungen durchlaufen mehrere verschiedene Benutzeroberflächen, Registerkarten und Fenster. Einige der Benutzeroberflächen sind im Win32-Anwendungsstil gestaltet, während andere Komponenten modernere Benutzeroberflächendesigns waren. Die Richtlinienkonfiguration umfasst unzählige Popup-Fenster. Die Suche unter Mac und Linux kann nur über die Befehlszeile erfolgen.
Check Point nimmt nicht an regelmäßigen Wirksamkeitstests teil, die in den letzten 12 Monaten nur in vier Tests durchgeführt wurden. Das Check Point-Cloud-Management für den SandBlast-Agenten ist neu und wurde zum Zeitpunkt der Veröffentlichung nur eingeschränkt übernommen.

Cisco

Cisco bietet Advanced Malware Protection (AMP) für Endpoints an. Dabei handelt es sich um Funktionen zum Verhindern, Erkennen und Reagieren von Endpoint-Sicherheitsfunktionen, die über eine Cloud oder eine lokale Verwaltungskonsole bereitgestellt werden.

Ciscos AMP for Endpoints nutzt AMP-Funktionen, die auch in anderen Cisco-Sicherheitsangeboten verfügbar sind, einschließlich Bedrohungsdaten aus der Threat Grid- und Talos-Sicherheitsforschung. AMP for Endpoints lässt sich in andere Cisco-Sicherheitsprodukte integrieren, z. B. in sichere E-Mail- und Web-Gateways und Netzwerksicherheits-Appliances in der Cisco Threat Response-Konsole für die Reaktion auf Vorfälle.

Ciscos AMP wird bestehende Cisco-Kunden ansprechen, insbesondere diejenigen, die andere Cisco-Sicherheitslösungen einsetzen und Sicherheitsvorgänge für Cisco-Produkte einrichten möchten.

Stärken

Cisco AMP is highly reputed for its threat intelligence from its well-known Talos security research team and for its exploit prevention capabilities, both used as a means of reducing the endpoint attack surface. Cisco recently licensed Morphisec to add exploit prevention.
Cisco AMP can perform discovery of unprotected and unmanaged endpoints that present malicious behavior based on network security information.
Cisco offers a broad range of managed services, including SOCs, active threat hunting, and incident support.
Cisco Threat Response integrates AMP and other Cisco security offerings, such as firewall, intrusion prevention system (IPS), secure email and web gateways. This allows for centralized alert consolidation and incident response, as well as intelligence sharing and policy synchronization in the Cisco Threat Response console.

Cautions

The Exploit Prevention engine, Malicious Activity Protection engine and System Process Protection (SPP) engine are only available for Windows. Mac and Linux rely on the open-source ClamAV for signatures.
EDR navigation between screens is neither fluid nor intuitive to get a full understanding of the state of an endpoint or the incident and to pivot to find related items.
Although the threat hunting functionality has expanded, Cisco AMP still lacks certain advanced threat hunting capabilities, such as the creation of customized behavioral protections and the integration of threat feeds. Also, it lacks a community portal for collaboration with industry peers.
The majority of Cisco AMP deployments are deployed with another EPP solution to augment existing protection solutions and interoperate with other Cisco security solutions via Threat Response.
Cisco still needs to consolidate its various endpoint agents for Duo, Umbrella, AnyConnect, Tetration and AMP.
Cisco is new to public comparative testing, appearing in the NSS Labs test and one AV-Comparatives test. Its underlying antivirus engine (Bitdefender) is an active participant in tests.

CrowdStrike

CrowdStrike’s cloud-native architecture provides an extensible platform that enables additional security services like IT hygiene, vulnerability assessment and threat intelligence. Its app store, the CrowdStrike Store, allows customers to acquire additional security functions, such as user and entity behavior analytics (UEBA) and file integrity monitoring, through partners that exploit the same client and cloud management console.

CrowdStrike ist führend in der Fusion von Produkten und Dienstleistungen, wobei der Falcon OverWatch-Service, der Unterstützung bei der Suche nach Bedrohungen, bei Warnungen, Reaktionen und Ermittlungen bietet, in hohem Maße eingesetzt wird. CrowdStrike bietet auch den Falcon Complete-Service an, der eine vollständige verwaltete Erkennung und Reaktion, eine Eingriffsberatung für die Reaktion auf Vorfälle und eine Garantie von 1 Million US-Dollar für die Verhinderung von Verstößen bietet.

Im Jahr 2018 gaben Dell und Secureworks eine strategische Markteinführungsallianz mit CrowdStrike bekannt. Das Unternehmen startete einen sehr erfolgreichen Börsengang und verbesserte damit seine allgemeine Rentabilität.

Unternehmen, die eine moderne, Cloud-basierte EDR-basierte EPP-Lösung mit einer Reihe von verwalteten Diensten suchen, werden CrowdStrike als sehr überzeugend empfinden.

Stärken

CrowdStrike ist weiterhin einer der am schnellsten wachsenden und innovativsten Anbieter in dieser Forschung. In 176 Ländern, darunter zahlreiche sehr große Unternehmen mit mehr als 100.000 Sitzplätzen, gewinnt das Unternehmen rasch Marktanteile.
Gartner-Kunden berichten über einfache und unkomplizierte Falcon-Bereitstellungen, auch aufgrund der Cloud-Architektur. CrowdStrike Falcons leichter einzelner Agent unterstützt alle Umgebungen (physisch, virtuell und Cloud) und funktioniert mit demselben Agenten und derselben Verwaltungskonsole für Falcon Prevent-Schutz und Falcon Insight EDR. CrowdStrike zeichnet die meisten Endpunktereignisse auf und sendet alle aufgezeichneten Daten zur Analyse und Erkennung an seine Cloud. Einige Vorbeugungsmaßnahmen werden lokal auf dem Agenten über eine maschinell erlernte Antiviren-Engine durchgeführt.
Zu den jüngsten Verbesserungen gehört die Erkennung von Sicherheitslücken. Ermittlung für Amazon Web Services (AWS) und für die Bestandsaufnahme; und Sicherheitskonfiguration für Cloud-Assets. Sie umfassen auch Echtzeitantwort und Echtzeitabfrage, um Remote-Befehle auf verdächtigen Computern zu aktivieren. Benutzerdefinierte Angriffsindikatoren (IOAs) zur Erkennung und Vorbeugung; und Blockierung von Ransomware-Angriffen auf Treiberebene. CrowdStrike hat außerdem Falcon for Mobile eingeführt, um Unternehmensanwendungen von nicht verwalteten Geräten zu isolieren.
CrowdStrike ist der erste EPP-Anbieter in dieser Studie, der Firmware-Transparenz und Schwachstellenerkennung bietet, um das Risiko hardwarebasierter Angriffe zu verringern.
CrowdStrike bietet eine FedRAMP-zertifizierte Cloud in den USA an und hat kürzlich einen deutschen Cloud-Standort für EU-Kundendaten hinzugefügt.
Es bietet Agenten für eine breite Palette von Endpunkten und unterstützt neue Linux-Kernel in weniger als einer Woche. Es wurde auch Unterstützung für Oracle Linux und Amazon Linux hinzugefügt.

Vorsichtshinweise

CrowdStrike verfügt nicht über eine integrierte Bereitstellungslösung, funktioniert jedoch gut mit Tools von Drittanbietern.
Das Vollprodukt ist teurer als andere EPP-Lösungen, beinhaltet jedoch den OverWatch-Service und deckt die Kosten für die Speicherung von Cloud-Daten für EDR. Der Standard-Cloud-Speicher für vollständige Jagd- und Ermittlungsdaten ist sehr kurz (dh sieben Tage).
Die Auswertung von MITRE ATT & CK ergab, dass CrowdStrike mit OverWatch mehr Erkennungen als ohne gemeldet hat und einige davon verzögert sind.
Die CrowdStrike / Splunk-Verwaltungsoberfläche ist sehr leistungsfähig, kann jedoch kompliziert sein. Für die Suche müssen beispielsweise Skripte erstellt werden.
Der Anbieter bietet keine Personal Firewall, Funktionen zur Anwendungssteuerung, Konfigurationsanleitung oder Patch-Verwaltung zur Verbesserung der Absicherung von Endpunkten an, plant jedoch, diese über den CrowdStrike Store hinzuzufügen. Darüber hinaus sind keine begleitenden Netzwerksicherheitsprodukte verfügbar.
CrowdStrike bietet keine lokale Verwaltungskonsole. Obwohl die clientseitige Erkennung von maschinellem Lernen verbessert wurde und dem Client mehr Angriffsindikatoren für den Schutz im Offlinemodus zur Verfügung gestellt wurden, ist sie für bandbreitenbeschränkte oder vollständig getrennte Computer nicht ideal.

ESET

ESET bietet ESET Endpoint Security, eine EPP-Lösung, die vom Security Management Center verwaltet wird. Es bietet auch eine EDR-Lösung namens ESET Enterprise Inspector. ESET Dynamic Threat Defense – Cloud-basierte Sandbox-Lösung zur Erkennung von Zero-Day-Bedrohungen – und ein Threat Monitoring- und ein Threat Hunting-Dienst (Managed Services für seine EDR) vervollständigen das Angebot von ESET im Bereich Endpoint Security. ESET bietet diese Lösungen in einem Paket mit dem Namen ESET Targeted Attack Protection und der ESET Threat Intelligence-Plattform als optionales Add-On.

ESET wird weltweit verteilte Organisationen ansprechen, die nach einer umfassenden Lösung suchen, insbesondere Organisationen, die eine EPP-Lösung mit einem besonders leichten Agenten benötigen.

Stärken

ESET ist ein langjähriger EPP-Anbieter mit dem sechstgrößten Marktanteil nach Sitzplatzanzahl. Das Unternehmen ist im Segment der kleinen und mittleren Unternehmen (KMU) sowie in den Regionen Europa, Lateinamerika und Asien / Pazifik stark vertreten. Der Anbieter hat auch eine große Präsenz im Consumer-Bereich. ESET ist eine bemerkenswerte Quelle für veröffentlichte Sicherheitsuntersuchungen, die über die WeLiveSecurity-Website verfügbar ist.
ESET ist bekannt dafür, dass es einen Lightweight-Client mit der konsistenten Leistung einer soliden Anti-Malware-Engine kombiniert.
ESET verfügt über umfassende Funktionen, darunter ein Host-basiertes Intrusion Prevention-System (HIPS), ML-basierte Erkennung, Exploit-Prävention, Erkennung von In-Memory-Angriffen und Erkennung von Ransomware-Verhalten.
ESET bietet seine Konsole in 21 Sprachen und lokalisierten Support in 38 Sprachen. Damit eignet sich die Lösung gut für global verteilte Unternehmen und Unternehmen, die Support in einer lokalen Sprache benötigen.
ESET-Kunden loben die Qualität der Kundenbetreuung und des Kundendienstes des Anbieters. In einigen Ländern bietet ESET kostenlose Implementierungsservices an.

Vorsichtshinweise

ESET Cloud Administrator ist nur für die SMB-Client-Basis vorgesehen. Unternehmenskunden, die nach vollständiger Funktionalität suchen, können nur gehostete Verwaltungsserver verwenden. Eine Cloud-basierte Verwaltungskonsole für Unternehmen, ESET Security Management Center Cloud, ist für 2H20 vorgesehen.
Obwohl der Endpoint Agent von ESET Exploit-Prävention und In-Memory-Scanning für Angriffe implementiert, gibt es keine Schwachstellenerkennung oder Berichtsfunktion. Diese Funktionen werden über das Partner-Ökosystem von ESET bereitgestellt.
ESET enthält in seinem Endpoint Agent keine Funktionen für die Whitelist von Anwendungen oder für die Systemsperrung. Stattdessen werden Anwendungen und ausführbare Dateien nach Datei-Hash oder über HIPS-Steuerungsrichtlinien auf die schwarze Liste gesetzt.
Der ESET macOS-Agent unterstützt derzeit keine Echtzeit-IOC-Suche und ist noch nicht in EDR integriert, sodass für viele Unternehmen eine Transparenzlücke besteht. Die Integration des ESET macOS-Agenten in EDR ist für 1H20 vorgesehen.
Die rollenbasierte Verwaltung in ESET Enterprise Inspector ermöglicht nur zwei Benutzermodi und es fehlen Workflows für die Fall- und Vorfallverwaltung.
Korrekturmöglichkeiten sind begrenzt. Für bestimmte Korrekturmaßnahmen muss die separate Enterprise Inspector-Konsole wieder in das Security Management Center verschoben werden.

FireEye

FireEye ist ein Plattformanbieter, der Endpoint-, E-Mail-, Web-, Netzwerk- und Cloud-Sicherheit sowie Bedrohungsinformationen bietet, die in der FireEye Endpoint Security-Konsole verwaltet werden. Mandiant, der Servicezweig von FireEye, bietet eine breite Palette von Sicherheitsdiensten und erfreut sich einer hohen Anlagerate mit dem Produkt.

Die FireEye Endpoint Security-Verwaltungsfunktion wird als Cloud-gehostete Lösung oder als lokale virtuelle Maschine oder hardwarebasierte Appliance bereitgestellt. FireEye’s Helix ist eine Lösung für das Sicherheitsinformations- und Ereignismanagement (SIEM) / Sicherheits-Orchestrierungs-, Automatisierungs- und Antwortsystem (SOAR), die mit dem Verkauf der Endpoint-Software geliefert wird.

FireEye ist für Gartner-Kunden nach wie vor mehr ein ganzheitlicher Anbieter von Sicherheitsplattformen mit umfassenden Cyberthreat-Informationen als ein produktspezifischer Sicherheitsanbieter.

Stärken

FireEye Endpoint Security 4.5, shipped in late July 2018, introduced its MalwareGuard machine-learning-based engine for detection of malware threats alongside its existing Exploit Guard (exploit mitigation), signature-based malware protection and intelligence-based IOC detection capabilities.
As a portfolio provider, FireEye has a broad set of security capabilities that allow it to integrate threat intelligence findings from across its full set of solutions and services to address multiple security use cases beyond endpoint security.
FireEye Endpoint Security can pull forensic and threat artifacts, and it supports the acquisition of deleted or system-protected files without interrupting the operation of the system.
FireEye Endpoint Security profitiert von den Bedrohungsdaten des Mandiant-Teams zur Ermittlung von Sicherheitsverletzungen sowie von den gemeinsamen Bedrohungsindikatoren der FireEye-Produkte.
FireEye bietet eine global verwaltete Erkennung und Reaktion über zwei Dienste: FireEye Managed Defense ist ein umfassendes Angebot an Sicherheitsdiensten, und das neu eingeführte Expertise-On-Demand-Angebot ermöglicht es Kunden, das Engagement à la carte auf ihre spezifischen Bedürfnisse zuzuschneiden. FireEye bietet mit seiner Marke Mandiant eine Reihe von Beratungs-, Beratungs- und Schulungsdiensten, mit denen Unternehmen in allen Stadien ihrer Sicherheitsreife unterstützt werden.

Vorsichtshinweise

FireEye muss noch ein Cloud-natives SaaS-Angebot für mehrere Mandanten anbieten, das einigen wichtigen Wettbewerbern auf dem EPP-Markt hinterherhinkt.
Die FireEye Endpoint Security-Verwaltungskonsole kann für die Erkennung von Warnungen, die Verwaltung von Richtlinien und die Untersuchung von Bedrohungen verwendet werden. Fortgeschrittenere Anwendungsfälle für die Behandlung von Vorfällen, den Workflow und die Zusammenarbeit erfordern jedoch die Verwendung der Helix-Sicherheitsplattform von FireEye.
Einige Kunden geben an, wie lange es insgesamt dauert, während einer Untersuchung Metadaten, Details und Hostinformationen zu einer Bedrohung zu sammeln. Ausführliche historische Daten werden standardmäßig nicht an Helix gesendet. Der gesamte Datenstrom von Ereignissen kann optional an einen Helix-Datensee oder den eigenen Datenspeicher des Kunden gesendet werden. Andernfalls werden EDR-Daten auf dem Endpunkt gespeichert, was zu einem Verlust führt, wenn auf den Endpunkt nicht zugegriffen werden kann. Triage-Pakete mit mehr Informationen werden nur dann an die Management-Konsole gesendet, wenn verdächtige Ereignisse Warnungen auslösen und nur für kurze Zeiträume gespeichert werden.
Die manuellen Korrekturmaßnahmen sind im Vergleich zu anderen Anbietern sehr begrenzt. Die Helix Security Platform unterstützt automatisierte Konfigurations-Rollbacks oder die Wiederherstellung von Dateien.
Das Threat Intelligence-Portal und die Benutzeroberfläche von FireEye sind nicht vollständig in die Benutzeroberfläche integriert. Daher müssen die Antwortenden die Indikatoren im FireEye Threat Intelligence-Portal manuell untersuchen.

Fortinet

Fortinet ist ein Anbieter von Netzwerksicherheitssuiten, der Unternehmensfirewalls, E-Mail-Sicherheit, Sandbox, Webanwendungsfirewalls und einige andere Produkte verkauft, einschließlich der FortiClient-Endpoint-Sicherheitssoftware. Security Fabric ermöglicht bestehenden Fortinet-Kunden, die mehrere Fortinet-Produkte verwenden, eine einheitliche Überwachung und Steuerung über verschiedene Fortinet-Geräte in ihrem Netzwerk oder über mehrere Netzwerke hinweg.

Stärken

Fortinet bietet über Security Fabric einheitliche Steuerung und Verwaltung für seine verschiedenen Produktlinien und konzentriert sich weiterhin auf Verbesserungen der Security Fabric-Funktionen. Die von Security Fabric unterstützten Komponenten sind FortiClient, FortiGate-Firewalls, SIEM, Zugriffspunkte, sichere E-Mail- und Webanwendungs-Firewalls.
FortiClient ist einfach bereitzustellen und zu verwalten.
Das Patch-Management ist Teil der FortiClient-Anwendung, die auch von FortiGuard Labs globaler Bedrohungserkennung und nativer Integration in die Sandbox profitiert.
FortiClient isoliert Objekte und beendet Prozesse in Echtzeit mithilfe einer clientseitigen Analyse und, falls vorhanden, basierend auf dem FortiSandbox-Urteil.

Vorsichtshinweise

FortiClient ist den meisten Gartner-Kunden, die sich nach der Sicherheit von Endgeräten erkundigen, nicht bekannt, und wir sehen außerhalb der Fortinet-Kundenbasis nur eine geringe Akzeptanz. Im Jahr 2018 erzielte FortiClient weniger als 1% des Umsatzes des Anbieters.
Die Markteinführungsstrategie für FortiClient Cloud zielt auf mittelständische Unternehmen mit bis zu 500 Benutzern ab. FortiClient konzentriert sich immer mehr auf den Unternehmensbereich, aber mehr als 50% seiner derzeit installierten Basis befinden sich im mittelgroßen Unternehmensbereich, in dem weniger als 1.000 Arbeitsplätze installiert sind. Große Unternehmen werden wahrscheinlich detailliertere Richtlinienoptionen wünschen.
FortiClient bietet zusammen mit FortiSandbox nur eine teilweise EDR-Abdeckung. Eine vollständige EDR-Aufzeichnung ist nicht vorgesehen, und die Erkennung basiert auf den von den Endpunkten gesammelten Protokollen und nicht auf der Ereignisaufzeichnung. Eine vollständige Erkennung, Untersuchung und Reaktion kann nur durch die Kombination von FortiClient mit FortiAnalyzer, FortiInsight und FortiSIEM erfolgen.
FortiClient ist nicht weit verbreitet. es erschien nur im NSS Labs-Test.

F-Secure

F-Secure ist ein börsennotiertes Sicherheitsunternehmen mit Sitz in Helsinki, Finnland. F-Secure ist bekannt für seine langjährige Erfahrung mit hervorragenden Testergebnissen, seiner leichten und wirkungsarmen Malware-Erkennung mit seinem Cloud-basierten PSB-Angebot (F-Secure Protection Service for Business) und seiner lokalen Lösung F-Secure Business Suite. Im Mai 2018 brachte das Unternehmen seine EDR-Lösung auf den Markt, die visuelle Untersuchungsfunktionen und Einblicke in die Anwendungsnutzung bietet. Im Juli 2018 erwarb F-Secure MWR InfoSecurity. Die Akquisition verleiht der bestehenden MDR-Lösung von F-Secure zusätzliche Funktionen für die Bedrohungssuche und erweiterte Reaktionsmöglichkeiten.

Stärken

Das PSB-Angebot des Unternehmens umfasst eine Reihe von Funktionen wie Gerätesteuerung, Web-Schutz, Schwachstellenmanagement und Patch-Management. DataGuard, eine Ransomware-Schutzfunktion, bietet erweiterten Schutz für vertrauliche lokale Ordner und Netzwerkordner, indem Änderungen, Manipulationen oder Verschlüsselungen durch nicht autorisierte Anwendungen und Benutzer verhindert werden.
F-Secure Radar bietet Funktionen zur Schwachstellenverwaltung, die in den Endpoint-Client integriert sind (lokal und in der Cloud), und Automatisierungsfunktionen werden über die Verwaltungskonsole bereitgestellt.
Kunden berichten, dass der Rapid Detection & Response Service von F-Secure umfassende Funktionen für die Überprüfung, Analyse und Reaktion von Sicherheitsspezialisten bietet. Der Service Elevate to F-Secure ermöglicht es Kunden, detaillierte Analyse- und Ermittlungshilfen von F-Secure-Spezialisten zu erhalten.
Kunden berichten, dass die F-Secure EPP-Lösung unter Windows, Mac und Linux einfach bereitzustellen und zu warten ist.

Vorsichtshinweise

Mit einer EDR-Fähigkeit kommt F-Secure zu spät. Bedrohungssuche- und Abfragefunktionen in der Lösung befanden sich zum Zeitpunkt dieser Analyse in der Beta-Phase und sind daher im Vergleich zu Konkurrenten noch nicht ausgereift.
Die Ransomware-Abwehr von F-Secure bietet nicht die Möglichkeit, verschlüsselte oder infizierte Dateien zurückzusetzen.
Die lokale Bereitstellung richtet sich an Kunden, die mehr Steuerelemente und Bereitstellungsoptionen benötigen. Insbesondere bietet es mehr Granularität in einigen Einstellungen und eine flexiblere Konfiguration der Datenflüsse, um den Virendefinitionsverkehr zu optimieren.
Die fortschrittlichen internen Tools für die Bedrohungssuche von F-Secure (Beta-Version) befinden sich derzeit noch in einer separaten Konsole.

Kaspersky

Kaspersky ist ein privater EVP-Anbieter mit Hauptsitz in Moskau, Russland. gegründet und betrieben von Eugene Kaspersky; und von einer Holdinggesellschaft in Großbritannien betrieben.

Kaspersky hat das Framework der Global Transparency Initiative (GTI) eingeführt, mit dem Unternehmen Maßnahmen ergreifen können, um sicherzustellen, dass die Kaspersky-Lösungen die Vertrauens- und Compliance-Richtlinien des Unternehmens erfüllen. Es hat auch einen großen Teil seiner Datenverarbeitungsaktivitäten in die Schweiz verlagert, um Kundenbedenken auszuräumen.

Die Forscher von Kaspersky veröffentlichen auch Primärrecherchen zu aktiven Risiken und Trends und bieten Community-Services zur Verbesserung der eigenen Produkte sowie ein jährliches Gipfeltreffen für Sicherheitsanalysten an.

Stärken

Kaspersky hat einen der größten geografischen Fußabdrücke der Anbieter in dieser Studie. Die regionale Präsenz des Anbieters im Nahen Osten und in Afrika ist branchenweit einzigartig.
Kaspersky verfügt über ein großes Forschungs- und Entwicklungsteam, das schnelle und häufige Produktaktualisierungen ermöglicht. Kaspersky entwickelt seine eigenen Produkte im eigenen Haus und hat den Fusions- / Übernahmeweg nicht genutzt, um sein Produkt- und Dienstleistungsportfolio zu erweitern, das nun EPP / EDR und verwaltete Dienstleistungen anbietet.
Die Produkte von Kaspersky haben bei externen Tests durchweg eine hohe Punktzahl und genießen bei Gartner-Kunden einen guten Ruf hinsichtlich starker Präventions- und Erkennungsfunktionen. Kaspersky bietet Lösungen für eine breite Palette von Server- und Endpunkttypen, einschließlich der Überwachung von Docker-Containern.
Kasperskys EDR-Ansatz besteht darin, sich auf die automatische Erkennung und Reaktion zu konzentrieren, um den Administratorenaufwand zu verringern. Erkennung und Reaktion können mithilfe der Netzwerkkomponente KATA (Kaspersky Anti Targeted Attack Platform) um die Transparenz des Netzwerkverkehrs erweitert werden. Das Kaspersky Private Security Network (KPSN) kann in Netzwerken mit Luftspalt verwendet werden.
Kaspersky bietet Incident Response- und Managed Detection and Response-Dienste (MDR) an, die sowohl eine automatische Reaktion als auch eine proaktive Bedrohungssuche ermöglichen.

Vorsichtshinweise

Die Kaspersky Endpoint Security Cloud (KES Cloud) wurde im September 2016 gestartet, hat jedoch noch keine nennenswerte Erfahrung mit der Kaspersky-Benutzerbasis. Es ist ein einfacheres Tool für weniger ausgereifte Sicherheitsorganisationen mit weniger Integrationsanforderungen. Kaspersky verfügt nicht über ein Cloud-Angebot der Enterprise-Klasse. Der Start ist für das dritte Quartal 19 geplant.
Kaspersky hat zwar die MITRE ATT & CK-Klassifizierung in sein Kaspersky Endpoint Detection and Response-Tool (KEDR) und seine Sandbox-Analysefunktionen integriert, um die Erkennung von Bedrohungen zu vereinfachen. Für Kasperskys EDR-Tools wurden jedoch MITRE-Bewertungen durchgeführt.
Aufgrund der automatisierten Erkennung und Prävention in Kaspersky Endpoint Security für Unternehmen (KESB) fehlen erweiterte EDR-Funktionen für ausgereifte SOCs. Beispielsweise ist die Bedrohungssuche schwach. Es ist nicht möglich, eine benutzerdefinierte Erkennungs- und Blockierungsregel zu erstellen. Die Sanierung ist auf grundlegende Maßnahmen beschränkt, und es gibt keine Zusammenfassung der zu ergreifenden Sanierungsmaßnahmen. Der Workflow ist begrenzt. und das Injizieren von IOCs ist ein Batch-Prozess. Es gibt auch kein Community-Portal zum Teilen von Inhalten. KEDR- und / oder KATA-Produkte sind für ausgereifte Organisationen mit SOCs erforderlich. Ältere Organisationen mit einem SOC müssen KEDR und / oder KATA für diese erweiterten EDR-Funktionen verwenden.
Die Nutzung von Kaspersky-Produkten und -Diensten unterliegt möglicherweise den derzeit in den USA und anderen Regionen geltenden Beschränkungen für bundesregulierte und staatliche Stellen. (Im September 2017 wies die US-Regierung alle Bundesbehörden an, Kasperskys Software von ihren Systemen zu entfernen. In mehreren Medienberichten wurden unter Berufung auf nicht genannte Geheimdienstquellen zusätzliche Ansprüche geltend gemacht. Gartner sind keine diesbezüglichen Beweise bekannt. Die anfänglichen Beschwerden von Kaspersky wurden von einem Gericht des US-Bezirks Columbia abgewiesen. Kaspersky hat in Zürich ein Transparenzzentrum eingerichtet, in dem vertrauenswürdige Stakeholder Produkt-Interna überprüfen und bewerten können. Kaspersky hat sich auch verpflichtet, Kundendaten in Zürich, Schweiz, zu speichern und zu verarbeiten. vor allem diejenigen, die eng mit US-Bundesbehörden zusammenarbeiten,

Malwarebytes

Malwarebytes ist am besten für seine Funktionen zum Entfernen von Malware bekannt, ist jedoch zunehmend im Endpoint-Schutz und in der aufkommenden Endpoint Protection and Response-Lösung präsent. Sowohl EPP- als auch EDR-Module werden über einen einzigen Agenten bereitgestellt und über ein einziges cloudbasiertes Verwaltungs-Dashboard verwaltet. Malwarebytes Breach Remediation (MBBR) bietet eine agentenlose Korrekturfunktion. Malwarebytes bietet auch ein vor Ort verwaltetes EPP-Produkt an.

Malwarebytes wird Unternehmen jeder Größe ansprechen, die nur über begrenzte Ressourcen für Cybersicherheit und hohe Sanierungskosten verfügen.

Stärken

Die Kunden von Gartner loben Malwarebytes für seine einfache Bedienung und sein intuitives Dashboard sowie für seine Erkennungsraten für Long-Tail-Malware und seine Malware-Korrekturfunktionen.
Malwarebytes bietet erweiterte Korrekturfunktionen, z. B. die Möglichkeit, mit Prozessen zu interagieren, die Registrierung anzuzeigen und zu ändern, Dateien zu senden und zu empfangen sowie Befehle und Skripts remote auszuführen.
Das Endpoint Protection and Response-Produkt von Malwarebytes kann die durch Ransomware vorgenommenen Änderungen rückgängig machen, einschließlich der Wiederherstellung von Dateien, die während des Angriffs verschlüsselt wurden. Diese Aktion kann von der Cloud-Verwaltungskonsole aus bis zu 72 Stunden nach dem Angriff ausgeführt werden, ohne dass ein lokaler Zugriff auf einen Endpunkt erforderlich ist.
Die Unternehmensprodukte von Malwarebytes lassen sich über die verfügbaren APIs von Malwarebytes Cloud Platform in Betriebssuiten wie IBM BigFix, Tanium, Phantom, ForeScout und den System Center Configuration Manager (SCCM) von Microsoft integrieren.
Für die EPP-Funktionen ist keine Internetverbindung erforderlich, um den Schutz vor Bedrohungen zu gewährleisten, sodass Unternehmen mit nicht verbundenen Endpunkten ohne Netzwerkverbindung geschützt sind.

Vorsichtshinweise

Malwarebytes ist einer der kleineren Anbieter in dieser Analyse, und es fehlt das Ausmaß der globalen Operationen größerer Kollegen. Malwarebytes bietet keine verwalteten Dienste direkt an.
Malwarebytes nimmt nicht an regelmäßigen Tests seiner Anti-Malware-Wirksamkeit teil. Es erschien nur im NSS Labs-Test.
Einige Features für große Unternehmen, z. B. umfassende rollenbasierte Verwaltung und Unterstützung für Nicht-Windows-Endpunkte, fehlen. Malwarebytes unterstützt keine Anwendungssteuerung und bietet keine Verwundbarkeits- oder Konfigurationsverwaltungsfunktionen.
Während Malwarebytes bei Gartner-Kunden für seine Funktionen zur Verhinderung und Beseitigung von Malware Anerkennung gefunden hat, bietet es keine EDR-Funktionen für Unternehmen, die über die Angriffsvisualisierung hinausgehen. Es werden keine historischen Daten gespeichert oder Suchanfragen, die Suche nach bestimmten Prozessen, die Automatisierung von Warnmeldungen und benutzerdefinierte Regeln für die Ereignisblockierung aktiviert.
Malwarebytes hat zwar einige Verbesserungen am cloudbasierten Verwaltungs-Dashboard vorgenommen, es fehlen jedoch weiterhin visuelle Berichte und Dashboards für die Schnellansicht.

McAfee

McAfee ist ein privates Sicherheitsunternehmen. Im Jahr 2018 brachte McAfee MVISION auf den Markt, das neue Produkte und Funktionen, Branding und Verpackung sowie vereinfachte Lizenzoptionen für unterschiedliche Märkte bietet. Das standardmäßige Endpoint-Angebot von McAfee bietet Flexibilität, um die erweiterten Erkennungsfunktionen von McAfee wie maschinelles Lernen, Überwachung des Diebstahls von Anmeldeinformationen, Blockierung des Angriffsverhaltens und Korrektur von Rollbacks mit systemeigenen Betriebssystemfunktionen wie Microsoft Windows Defender zu kombinieren. Das Premium-Endpoint-Angebot von McAfee umfasst McAfee MVISION EDR-Funktionen. Insbesondere verwendet MVISION ePO ein brandneues Back-End, das in der Cloud integriert ist, und behält gleichzeitig eine konsistente Verwaltungserfahrung mit der lokalen Version von EPO bei.

McAfee bietet darüber hinaus zusätzliche Sicherheitsfunktionen wie Network Intrusion Prevention, CASB, Secure Web Gateway, DLP und Endpoint Encryption, die von ePO verwaltet werden und über den Data Exchange Layer (DXL) Bedrohungsinformationen austauschen können.

Diese Änderungen sind zu begrüßen und werden es McAfee ermöglichen, attraktivere, von SaaS gehostete Optionen anzubieten.

Stärken

MVISION EDR-Funktionen sind umfassend und flexibel und können neben Microsoft Windows Security (nicht anstelle von Microsoft Windows Security) eingesetzt werden. MVISION EDR kann neben den EPP-Produkten anderer Anbieter auch eigenständig bereitgestellt werden.
Die ePO-Verwaltungs- und Berichterstellungskonsole von McAfee kann über ein SaaS-Angebot mit mehreren Mandanten genutzt werden, das im AWS-Mandanten oder im lokalen Rechenzentrum eines Kunden gehostet wird, um einer Vielzahl von Anforderungen gerecht zu werden.
MVISION EDR kartiert Bedrohungen gegen das MITRE ATT & CK Framework. Darüber hinaus verwenden die automatisierten AI-gesteuerten Ermittlungsfunktionen das MITRE ATT & CK Framework, um eine schnellere und einfachere Alarmsuche durchzuführen.
Flexible Cloud-Speicher- und Aufbewahrungsoptionen werden zusammen mit Echtzeit- und historischen Tools zur Bedrohungssuche bereitgestellt.

Vorsichtshinweise

McAfee hatte Mühe, die installierte EPP-Basis zu vergrößern.
McAfee enthält keine sofort einsatzbereiten Sicherheitsanfälligkeiten oder Konfigurationsverwaltungsfunktionen.
MVISION EDR bietet noch keine umfassende Korrekturfunktion oder umfangreiche, erweiterte SOC-Workflow-Funktionen. Die Benutzeroberfläche verfügt über zahlreiche Funktionen, erfordert jedoch zusätzliche Schritte, um zwischen verschiedenen SOC-Aufgaben zu wechseln.
Das Upgrade von älteren Versionen von McAfee ePO und McAfee VirusScan Enterprise auf McAfee Endpoint Security (ENS) ist nicht trivial und wird für einige McAfee-Kunden noch durchgeführt. Bessere Migrationstools haben dies zu einer weniger komplexen Aufgabe gemacht, und bestehende Kunden sollten so schnell wie möglich ein Upgrade durchführen.
Die Speicherung von Cloud-Daten in der Standard-SKU ermöglicht die Prüfung von historischen Daten für nur sieben Tage. Dies kann gegen Aufpreis auf 90 Tage verlängert werden, ist aber immer noch weniger als bei konkurrierenden EDR-Produkten.
MVISION ePO SaaS bietet andere Funktionen als selbst gehostete ePO-Instanzen und umgekehrt. Beispielsweise sind die Multifactor Authentication (MFA) und die Integrationsoptionen für SIEM, SOAR und andere Dienste von Drittanbietern für selbst gehostete ePO-Instanzen noch nicht verfügbar. Einige ältere lokale McAfee ePO-Integrationen sind im neuen MVISION ePO noch nicht verfügbar – wie z. B. granulare rollenbasierte Zugriffssteuerung (RBAC) und Workflow-Funktionen.

Microsoft

Microsoft ist im EPP-Bereich einzigartig, da es als einziger Anbieter integrierte Endpoint Protection-Funktionen bietet, die eng in das Betriebssystem integriert sind. Windows Defender Antivirus (in Windows 7 und 8 als System Center Endpoint Protection bezeichnet) ist jetzt eine Kernkomponente aller Versionen des Windows 10-Betriebssystems und bietet cloudgestützten Angriffsschutz. Microsoft Defender Advanced Threat Protection (ATP) bietet eine EDR-Funktion, die Überwachung und Berichterstellung für Windows Defender Antivirus und Windows Defender Exploit Guard („Exploit Guard“), das Verwalten von Sicherheitsanfälligkeiten und Konfigurationen sowie erweiterte Tools zum Absichern. Die Incident Response Console von Microsoft Defender ATP konsolidiert Warnungen und Incident Response-Aktivitäten in Microsoft Defender ATP, Office 365 ATP, Azure ATP und Active Directory.

Microsoft ist viel offener für die Unterstützung heterogener Umgebungen und hat EPP-Funktionen für Mac freigegeben. Linux wird durch Partner unterstützt, während native Agenten auf der Roadmap stehen.

Microsoft wurde in diesem Jahr aufgrund des schnellen Marktanteilsgewinns von Windows Defender Antivirus (Defender), das jetzt Marktanteilsführer bei Geschäftsendpunkten ist, in den Leader-Quadranten aufgenommen. Darüber hinaus ist die hervorragende Umsetzung der Roadmap ein glaubwürdiger Ersatz für wettbewerbsfähige Lösungen, insbesondere für Unternehmen, die die Komplexität reduzieren möchten.

Stärken

Defender bietet Malware-Schutz mit einer Reihe von Techniken, darunter Verhalten, Emulation, Skriptanalyse, Speicher-Scan, Netzwerküberwachungssignaturen und Heuristiken auf dem Client sowie Cloud-Schutz-Engines zur Erkennung neuer Malware. Microsoft Defender ATP kann mit den EPP- oder EDR-Agenten anderer Anbieter zusammenarbeiten oder die Clients automatisch schützen, wenn ein EPP-Modul eines Drittanbieters ausfällt, veraltet oder deaktiviert ist.
Microsoft Defender ATP kombiniert erweiterte EDR-Funktionen mit der Verwaltung und Überwachung von Exploit Guard, Defender und anderen Microsoft-Produkten, insbesondere Active Directory, und ermöglicht so eine gemeinsame Alarm- und Vorfallsreaktionskonsole. ATP nutzt die Azure-Infrastruktur zum kostenlosen Speichern von Daten für sechs Monate.
Microsoft verfügt über eine der besseren SOAR-Funktionen zur Integration in Microsoft- und Partnerprodukte und zur Automatisierung sich wiederholender Aufgaben. Zugangsberechtigungsregeln ermöglichen eine kontinuierliche adaptive Risiko- und Vertrauensbewertungsarchitektur (CARTA).
ATP fügt das Bedrohungs- und Schwachstellenmanagement, die Reduzierung der Angriffsfläche (z. B. hardwarebasierte Isolierung, Anwendungssteuerung, Netzwerkschutz und Regeln zur Reduzierung der Angriffsfläche) und die kontextbezogenen Bedrohungsberichte von Threat Analytics hinzu. Microsoft Secure Score sowie Informationen zu Sicherheitslücken und Konfigurationen enthalten gewichtete Empfehlungen und Maßnahmen zur Verbesserung der Endpoint-Absicherung und zum Vergleich der aktuellen Situation mit der Branche und globalen Vergleichsunternehmen für das Benchmarking. Diese Punktzahl bietet Administratoren und leitenden Informationssicherheitsbeauftragten (CISOs) ein hervorragendes Verständnis der allgemeinen Sicherheitslage im Vergleich zu Kollegen und zeigt Verbesserungen im Laufe der Zeit.
Microsoft hat kürzlich einen Dienst mit dem Namen Microsoft Threat Experts eingeführt, um die Reaktion von Kunden auf Vorfälle und die Analyse von Warnungen zu unterstützen.

Vorsichtshinweise

Defender Antivirus und Exploit Guard sind in allen Versionen von Windows 10 enthalten. Die meisten Unternehmen möchten jedoch, dass ATP in EDR-Funktionen wie Angriffssichtbarkeit, Berichterstellung und Bedrohungssuche sowie Schwachstellenmanagement wettbewerbsfähig ist. ATP erfordern eine E5-Lizenz. Microsoft-Lizenzen sind schwer zu finden, und einige Kunden geben an, dass E5 teurer ist als konkurrierende EPP- und EDR-Angebote.
Obwohl ATP für Windows 7 und 8 verfügbar ist, bietet die Microsoft-Lösung keine vollständige Funktionsparität mit den Sicherheitsfunktionen von Windows 10. ATP ist für ältere XP-Versionen und ältere Versionen nicht verfügbar. Dies hat unterschiedliche Schutzstufen für Unternehmen zur Folge, die noch nicht vollständig auf Windows 10 migriert sind. Die EDR-Funktionen für macOS wurden noch nicht veröffentlicht, stehen jedoch auf dem Programm.
Das Verwalten von Microsoft-Sicherheitskonfigurationseinstellungen in Gruppenrichtlinienobjekten kann komplex sein, insbesondere für Sicherheitsteams, die System Center nicht verwenden. Die Roadmap von Microsoft umfasst die Konsolidierung aller Sicherheitsrichtlinienobjekte im Sicherheitscenter bis zum Jahresende. In der Zwischenzeit können Kunden Microsoft-Baselines und vorgefertigte GPO-Objekte nutzen, die von Kunden bereitgestellt werden.

Palo Alto Networks

Palo Alto Networks ist bei Gartner-Kunden nach wie vor am bekanntesten für seine Netzwerk- und Cloud-Sicherheitsproduktlinien. Dies ist für die meisten Kunden weiterhin die wichtigste Einführungslinie für das EPP-Produkt Traps.

Palo Alto baute sein EPP komplett um und schuf im Februar 2019 ein neues EDR-Angebot mit Traps 6.0 und Cortex XDR als Ergebnis der Akquisitionen und internen Entwicklung von Secdo und LightCyber. Dies bietet EDR-, NTA- (Network Traffic Analysis) und UEBA-Funktionen, die in die Firewalls, Traps und Cloud-Angebote der nächsten Generation von Palo Alto für die Erkennung von Alarmen, die Reaktion auf Vorfälle und die Jagd integriert sind. Cortex XDR verwendet Palo Alto Networks-Produkte (wie Traps, Firewalls usw.) als Sensoren zum Erfassen von Protokollen und Telemetriedaten oder als Sensor, der nur Erfassungs- und Korrekturfunktionen ausführt.

Stärken

Traps bietet eine solide Exploit-Prävention, um speicherbasierte Angriffe zu schützen, die nicht auf dem Wissen über Bedrohungen beruhen.
Traps sind nicht auf tägliche Updates der Endpunktsignaturen angewiesen. Traps bietet auch lokale Analysen, Anti-Ransomware und erweiterte Skripts zum Schutz vor böswilligem Verhalten für den Offline-Schutz. Es verwendet die cloudbasierte WildFire-Sandbox, um alle unbekannten ausführbaren Dateien beim Laden zu analysieren und dient als sekundäre Validierung.
Cortex XDR sammelt und verbindet Telemetriedaten aller Palo Alto-Produkte, um Warnungen zu korrelieren und Aktionen zur Reaktion auf Vorfälle über eine einzige Konsole zu ermöglichen. Cortex XDR konvertiert verwandte Warnungen in einen einzelnen Vorfall, um die Anzahl der zu überprüfenden Warnungen zu verringern. Durch die Aufnahme von Netzwerkdaten in Cortex wird die Abdeckung auch auf nicht verwaltete und IoT-artige Endpunkte ausgeweitet.
Palo Alto erwarb Demisto, das eine SOAR-Fähigkeit zur Verbesserung der Orchestrierung und Automatisierung bietet. Es hat auch Integrationen mit Anbietern wie Splunk, ServiceNow und Phantom.

Vorsichtshinweise

Palo Alto hat seine Präsenz auf dem EPP- und EDR-Markt vor allem durch den Erwerb von zusammengeschlossenen Bauteilen ausgebaut.
In Traps fehlen allgemeine EPP-Funktionen für Unternehmen, z. B. die Erkennung unerwünschter Geräte, die Anwendungssteuerung, die Steuerung von USB-Geräten, die Optimierung der Ressourcennutzung und eine umfassende rollenbasierte Verwaltung. Die EDR-Funktion von Palo Alto hat einen eingeschränkten Workflow und keine Möglichkeit, benutzerdefinierte Blockregeln zu erstellen.
Palo Alto bietet derzeit keine MDR / Managed EDR (MEDR) -Dienste als Teil seines nativen Angebots an und nutzt das Partner-Ökosystem für die Bereitstellung dieser Dienste.
Palo Alto verfügt nicht über Informationen zur Verwundbarkeit oder zum Konfigurationsmanagement.
Während Traps auf Agentenbasis lizenziert wird, wird Cortex XDR im Gegensatz zu einer Agentenbasis basierend auf Speichergröße und -dauer verkauft und kann nur in diskreten Mengen von 1 TB Speicher erworben werden. Jede TB-Lizenz enthält 200 Agentenlizenzen.
Traps und Cortex XDR verfügen über zwei verschiedene Verwaltungskonsolen. Sie sind jedoch integriert, um Daten untereinander auszutauschen und profitieren von der einmaligen Anmeldung für die Authentifizierung, sodass Analysten ohne erneute Authentifizierung zwischen den beiden Schnittstellen wechseln können.

Panda Security

Panda Security war einer der ersten Anbieter, der ausschließlich Cloud-basierte Produkte und Services anbot. Die Adaptive Defense 360-Lösung kombiniert ein EPP- und EDR-Produkt mit Managed Services. Zusätzliche Module umfassen Systemverwaltung, Patch-Verwaltung, Datenkontrolle zur Einhaltung gesetzlicher Bestimmungen, BitLocker-Verschlüsselungsverwaltung und einen SIEM-Feeder-Service.

Der erste enthaltene Dienst, eine 100% -Bestätigung, bietet eine automatische Positivliste, bei der nur vertrauenswürdige und genehmigte Anwendungen und Prozesse ausgeführt werden können. Diese werden in überwiegend automatisierten Prozessen identifiziert, wobei der Rest von den Experten des Anbieters manuell überprüft wird.

Der zweite Dienst, Threat Hunting and Investigation, wird von Panda-eigenen Bedrohungsjägern und Datenwissenschaftlern geleitet und bietet die Möglichkeit, Fachwissen über MSSP-Dienste hinzuzufügen, wenn die internen Fähigkeiten gering sind.

Panda hat kürzlich mit Cytomic eine neue Marke für reifere Großunternehmen eingeführt. Cytomic bietet eine Produkt- und Servicefusion, die MDR-Services mit einer EDR-Funktionalität namens Orion kombiniert. Diese bietet eine Managementkonsole für große Unternehmen, mit der sie ihre eigenen Bedrohungssuchberichte und -untersuchungen erstellen können.

Stärken

Der 100% ige Bestätigungsdienst beschleunigt und verbessert die Klassifizierung und Behandlung aller erkannten ausführbaren Dateien, ob böswillig oder harmlos, was zu weniger Fehlalarmen führt.
Umfassende Telemetrie von Endpunkten wird direkt an eine Cloud-Datenbank mit einer vollständigen 12-monatigen Aufbewahrungsfähigkeit und Bedrohungssuche über alle Endpunkte in Echtzeit oder unter Verwendung historischer Daten gesendet.
Die neuen Funktionen von Orion und Jupyter Notebook in Kombination mit einem MDR-Dienst machen Unternehmen mit SOC- / Bedrohungsjagdteams, die eine Fusion von Produkten und Diensten wünschen, noch attraktiver.
Das Adaptive Defense 360-Paket von Panda Security bietet ein gutes Preis-Leistungs-Verhältnis und umfassende Funktionen. Außerdem sind die beiden verwalteten Dienste Bestandteil des Produkts.

Vorsichtshinweise

Cytomic- und Orion-Produkte wurden erst kürzlich zum Zeitpunkt des Schreibens auf den Markt gebracht und werden nur ausgewählten Kunden angeboten.
Die Multifaktorauthentifizierung für die Konsole ist auf den Authentifizierungsdienst von Google beschränkt.
Die Integration mit anderen Tools und Diensten ist begrenzt, der Export nach SIEM wird jedoch unterstützt.
Globale Präsenz ist ein Ziel von Panda Security. Die derzeit installierte Basis ist jedoch außerhalb der EMEA-Region begrenzt und besteht in der Regel aus kleinen und mittleren Unternehmen.
Die Panda EDR-Funktion ohne Cytomic ist im Vergleich zu anderen Tools, die nicht mit dem MDR-Service verbunden sind, eine sehr unkomplizierte Benutzeroberfläche. Dem Administrator zur Verfügung gestellte Dienste, z. B. die Standardisierung, sind begrenzt. Die Abhängigkeit von Jupyter-Notebooks ist ein einzigartiges Merkmal, das die Flexibilität und Benutzerfreundlichkeit des Orion-Produkts verbessern kann, jedoch Schulungen für Anfänger erfordert.

SentinelOne

SentinelOne ist Teil der neuen Welle privater EPP-Lösungsanbieter, die in den letzten Jahren rasant gewachsen ist. Die Lösung basiert auf einem EDR-Agenten, der Verhaltensschutz bietet und sowohl lokal als auch in der Cloud verwaltet wird. SentinelOne bietet über sein Vigilance-Angebot einen MDR-Service an.

Die Schutz- und Erkennungslogik von SentinelOne befindet sich auf dem Endpoint Agent, und der Fokus der Lösung liegt auf der Bereitstellung umsetzbarer Erkenntnisse, ohne dass eine manuelle Analyse erforderlich ist. SentinelOne war einer der ersten Anbieter, der eine Ransomware-Schutzgarantie auf der Grundlage seiner Funktionen zur Verhaltenserkennung und zum Aufzeichnen von Dateien anbot.

SentinelOne eignet sich für Unternehmen, die vorhandene EPP-Lösungen mit Erkennungsfunktionen erweitern oder eine ältere EPP-Lösung durch einen neueren Ansatz für die Endpunktsicherheit ersetzen möchten.

Stärken

Das Single-Agent-Design von SentinelOne bietet vollständig integrierte Anti-Malware- und EDR-Funktionen für Dateien und Verhalten. Empfohlene Korrekturmaßnahmen sind sehr klar und präzise und können über die Verwaltungskonsole ausgeführt werden.
Die Agentenleistung ist sehr gut, insbesondere da die Agenten den größten Teil der Korrelation auf dem Endpunkt ausführen.
Die Schwachstellenüberprüfung wird mit dem Status der Endpunkte im Haupt-Dashboard bereitgestellt. SentinelOne unterstützt die Erkennung von nicht verwalteten endpunktbasierten Netzwerkscans, einschließlich IoT-Geräten. Erkannte Geräte werden auch mit allgemeinen Informationen zu Schwachstellen und Gefährdungen (CVE) für die Schwachstellenanalyse verknüpft.
Der „wahre Kontext“ von SentinelOne bietet Echtzeit-Sichtbarkeit der Endpunkte für Nachforschungen. Es unterstützt auch die automatisierte Erfassung von Bedrohungsdaten.
SentinelOne unterstützt die Endpunkt-Rollback-Funktionalität, indem es die Schattenkopie nutzt, um eine Datei in einen zuvor als funktionierend bekannten Zustand zu versetzen.

Vorsichtshinweise

Die Marktpräsenz von SentinelOne liegt hauptsächlich in Nordamerika und EMEA.
Der Anbieter nimmt nicht an regelmäßigen Malware-Präventionstests teil, obwohl er am MITRE ATT & CK-Test und am NSS Labs-Test teilnimmt.
SentinelOne bietet weder eine Whitelist für Anwendungen noch Sandboxing für die Analyse verdächtiger Dateien (lokal, Netzwerk oder Cloud).
SentinelOne bietet zwar eine breite Plattformunterstützung, unterstützt jedoch aufgrund von Einschränkungen des Betriebssystems kein Rollback unter Linux und Mac.
Die Workflow-Funktionen für große Teams sind begrenzt. Das EDR-Tool bietet nur wenige Anleitungen oder globale Kontextinformationen. Watchlist-Alerts sind auf mindestens drei Stunden zwischen zwei Läufen begrenzt und daher nicht in Echtzeit.

Sophos

Sophos bietet eine große integrierte Suite von Sicherheitslösungen, die Endpoint-, Mobil-, Netzwerk-, E-Mail-, Public Cloud-, Web- und verwaltete Erkennung und Reaktion umfassen. Das Flaggschiff des Unternehmens im EPP-Bereich, Intercept X, hat Sophos über seine SMB-Wurzeln hinaus befördert und den Bekanntheitsgrad in Unternehmensorganisationen gesteigert.

Im November 2018 stieg Sophos mit Intercept X Advanced in den EDR-Markt ein. Intercept X nutzt maschinelles Lernen aus seinen Invincea- und SurfRight-Akquisitionen und organisch entwickelten Funktionen. Im Januar 2019 erwarb das Unternehmen DarkBytes, ein auf Endpoint Forensics spezialisiertes Startup, um erweiterte EDR-Funktionen bereitzustellen. DarkBytes ist jetzt ein grundlegendes Element der verwalteten Erkennungs- und Antwortdienste von Sophos.

Stärken

Intercept X-Clients vertrauen nicht nur auf den Schutz vor den meisten Ransomwares, sondern auch auf die Möglichkeit, die durch einen Ransomware-Prozess vorgenommenen Änderungen rückgängig zu machen, der sich dem Schutz entzieht.
Die Analyseausgabe von Intercept X-Deep-Learning-Algorithmen ist leicht verfügbar, für Benutzer visuell ansprechend und bietet Kunden eine nachweisbare Möglichkeit, ihre Verwendung von Deep-Learning zu validieren.
Die Funktionen zur Exploit-Prävention konzentrieren sich auf die Tools, Techniken und Verfahren, die bei vielen modernen Angriffen üblich sind.
Die Cloud-basierte Administrationskonsole von Sophos Central verwaltet andere Aspekte der Sicherheitsplattform des Anbieters von einer einzigen Konsole aus, einschließlich Festplattenverschlüsselung, Serverschutz, Firewall und E-Mail-Gateways.
Intercept X bietet einen einfachen Workflow für die Fallverwaltung und Ermittlung verdächtiger oder böswilliger Ereignisse.

Vorsichtshinweise

Intercept X Threat Cause Analysis ist nicht für Clients verfügbar, die die lokale Version von Sophos Endpoint Protection verwenden. Sophos konzentriert sich absichtlich auf Sophos Central als primäres Angebot, und Sophos Kunden sollten damit rechnen, dass es den größten Teil der Entwicklungsanstrengungen erhält.
Kunden sollten die Intercept X EDR-Funktionen in der Sophos Linux Edition untersuchen und feststellen, ob sie ihren Anforderungen aus Sicht der Feature-Parität entsprechen.
Der Intercept X EDR-Workflow bietet grundlegende Funktionen für die Zusammenarbeit. Die Kunden müssen jedoch untersuchen, ob ihr aktuelles Angebot eine erweiterte Zusammenarbeit zwischen Incident-Response-Teams bietet.
Der forensische Intercept X EDR-Volljournal-Snapshot wird auf dem Endpunkt gespeichert, sodass er manipulationsanfällig und schwer abfragbar ist. Erweiterte Jagd- und benutzerdefinierte Erkennungsregeln erfordern Forensic Console. Die forensische Konsolenfunktion aus der DarkBytes-Erfassung ist noch nicht in die Sophos Central-Verwaltungskonsole oder die lokale Konsole integriert und muss separat mit einem separaten Agenten bereitgestellt werden. (Ein integrierter Agent ist jetzt im Frühstadium des Zugriffs und wird voraussichtlich im September vollständig verfügbar sein.)
Einige Kunden berichten, dass Agenteninstallationen und Softwareupdates an Orten mit geringer Bandbreite problematisch sein können.

Symantec

Symantec ist ein Branchenveteran und nach wie vor die führende Wettbewerbsbedrohung, die von anderen Anbietern in dieser Studie genannt wird. Broadcom, ein globaler Halbleiteranbieter, gab am 8. August 2019 eine Vereinbarung zum Erwerb des Enterprise-Security-Geschäfts von Symantec bekannt.

Symantec hat Complete Endpoint Defense mit Cloud-verwaltetem EDR und Funktionen zur Reduzierung der Angriffsfläche von Symantec Endpoint Protection 15 (SEP 15) auf den Markt gebracht, die alle über einen einzigen Agenten bereitgestellt werden. Symantec EDR hat den größten EDR-Marktanteil unter den traditionellen Anbietern. Im Jahr 2018 hat Symantec eine Reihe von Akquisitionen getätigt, darunter Javelin Networks zum Schutz von Active Directory, Appthority zum Testen mobiler Anwendungen und einen Katalog bekannter mobiler Anwendungen sowie Luminate Security, das den sicheren Remotezugriff auf Rechenzentrumsanwendungen ermöglicht.

Die strategische Ausrichtung von Symantec besteht darin, eine ICD-Plattform (Integrated Cyber Defense) bereitzustellen, um das breitere Portfolio an Sicherheitsprodukten (einschließlich DLP, Web Security Service [WSS] und CASB) mit einer konsolidierten Agenten-, Daten- und Berichtsplattform zur Überwachung und Reaktion auf Vorfälle zu vereinen ( ICD Manager).

Symantec ist nach wie vor ein solider Wettbewerber und für die meisten Unternehmen eine gute Wahl.

Stärken

Symantec hat mit der Einführung der neuesten Produktaktualisierungen, einschließlich SEP 15 und EDR, eine Cloud-basierte Konsole eingeführt, die mit der lokalen Verwaltungskonsole identisch ist und Hybrid-Szenarien ausführen kann.
Complete Endpoint Defense führt neue Funktionen ein, z. B. „Deception Breadcrumbs“, um die Erkennung aktiver Angreifer zu verbessern, Whitelisting-Funktionen für Anwendungen, Erkennung und Behebung von Sicherheitslücken sowie ein VPN. SEP 15 führte auch eine automatisierte Lagebeurteilung ein, einschließlich Schwachstellenmanagement und Korrekturtechnologie.
Symantec EDR ist ein leistungsfähiges EDR-Tool mit umfangreichen APIs zur Integration und Automatisierung mit anderen Sicherheits- und Systemverwaltungstools.
Symantec bietet eine sehr umfassende Endpoint Security-Lösung, Symantec Complete Endpoint Defense (CED), die verschiedene Bereiche abdeckt, darunter Anti-Malware, EDR, App-Isolation, App-Kontrolle, Active Directory-Schutz und Cloud Connect-Schutz für PC, Mac, Linux und Mobilgeräte Geräte. Symantec bietet auch Schwachstellenbehebung und Endpoint-Management, mobile Sicherheit (SEP Mobile) und einen verwalteten EDR-Service.
Durch die umfassende Bereitstellung von Symantec über eine sehr große Anzahl von Endpunkten sowohl für Privatanwender als auch für Unternehmen hinweg erhält Symantec einen umfassenden Überblick über die Bedrohungslandschaft in vielen Branchen.

Vorsichtshinweise

Die Akquisition von Broadcom wurde in dieser Analyse nicht berücksichtigt, da die Akquisition nicht abgeschlossen wurde. Die Übernahme durch Broadcom führt zu einer gewissen Unsicherheit bei der Ausführung von Symantec. Die Ziele von Broadcom stimmen möglicherweise nicht mit den Wünschen der Symantec-Kunden nach den Produkten überein.
Symantecs hat in den letzten Jahren zahlreiche Veränderungen in der Geschäftsführung erfahren, einschließlich des kürzlich erfolgten Ausscheidens seines CEO und des Austauschs mehrerer wichtiger Manager. Symantec hat nach und nach Marktanteile verloren, da der Markt wettbewerbsfähiger geworden ist, und es hat seinen ersten Marktanteil durch Sitzlizenzen an Microsoft verloren.
Obwohl Symantec erhebliche Investitionen in die Integration seiner verschiedenen Produkte in eine zusammenhängendere Middleware-Plattform namens Symantec Integrated Cyber Defense Exchange (ICDx) getätigt hat, fehlt es noch an einer universellen Umgebung für die Reaktion auf Vorfälle. Symantec bietet jedoch eine Vielzahl von APIs für die Integration mit anderen Sicherheitstools.
In Symantec EDR fehlen erweiterte Funktionen für große Unternehmenskunden, z. B. der Workflow für die Fallverwaltung, die Remote-Shell-Antwortfunktion (aufgrund von 1Q20) und die Funktionen zum schnellen Verschieben von Abfragen zu Abfragen. EDR bietet keine Blockierungsregeln, obwohl automatisierte Aktionen für bestimmte Erkennungen per Skript ausgeführt werden können. Auf der Benutzeroberfläche fehlen geführte Untersuchungstipps oder kontextbezogene Informationen, was die Verwendung für Mainstream-Käufer erschwert. EDR und SEP sind unterschiedliche Managementkonsolen.
Die Cloud-Konsole für SEP 15 ist relativ neu, und obwohl Symantec angibt, dass 55% der Kunden die Cloud verwenden, verwendet die überwiegende Mehrheit die Cloud-Konsole für SEP 15 nicht. SEP Cloud ist nicht FedRAMP-zertifiziert.

Trend Micro

Trend Micro hat kürzlich seine Suite von Endpoint Protection-Produkten überarbeitet und mit Apex One eine kombinierte EPP / EDR-Lösung für Endpunkte als Upgrade für OfficeScan eingeführt. Apex One verbessert die Erkennung fileless Malware und die EDR-Funktionalität. Gleichzeitig hat Trend auch seine Cloud-Management-Funktionen erweitert und erreicht nun eine Feature-Parität über SaaS und vor Ort. Dies beinhaltet jetzt eine vollständig in der Cloud gehostete Sandbox-Lösung.

Trend Micro bietet auch zwei Ebenen verwalteter MDR-Dienste an und hat sein MSP-Netzwerk erweitert.

Trend Micro war einer der ersten Anbieter, der die Unterschiede bei den Serverschutzstrategien erkannte und eine spezielle Produktlinie namens Deep Security für den Serverschutz entwickelte.

Stärken

Apex One behält die Schwachstellenanalyse- und Virtual Patching-Technologie bei und fügt Erkennungsklassifizierungen hinzu, die auf den MITRE ATT & CK-Matrizen, automatisierten Antwortoptionen und neuen Optionen zur Bedrohungssuche für Organisationen mit proaktiven Jagdteams basieren.
Deep Security für Server ist speziell auf Server-Workloads zugeschnitten, einschließlich virtualisierter Workloads und Container. Trend ist der einzige Anbieter in dieser Analyse, der laaS-Marktverbrauchsmodelle für Burstable Workloads anbietet.
Das Schwachstellenmanagement umfasst Priorisierungsleitfäden, die mit virtuellen Patches verknüpft sind, um die neuesten Bedrohungen zu minimieren, bevor herkömmliche Patches verfügbar werden, mit geringer Auswirkung oder geringem Risiko für den Endpunkt.
Die geografische Präsenz in allen globalen Regionen ist eine Stärke, und Trend verfügt in den meisten Regionen auch über umfassende Partner- und Managed-Service-Fähigkeiten. Regionales Hosting erfüllt lokale / behördliche Anforderungen. Es bietet auch mehr Lokalisierungsunterstützung und Unterstützung für Doppelbyte-Zeichensätze als andere Anbieter.
Umfassende Betriebssystemunterstützung wird sowohl in den neuesten Server- als auch in den Endpoint-Produkten bereitgestellt, mit einer ungewöhnlichen Fähigkeit, ältere und nicht unterstützte Betriebssysteme für Kunden mit älteren Systemen zu schützen.

Vorsichtshinweise

Die EDR-Funktionen sind eingeschränkter als bei einigen der in dieser Klasse führenden Produkte. Bemerkenswerte Auslassungen sind umfangreiche Korrekturoptionen, erweiterte Bedrohungssuche, anpassbare Verhaltensregeln und Warnungen sowie der Workflow. Bei einer auf den Mittelstand ausgerichteten Lösung ist die Untersuchungsmöglichkeit kompliziert.
Trend hat die vom Betriebssystem bereitgestellten AMSI-Erkennungsmodule (Antimalware Scan Interface) und andere Windows 10-spezifische Sicherheitsverbesserungen nicht vollständig genutzt. Dies ist für 2H19 geplant.
Server und Endpunkte verwenden unterschiedliche Verwaltungskonsolen, obwohl beide an Apex Central berichten.
Trendkunden, die auf Apex One migrieren möchten, müssen ihren lokalen Verwaltungsserver aktualisieren oder auf den Cloud-Verwaltungsdienst migrieren. Kunden mit älteren unbefristeten Lizenzen müssen für das Upgrade auf Cloud Management bezahlen.

Anbieter hinzugefügt und gelöscht

Wir überprüfen und passen unsere Einschlusskriterien für Magic Quadrants an, wenn sich die Märkte ändern. Infolge dieser Anpassungen kann sich die Mischung der Anbieter in einem beliebigen Magic Quadrant im Laufe der Zeit ändern. Das Auftreten eines Anbieters in einem Magic Quadrant in einem Jahr und nicht im nächsten Jahr bedeutet nicht unbedingt, dass wir unsere Meinung zu diesem Anbieter geändert haben. Dies kann auf eine Veränderung des Marktes und damit auf geänderte Bewertungskriterien oder auf einen Fokuswechsel dieses Anbieters zurückzuführen sein.

Hinzugefügt

Check Point Software Technologies wurde in diesem Jahr aufgrund geänderter Einschlusskriterien hinzugefügt.

Fallen gelassen

Endgame und Comodo erfüllten nicht die Mindestkriterien für die Aufnahme von Unternehmenslizenzen.

Einschluss und Ausschluss Kriterien

Die Gartner-Methoden beschränken die Anzahl der Anbieter in einem Magic Quadrant auf 20 Anbieter. In den meisten Märkten ist dies eine vernünftige Einschränkung. Auf dem EPP-Markt gibt es jedoch mehr als 30 glaubwürdige Anbieter. Wir haben die Einschlusskriterien in diesem Jahr geändert, um kleinere Anbieter auszuschließen.

Die Aufnahme in diesen Magic Quadrant war auf Anbieter beschränkt, die diese Mindestkriterien erfüllten:

Der nicht konsumentenbezogene EPP des Anbieters muss innerhalb von 12 Monaten vor dem 30. Juni 2019 an unabhängigen, bekannten öffentlichen Tests auf Genauigkeit und Wirksamkeit teilgenommen haben oder ein aktueller Teilnehmer an der öffentlichen VirusTotal-Benutzeroberfläche sein. Beispiele hierfür sind MITRE ATT- und CK-Evaluierungen, Virus Bulletin, AV-TEST, AV-Comparatives, NSS Labs und SE Labs.
Der Anbieter muss über mindestens 4,5 Millionen bereitgestellte Lizenzen verfügen, um Endpunkte zu schützen, die keine Benutzer sind.

Anerkennungen

Gartner befragte 24 Anbieter für diese Analyse, und es war schwierig, die Liste auf 20 Anbieter zu reduzieren. Die folgenden Anbieter bieten wettbewerbsfähige Produkte auf diesem Markt mit einzigartigen Eigenschaften und Fähigkeiten an, die Kunden möglicherweise als wertvoll erachten, die jedoch nicht alle Einschlusskriterien erfüllten.

Cybereason

Cybereason gehört zu den neuen Anbietern auf dem EDR-Markt, die EPP-Funktionen hinzugefügt haben. Das Hauptunterscheidungsmerkmal ist die maschinenübergreifende Korrelations-Engine, die Alarme von allen betroffenen Endpunkten automatisch zu einem einzigen Alarm für die automatische Erkennung von Bedrohungen kombiniert und es Bedrohungsjägern ermöglicht, Angriffe auf mehrere Geräte zu planen. Es vereinfacht die Suche nach Bedrohungen mit einer syntaxfreien Benutzeroberfläche. Cybereason bietet eine umfassende EPP-Lösung, die sowohl auf Definitionen als auch auf maschinellem Lernen basiert. Derselbe einzelne Agent bietet auch EDR-Funktionen mit Skriptsteuerung, Verhaltensanalyse und Täuschungstechniken. Cybereason hat sowohl die Sichtbarkeit als auch die Erkennungsfunktionen erheblich verbessert, wobei der Schwerpunkt auf dem MITRE ATT & CK Framework liegt. Das Unternehmen bietet lokale, Cloud- und Managed-Service-Angebote.

Comodo

Die von Comodo in der Cloud verwalteten EPP-Produktunterscheidungsmerkmale umfassen eine 100% -Dateibestätigungsfunktion, die alle unbekannten Dateien auflöst, und die Fähigkeit, unbekannte oder riskante Anwendungen in einem softwarebasierten isolierten Container auszuführen. Comodo bietet auch ein ausgereiftes EDR-Produkt an. Zu den jüngsten Verbesserungen gehören: Verstärkte Sicherheitsrichtlinien für dateilose Angriffe; verbesserte HIPS; Regeloptimierung zur Reduzierung von Fehlalarmen; Erkennung von Diebstahl von Ausweisen; und verbesserte Agentenleistung. Comodo bietet auch Verwundbarkeits- und Patch-Management sowie ein Netzwerk von in der Cloud bereitgestellten Sandboxen für die Dateianalyse. Leider erfüllte es nicht das Einschlusskriterium für die Marktpräsenz, das einen Mindestschwellenwert von 4,5 Millionen zentral verwalteten (ohne Verbraucher) Lizenzinstanzen erforderte.

Endspiel

Endgame gehört zu den neuen Anbietern auf dem EDR-Markt, die EPP-Funktionen hinzugefügt haben. Das Hauptunterscheidungsmerkmal ist die Benutzerfreundlichkeit und die guten Ergebnisse von Wirksamkeitstests in mehreren großen Labors. Endgame bietet eine Single-Agent-Architektur und verfügt über Feature-Paritäten für Windows, MacOS und Linux. Endgames EDR bietet nicht nur die volle Ereignisgenauigkeit, sondern auch die Möglichkeit, Exploits durch gezielte Reaktionsmaßnahmen zu beheben, um Schäden am System rückgängig zu machen. Zu den jüngsten Verbesserungen gehören: Reflex, eine autonome Verhaltenserkennungs-Engine, und Artemis 3.0, ein Chatbot, der Sicherheitsadministratoren eine Oberfläche in natürlicher Sprache für die Jagd sowie für geführte Nachforschungen und Korrekturen bietet. Endgame bietet auch Instrumente zur detaillierten Prüfung von PowerShell und anderen Skripten. Leider erfüllte es nicht das Einschlusskriterium für die Marktpräsenz.

enSilo

Die enSilo Endpoint Security Platform bietet sowohl EPP als auch EDR in einem einzigen, kompakten Agenten. enSilo bietet automatische EDR-Reaktions- und Schwachstellen-Patching-Funktionen, einschließlich virtuellem Patching für die neuesten Bedrohungen. Zu den herausragenden Merkmalen der enSilo-Lösung zählen patentierte Technologien zur Erkennung von Code-Tracing-Exfiltrationen und zur Verhinderung von Ransomware. Der Anbieter verfügt über automatisierte Wiedergabebücher für Vorfälle mit Aktionen, die auf verschiedenen Endpunkttypen und Betriebssystemen ausgeführt werden können. enSilo bietet vollständige Unterstützung für Windows Linux und OSX und bietet umfassende Unterstützung für ältere und ältere Betriebssystemversionen. enSilo entwickelt Lösungen für Container und serverlose Workloads. Die Plattform kann entweder in der Cloud oder lokal bereitgestellt werden. Schutz und Erkennung erfolgen auf dem Endpunkt, nicht in der Cloud. Das macht es zu einer guten Wahl für nicht verbundene Endpunkte. Leider erfüllte es nicht das Einschlusskriterium für die Marktpräsenz, das einen Mindestschwellenwert von 4,5 Millionen zentral verwalteten (ohne Verbraucher) Lizenzinstanzen erforderte.

Evaluationskriterien

Fähigkeit zur Umsetzung

Die wichtigsten Kriterien für die Fähigkeit zur Ausführung, anhand derer Anbieter bewertet wurden, waren Produkt oder Dienstleistung, Gesamtlebensfähigkeit und Marktreaktivität / -aufzeichnung. Die folgenden Kriterien wurden für ihre Beiträge zur vertikalen Dimension des magischen Quadranten bewertet:

Produkt oder Dienstleistung: Wir haben die Konvergenz von EPP- und EDR-Produkten, die Cloud-Bereitstellung und die Fusion von Managed Services mit dem Produkt bewertet. Wir bewerteten auch die Fähigkeit des Anbieters, seinen Kunden und Lizenzmodellen wie unbefristete Lizenzen oder Abonnements zeitnahe Verbesserungen anzubieten.
Gesamtüberlebensfähigkeit: Dies beinhaltet eine Bewertung der finanziellen Ressourcen des gesamten Unternehmens, moderiert durch die strategische Ausrichtung des EPP-Geschäfts für das Gesamtunternehmen.
Verkaufsabwicklung: Wir haben die Wachstumsrate des Anbieters in Bezug auf lizenzierte Arbeitsplätze im Verhältnis zur Größe der Organisation und der installierten Basis bewertet.
Marktreaktivität / -rekord: Wir haben Anbieter anhand ihres Marktanteils an der Gesamtzahl der lizenzierten Kundenplätze bewertet.
Marketing Execution: Wir bewerteten die Umsetzung von Marketinginitiativen durch Anbieter wie Interaktionen in sozialen Medien, frische Marketingbotschaften, Vertretung auf Messen, Teilnahme an Produkttests und Presse, was zu einer differenzierten Markenbekanntheit führte.
Kundenerfahrung: Wir bewerteten Anbieter anhand der Zufriedenheitswerte von Referenzkunden, die uns in einer Online-Umfrage gemeldet wurden, sowie anhand von Daten, die im Verlauf von über 2.100 Endpoint-Security-bezogenen Gartner-Kundeninteraktionen gesammelt wurden, und anhand von Gartner Peer Insights.
Betrieb: Wir haben die Ressourcen der Anbieter für Malware-Forschung und Produktentwicklung sowie die Erfahrung und den Fokus des Führungsteams bewertet.

Tabelle 1 : Fähigkeit zur Durchführung von Bewertungskriterien

Evaluationskriterien	Gewichtung
Produkt oder Dienstleistung	Hoch
Gesamtüberlebensfähigkeit	Hoch
Verkaufsabwicklung / Preisgestaltung	Mittel
Marktreaktivität / Rekord	Hoch
Marketing Execution	Mittel
Kundenerfahrung	Hoch
Operationen	Mittel

Quelle: Gartner (August 2019)

Vollständigkeit der Vision

Die Hauptkriterien für die Vollständigkeit der Vision in dieser Analyse waren das Marktverständnis und die Bewertung der (Produkt-) Strategie:

Marktverständnis: Hier wird beschrieben, inwieweit Anbieter die aktuellen und zukünftigen Kundenanforderungen verstehen und über eine zeitnahe Roadmap verfügen, um diese Funktionalität bereitzustellen.
Marketingstrategie: Dies bezieht sich auf eine klare, differenzierte Reihe von Botschaften, die im gesamten Unternehmen konsistent kommuniziert und über die Website, Werbung, Kundenprogramme und Positionierungserklärungen nach außen verbreitet werden.
Angebots- (Produkt-) Strategie: Bei der Bewertung des Produktangebots von Anbietern haben wir nach einem Ansatz für die Produktentwicklung und -lieferung gesucht, bei dem Differenzierung, Funktionalität, Methodik und Merkmale des Marktes im Vordergrund stehen, da sie aktuellen und zukünftigen Anforderungen entsprechen. Diese beinhalten:
- Verwaltungsfunktionen: Hierbei handelt es sich um die Bereitstellung einer zentralisierten, rollenzentrierten Konsole oder eines Dashboards, die die Echtzeitsichtbarkeit des Endpunktsicherheitsstatus eines Unternehmens verbessert. Es bietet klar priorisierte Warnungen und Warnungen sowie intuitive Administrations-Workflows. Anbietern, die ein Cloud-First-Modell mit Feature-Parität für eine lokale Verwaltungsplattform bereitgestellt haben, wird ein zusätzlicher Kredit gewährt.
- Härten: Dies bezieht sich auf die Fähigkeit, unerwünschte Netzwerkagenten zu erkennen, auf denen der EPP-Agent nicht über einen Netzwerkscan installiert ist. Hinweise zur Verwundbarkeit und Konfiguration zur Reduzierung der Angriffsfläche; sowie die Möglichkeit, die Anwendung zu steuern und die Konfiguration des EPP-Produkts zu vereinfachen.
- Vorfallverhütungsfunktionen: Wir haben die Testergebnisse von Anbietern ausgewertet, um häufige dateibasierte Angriffe zu erkennen, und haben die begeisterte und beständige Teilnahme an Tests besonders gewürdigt.
- Erkennung und Fehlerbehebung: Wir suchen nach Anbietern, die Kunden eine fundierte Anleitung zur Untersuchung von Vorfällen, zur Behebung von Malware-Infektionen und zur Analyse der Ursachen bieten. Lieferanten, die sich darauf konzentrieren, die Wissens- und Kompetenzbarrieren durch geführte Reaktionstools und einfach zu verstehende und zu verwendende Benutzeroberflächen zu verringern, werden hier besonders gewürdigt.
- Unterstützte Plattformen: Mehrere Anbieter konzentrieren sich ausschließlich auf Windows-Endpunkte. Die fortschrittlichen Lösungen unterstützen jedoch auch macOS mit nahezu gleichen Funktionen wie beide Clients, insbesondere im Bereich der Aktivitäts- und Ereignisüberwachung von EDR.
- Produkt- und Servicefusion: Wir haben die Palette der Direktservices von Anbietern evaluiert, um EDR-Bereitstellungen und die Reaktion auf Vorfälle zu unterstützen, von der Lichtüberwachung über die vollständig verwaltete Erkennung und Reaktion bis hin zu Einsatzkräften vor Ort.
Innovation: Wir haben die Reaktionen der Anbieter auf die sich ändernden Kundenanforderungen ausgewertet. Wir haben berücksichtigt, wie Anbieter auf neue Bedrohungen reagierten, in Forschung und Entwicklung investierten und / oder eine gezielte Akquisitionsstrategie verfolgten.
Geografische Strategie: Wir haben die Fähigkeit jedes Anbieters zur Unterstützung globaler Kunden, einschließlich der Lokalisierung, sowie die Anzahl der unterstützten Sprachen bewertet.

Tabelle 2 : Vollständigkeit der Kriterien zur Bewertung des Sehvermögens

Evaluationskriterien	Gewichtung
Marktverständnis	Hoch
Vermarktungsstrategie	Niedrig
Verkaufsstrategie	Nicht bewertet
Angebots- (Produkt-) Strategie	Hoch
Geschäftsmodell	Nicht bewertet
Vertikal- / Branchenstrategie	Nicht bewertet
Innovation	Mittel
Geografische Strategie	Niedrig

Quelle: Gartner (August 2019)

Quadrantenbeschreibungen

Führer

Führungskräfte zeigen ausgewogene und beständige Fortschritte und Anstrengungen in allen Ausführungs- und Sichtkategorien. Sie verfügen über umfassende Funktionen für den erweiterten Schutz vor Malware und bewährte Verwaltungsfunktionen für Großunternehmenskonten. Ein führender Anbieter ist jedoch nicht für jeden Käufer eine Standardauswahl, und Kunden sollten nicht davon ausgehen, dass sie nur von Anbietern im Leaders-Quadranten kaufen müssen. Einige Kunden sind der Meinung, dass Führungskräfte ihre Bemühungen zu wenig ausbreiten und die besonderen Bedürfnisse der Kunden nicht verfolgen. Führungskräfte sind in der Regel vorsichtiger und reagieren nur allmählich auf den Markt, wenn Visionäre den Status Quo in Frage stellen.

Herausforderer

Challenger verfügen über solide Anti-Malware-Produkte sowie solide Erkennungs- und Reaktionsfunktionen, die den Sicherheitsanforderungen des Massenmarkts gerecht werden. Sie haben auch einen höheren Umsatz und eine höhere Sichtbarkeit, was zu einer höheren Ausführung führt als das Angebot von Nischen-Spielern. Die Herausforderer kommen häufig zu spät mit neuen Fähigkeiten, es fehlen einige fortgeschrittene Fähigkeiten oder es fehlt eine vollständig konvergierte Strategie, die sich im Vergleich zu den Führenden auf ihre Vollständigkeit der Vision auswirkt. Sie sind solide, effiziente und zweckmäßige Entscheidungen.

Visionäre

Visionäre bieten führende Funktionen wie Cloud-Management, verwaltete Funktionen und Dienste, verbesserte Erkennungs- oder Schutzfunktionen und Workflows zur Reaktion auf Vorfälle, die für die nächste Produktgeneration von Bedeutung sind und Käufern einen frühen Zugang zu verbesserten Funktionen ermöglichen Sicherheit und Management. Visionäre können den Verlauf der technologischen Entwicklungen auf dem Markt beeinflussen, haben jedoch noch keine konsequente Umsetzung bewiesen und müssen noch erhebliche Marktanteile hinzugewinnen. Kunden wählen Visionäre für die besten Funktionen.

Nischen-Spieler

Nischen-Player bieten solide Anti-Malware-Lösungen und grundlegende EDR-Funktionen, sind jedoch in Bezug auf Features und Funktionen selten führend. Einige sind Nischen, weil sie eine bestimmte geografische Region oder Kundengröße bedienen, während andere sich darauf konzentrieren, eine bestimmte Methode oder Kombination von Schutzfunktionen zu optimieren. Nischenspieler können eine gute Wahl für konservative Organisationen in unterstützten Regionen sein oder für Organisationen, die eine Erweiterung einer bestehenden EVP für einen „Tiefenverteidigungs“ -Ansatz bereitstellen möchten.

Kontext

Der Endpoint Protection-Markt befindet sich in den letzten 20 Jahren in der größten Transformation. Bei dieser Transformation spielen drei disruptive Trends eine Rolle:

Es hat eine Verlagerung von Client / Server-Architekturen zu agileren Cloud-nativen Lösungen und Diensten gegeben (siehe „Innovation Insight für Cloud Endpoint Protection-Plattformen“ ).
Das Scheitern traditioneller Ansätze bei der Bekämpfung des Volumens portabler, ausführbarer dateibasierter Angriffe und die Verlagerung auf dateifreie Angriffe haben den Markt für neue Ansätze wie maschinelles Lernen und Verhaltenserkennung geöffnet.
Das Sicherheitsdenken hat sich dahingehend gewandelt, dass Prävention allein nicht ausreicht. Sicherheits- und Risikomanagement-Verantwortliche müssen in der Lage sein, Endpunkte einfacher abzusichern und detaillierter auf Vorfälle zu reagieren, um Warnungen zu beheben.

Infolgedessen müssen die für den Endpoint-Schutz verantwortlichen Sicherheits- und Risikomanagement-Verantwortlichen ihre Endpoint-Schutzlösungen neu bewerten und Pläne für die Bewältigung der sich wandelnden Marktlandschaft aufstellen.

Insbesondere für die Sicherheit von Netzwerken und Endpunkten verantwortliche Sicherheits- und Risikomanagement-Verantwortliche sollten:

Evaluieren Sie Cloud-gelieferte Lösungen und suchen Sie nach einer wirklich elastischen und agilen Cloud-nativen Architektur.
Bevorzugen Sie Lösungen, die von einer Reihe von vom Anbieter bereitgestellten Serviceoptionen unterstützt werden, z. B. Unterstützung bei der Reaktion auf Vorfälle und verwaltete Erkennungs- und Reaktionsdienste.
Suchen Sie nach voll integrierten EPP-Lösungen mit EDR-Funktionen, die denselben Erkennungstrichter, dasselbe Datenrepository, dieselbe Verwaltungskonsole und denselben Agenten verwenden.
Stellen Sie sicher, dass die EPP-Erkennungsfunktionen modernere Verhaltensansätze umfassen, die sich sofort anpassen, um neue Angriffstechniken zu erkennen oder zu blockieren.
Bevorzugen Sie Anbieter, die dazu beitragen können, den Endpunkt vor Angriffen zu schützen, die auf Sicherheitslücken und häufige Fehlkonfigurationen abzielen.

Marktübersicht

Das schnelle Wachstum von häufigen Disruptive Attacken wie Ransomware und die Migration von hartnäckigeren Angreifern auf fileless-Techniken in Verbindung mit dem zunehmenden Mangel an Sicherheitskompetenzen hat ein neues Zeitalter für Endpoint-Sicherheitslösungen eingeläutet.

Die störendste Änderung ist die Umstellung von LAN-verwalteten Endpoint-Sicherheitslösungen auf Cloud-Lösungen. Von der Cloud bereitgestellte Produkte reduzieren den Wartungsaufwand für EPP-Lösungen, insbesondere die wichtige Aufgabe, die neuesten Releases zu verwenden. Zu viele Kunden erleiden Sicherheitslücken, weil sie einfach nicht die Zeit haben, auf die neueste EPP-Version zu aktualisieren. Allerdings nutzen nicht alle von der Cloud bereitgestellten Lösungen die Vorteile moderner Cloud-Architekturen, um anpassungsfähige und erweiterbare Lösungen für die sich ständig ändernde Bedrohungslandschaft bereitzustellen. (Siehe „Innovation Insight für Cloud Endpoint Protection-Plattformen“. )

Die Integration von Endpunkterkennungs- und -korrekturfunktionen ist der zweitwichtigste Trend auf dem EPP-Markt. In vielen Fällen mit Lösungen, bei denen die Funktionsparität durchgängig unter einem einzigen Agenten und einer einzigen Konsole liegt. EDR bietet die Möglichkeit, kritische Vorfälle zu erkennen, zu suchen, Bedrohungen aufzuspüren und, was am wichtigsten ist, eine bessere Erkennungsfunktion, die eher auf Verhaltensmodellen als auf IOCs basiert. Das Verhalten bekannter Angreifer ist ein viel kleinerer und stabilerer Detektor für böswillige Absichten als herkömmliche IOCs (siehe „Market Guide für Endpoint Detection and Response Solutions“ ).

Der Qualifikationsbedarf von EDR-Lösungen, der durch die Qualifikationslücke in den meisten Unternehmen noch verstärkt wird, ist ein Hindernis für die Einführung von EDR auf dem Mainstream-Markt. Infolgedessen bieten Produktanbieter in zunehmendem Maße eine Fusion von Produkten und Diensten an, die von der Reaktion auf leichte Vorfälle und der Überwachung bis hin zu vollständig verwalteten Erkennungs- und Reaktionsdiensten und beratenden Vorfallsreaktionsdiensten reicht.

Schließlich wurde viel in die Endpoint-Härtung investiert. Die Lösungen bieten zunehmend Anwendungs- und Gerätekontrolle, Verwundbarkeits- und Konfigurationsmanagement, Patches und Community-Portale, in denen Administratoren und Incident-Responder Einblicke und proaktive Erkennungs- und Reaktionsregeln austauschen können.

Beweise

Das Magic Quadrant-Team stützte sich auf Daten aus den folgenden Quellen, um diese Iteration abzuschließen:

Gartner hat seit dem 24. Januar 2018 mehr als 1.500 Kundenanfragen beantwortet.
Gartner hat im dritten Quartal 18 eine Online-Umfrage unter 157 EPP-Referenzkunden durchgeführt.
Daten aus mehr als 5.000 Peer Insights-Bewertungen auf gartner.com.
Daten aus einer Umfrage mit 200 Fragen und einstündigen Demonstrationen, die von jedem Anbieter im zweiten Quartal 19 durchgeführt wurden.

Definitionen der Bewertungskriterien

Fähigkeit zur Umsetzung

Produkt / Dienstleistung: Kerngüter und Dienstleistungen, die der Anbieter für den definierten Markt anbietet. Dies umfasst aktuelle Produkt- / Servicefunktionen, Qualität, Funktionsumfang, Fähigkeiten usw., die entweder nativ oder über OEM-Vereinbarungen / -Partnerschaften angeboten werden, wie in der Marktdefinition definiert und in den Unterkriterien beschrieben.

Überlebensfähigkeit: Die Überlebensfähigkeit umfasst eine Bewertung des finanziellen Zustands der Organisation insgesamt, des finanziellen und praktischen Erfolgs der Geschäftseinheit sowie der Wahrscheinlichkeit, dass die einzelne Geschäftseinheit weiterhin in das Produkt investiert, das Produkt anbietet und den Stand der Dinge verbessert Die Kunst im Produktportfolio der Organisation.

Sales Execution / Pricing: Die Fähigkeiten des Anbieters in allen Vorverkaufsaktivitäten und die Struktur, die sie unterstützt. Dies umfasst das Deal-Management, die Preisgestaltung und Verhandlung, den Pre-Sales-Support und die allgemeine Effektivität des Vertriebskanals.

Marktreaktivität / -rekord: Fähigkeit zu reagieren, die Richtung zu ändern, flexibel zu sein und Wettbewerbserfolg zu erzielen, wenn sich Chancen entwickeln, Wettbewerber handeln, Kundenbedürfnisse sich entwickeln und sich die Marktdynamik ändert. Dieses Kriterium berücksichtigt auch die Reaktionszeit des Anbieters.

Marketing Execution: Die Klarheit, Qualität, Kreativität und Wirksamkeit von Programmen, die darauf abzielen, die Botschaft des Unternehmens zu vermitteln, den Markt zu beeinflussen, die Marke und das Geschäft zu fördern, die Bekanntheit der Produkte zu steigern und eine positive Identifikation mit dem Produkt / der Marke und der Organisation in der EU herzustellen Köpfe der Käufer. Dieser „Mind Share“ kann durch eine Kombination aus Werbung, Werbemaßnahmen, Gedankenführung, Mundpropaganda und Verkaufsaktivitäten vorangetrieben werden.

Kundenerfahrung: Beziehungen, Produkte und Dienstleistungen / Programme, die es Kunden ermöglichen, mit den bewerteten Produkten erfolgreich zu sein. Dies umfasst insbesondere die Art und Weise, wie Kunden technischen Support oder Account-Support erhalten. Dies kann auch Hilfstools, Kundensupportprogramme (und deren Qualität), Verfügbarkeit von Benutzergruppen, Vereinbarungen zum Servicelevel usw. umfassen.

Operationen: Die Fähigkeit der Organisation, ihre Ziele und Verpflichtungen zu erfüllen. Zu den Faktoren gehört die Qualität der Organisationsstruktur, einschließlich Fähigkeiten, Erfahrungen, Programmen, Systemen und anderen Hilfsmitteln, die es der Organisation ermöglichen, kontinuierlich effektiv und effizient zu arbeiten.

Vollständigkeit der Vision

Marktverständnis: Fähigkeit des Verkäufers, die Wünsche und Bedürfnisse der Käufer zu verstehen und diese in Produkte und Dienstleistungen umzusetzen. Anbieter, die ein Höchstmaß an Weitsicht zeigen, hören und verstehen die Wünsche und Bedürfnisse der Käufer und können diejenigen mit ihrer zusätzlichen Weitsicht formen oder verbessern.

Marketingstrategie: Eine klare, differenzierte Reihe von Botschaften, die im gesamten Unternehmen konsistent kommuniziert und über die Website, Werbung, Kundenprogramme und Positionierungserklärungen nach außen verbreitet werden.

Vertriebsstrategie: Die Strategie für den Verkauf von Produkten, bei der das entsprechende Netzwerk aus direkten und indirekten Vertriebs-, Marketing-, Service- und Kommunikationspartnern verwendet wird, um den Umfang und die Tiefe der Marktreichweite, der Fähigkeiten, des Fachwissens, der Technologien, der Dienstleistungen und des Kundenstamms zu erweitern.

Angebots- (Produkt-) Strategie: Der Ansatz des Anbieters bei der Produktentwicklung und -lieferung, bei dem Differenzierung, Funktionalität, Methodik und Funktionsumfang bei der Zuordnung zu aktuellen und zukünftigen Anforderungen im Vordergrund stehen.

Geschäftsmodell: Die Solidität und Logik des zugrunde liegenden Geschäftsangebots des Anbieters.

Vertikal- / Branchenstrategie: Die Strategie des Anbieters, Ressourcen, Fähigkeiten und Angebote so zu steuern, dass sie den spezifischen Anforderungen einzelner Marktsegmente, einschließlich vertikaler Märkte, entsprechen.

Innovation: Direkte, verwandte, komplementäre und synergetische Anordnung von Ressourcen, Fachwissen oder Kapital für Investitions-, Konsolidierungs-, Verteidigungs- oder Präventionszwecke.

Geografische Strategie: Die Strategie des Anbieters, Ressourcen, Fähigkeiten und Angebote so zu lenken, dass sie den spezifischen Anforderungen von Regionen außerhalb der Heimat oder der einheimischen Region entsprechen, entweder direkt oder über Partner, Kanäle und Tochtergesellschaften, die für diese Region und diesen Markt geeignet sind.

Von Peter Firstbrook , Dionisio Zumerle , Prateek Bhajanka , Lawrence Pingree und Paul Webber

© 2020 Gartner, Inc. und / oder verbundene Unternehmen. Alle Rechte vorbehalten. Gartner ist eine eingetragene Marke von Gartner, Inc. und seinen verbundenen Unternehmen. Diese Publikation darf ohne die vorherige schriftliche Genehmigung von Gartner in keiner Form reproduziert oder verbreitet werden. Es besteht aus den Meinungen der Gartner-Forschungsorganisation, die nicht als Tatsachenfeststellung ausgelegt werden sollten. Obwohl die in dieser Veröffentlichung enthaltenen Informationen aus Quellen stammen, die als zuverlässig gelten, übernimmt Gartner keine Gewähr für die Richtigkeit, Vollständigkeit oder Angemessenheit dieser Informationen. Obwohl Gartner-Research möglicherweise rechtliche und finanzielle Probleme angeht, bietet Gartner keine Rechts- oder Anlageberatung an und das Research sollte nicht als solches ausgelegt oder verwendet werden. Ihr Zugriff und Ihre Verwendung dieser Publikation unterliegenGartners Nutzungsrichtlinien . Gartner ist stolz auf seinen Ruf für Unabhängigkeit und Objektivität. Seine Forschung wird unabhängig von seiner Forschungsorganisation ohne Eingabe oder Einfluss von Dritten produziert. Weitere Informationen finden Sie unter “ Leitprinzipien für Unabhängigkeit und Objektivität „.

Kurz gesagt: Andere Lösungen sind zu komplex und schützen nicht ausreichend.

Die Lösung ist sehr einfach zu implementieren. Einfach anzuwendende Dinge haben die Tendenz sich schnell durchzusetzen. CRWD Strike ist für IT-Abteilungen kinderleicht zu implementieren. Im Gegensatz zu Zsaler ($ZS), welches das Ziel hat vorhandene Hardware-Firewalls zu ersetzen. ZS benötigt für die Einführung der Lösung „skilled IT-Engineers“. Bei CRWD reicht schon eine einfache Gruppenrichtlinie auf dem Domänencontroller des Firmenservers, die jeder Azubi im ersten Lehrjahr einrichten kann.

Wir haben es in meinem IT-Systemhaus evaluiert und sind überzeugt, dass CRWD das Potential hat, Virenscanner und sogar Next-Generation-Firewalls zu ersetzen. Aber es ist kein Muss. Die einzelnen Module von CRWD können vorhandene Lösungen auch einfach ergänzen.

Die CRWD-Lösung funktioniert seit Jahren 100%. Es gab noch nicht einen einzigen „Breach“, wo es als Schutzlösung eingesetzt wird.

Von 20 der größten Unternehmen, setzen schon 12 die Lösung ein. Die Kundenbindung liegt bei rund 99%. Wer CRWD einsetzt, bleibt bei der Lösung.

Ein weiteres Plus ist das Management des Unternehmens. Es wurde von zwei ehemaligen McAffee Manager gegründet, die frustriert waren über die schlechte Schutzleistung einschlägiger Virenscanner. Des Weiteren war das Management in der Lage den Vertrieb international auszuweiten. Zum Beispiel existiert schon ein deutscher Vertrieb und Partner-Support. Und das nach nicht mal einem Jahr seit dem Börsengang.

CRWD wird von mächtigen Kapitalgebern wie Google Capital unterstützt. Forbes bezeichnet CRWD als eines der vielversprechendsten Unternehmen.

https://www.youtube.com/watch?v=RcbSdvkSM4A

CrowdStrike als „Leader“ im Magic Quadrant für Endgeräteschutz ausgezeichnet

Besuch mich auch auf Facebook

Magic Quadrant for Endpoint Protection Platforms

Magic Quadrant für Endpoint Protection-Plattformen

Strategische Planungsannahme

Marktdefinition / Beschreibung

Magischer Quadrant

Stärken und Vorsichtsmaßnahmen des Herstellers

Bitdefender

Stärken

Vorsichtshinweise

BlackBerry Cylance

Stärken

Vorsichtshinweise

Kohlenschwarz

Stärken

Vorsichtshinweise

Check Point Software Technologies

Stärken

Vorsichtshinweise

Cisco

Stärken

Cautions

CrowdStrike

Stärken

Vorsichtshinweise

ESET

Stärken

Vorsichtshinweise

FireEye

Stärken

Vorsichtshinweise

Fortinet

Stärken

Vorsichtshinweise

F-Secure

Stärken

Vorsichtshinweise

Kaspersky

Stärken

Vorsichtshinweise

Malwarebytes

Stärken

Vorsichtshinweise

McAfee

Stärken

Vorsichtshinweise

Microsoft

Stärken

Vorsichtshinweise

Palo Alto Networks

Stärken

Vorsichtshinweise

Panda Security

Stärken

Vorsichtshinweise

SentinelOne

Stärken

Vorsichtshinweise

Sophos

Stärken

Vorsichtshinweise

Symantec

Stärken

Vorsichtshinweise

Trend Micro

Stärken

Vorsichtshinweise

Anbieter hinzugefügt und gelöscht

Hinzugefügt

Fallen gelassen

Einschluss und Ausschluss Kriterien

Anerkennungen

Evaluationskriterien

Fähigkeit zur Umsetzung

Tabelle 1 : Fähigkeit zur Durchführung von Bewertungskriterien

Vollständigkeit der Vision

Tabelle 2 : Vollständigkeit der Kriterien zur Bewertung des Sehvermögens

Quadrantenbeschreibungen

Führer