Agentenlose und agentenbasierte Sicherheit

In der Cybersicherheit ist ein „Agent“ eine spezialisierte Softwarekomponente, die auf Geräten installiert wird, um „Aktivitäten“ auszuführen, die die Sicherheit stärken.

Zu diesen Aktivitäten zählen unter anderem:

  • Sicherheitsscans und Berichterstellung
  • Systemneustarts
  • Einspielen von Softwarepatches
  • Konfigurationsänderungen
  • Allgemeine Systemüberwachung

Agenten müssen in den verschiedensten Umgebungen effektiv funktionieren können und dürfen weder ressourcenhungrig noch aufwendig zu verwalten sein.

Agentenbasierte Systeme nutzen das sogenannte Pull-Modell: Der Client agiert als zentraler Server, der Daten bei Bedarf von jedem der Agenten abruft (oder „zieht“ – daher „pull“). Agenten müssen üblicherweise in einem automatisierten Prozess auf jedem einzelnen System installiert werden. Sobald die Agenten konfiguriert sind, können sie vom zentralen Server Anfragen nach den Ergebnissen sicherheitsbezogener Aktionen oder nach Statusupdates empfangen und beantworten.

Agentenlose Sicherheit

Agentenlose Sicherheit stellt eine ähnliche Funktionalität ohne Agenten bereit. Das bedeutet, dass Sicherheitsscans und Sicherheitslücken auf Remotegeräten untersucht und überprüft werden können, ohne dass ein Agent auf dem betroffenen System installiert werden muss. Sie müssen möglicherweise Software auf einer anderen Systemschicht (wie der Netzwerkebene) installieren, um Risikokennzahlen zu erfassen, doch dazu ist kein direkter Zugriff auf den Host nötig.

Agentenlose Systeme nutzen das sogenannte Push-Modell: Die installierte Software sendet (oder „schiebt“) regelmäßig Daten an ein Remotesystem. Aufgrund der Flexibilität dieses Ansatzes eignen sich agentenlose Sicherheitslösungen besonders gut für die Überwachung des grundlegenden Sicherheitsniveaus im Netzwerk. Sie können so konfiguriert werden, dass sie die gesamte Infrastruktur scannen – auch wenn sie nicht auf jedem Subsystem installiert sind. Ein zentrales System ist aber auf jeden Fall erforderlich, um die Scans und das Einspielen von Patches zu koordinieren.

Video: Agentenbasierte und agentenlose Sicherheitssoftware im Überblick

Auf einigen Hosts mit strengeren Sicherheitsanforderungen sind agentenbasierte Systeme möglicherweise unumgänglich. Das gilt zum Beispiel für Hosts, die Finanzdaten verarbeiten, die Sie genauer im Auge behalten wollen. Indem Sie Agenten auf diesen Hostsystemen installieren, können Sie sie besser überwachen und schützen und ihr Sicherheitsniveau stärken.

Was ist besser: agentenlose oder agentenbasierte Sicherheit?

Da sowohl agentenlose als auch agentenbasierte Sicherheit weit verbreitet sind, fragen Sie sich vielleicht, welche Sie für Ihr Unternehmen wählen sollten. Unsere Antwort: Die umfassendste Sicherheit erhalten Sie mit einer Kombination aus beiden. Doch es ist wichtig, die Vor- und Nachteile jeder Variante zu kennen, sodass Sie wissen, wo Sie sie am besten einsetzen.

Zu den wichtigsten Vorteile agentenloser Systeme zählen:

  • Schnellere Einrichtung und Bereitstellung: Sie benötigen keinen direkten Zugriff auf alle Hosts, um Sicherheitsscans durchzuführen.
  • Der Wartungsaufwand und die Bereitstellungskosten sind niedriger.
  • Sie profitieren unmittelbar nach der Bereitstellung von einer größeren Abdeckung und besserer Skalierbarkeit.
  • Diese Methode ist perfekt für Netzwerke mit einer großen Bandbreite geeignet.
  • Für die Umsetzung benötigen Sie einen zentralen Host, von dem aus alle Aktionen eingeleitet werden.

Und hier die wichtigsten Vorteile agentenbasierter Systeme im Vergleich:

  • Sie ermöglichen detailliertere Scans und eine genauere Überwachung von Hosts: Agenten können Scans durchführen, die besser auf einzelne Komponenten und Services abgestimmt sind.
  • Agenten können als Firewalls eingesetzt werden, um vorab festgelegte Filterregeln durchzusetzen und potenziell schädliche Netzwerkverbindungen zu blockieren.
  • Agenten bieten Laufzeitschutz für einzelne Hosts oder Anwendungen.
  • Sie können Sicherheitsmaßnahmen, zum Beispiel zur Angriffsabwehr und zum Einspielen von Patches auf Live-Systemen, bereitstellen.
  • Sie sind perfekt für Laptops mit beschränkter Bandbreite, Standorte innerhalb demilitarisierter Zonen (DMZ) oder Laptops geeignet, die nicht permanent über das Netzwerk erreichbar sind. Agenten lassen sich auch ohne Netzwerkkonnektivität installieren.
  • Agenten erledigen ihre Aufgaben eigenständig, auch ohne einen zentralen Host: Einmal installiert, führt der Agent die ihm zugewiesenen Aktionen aus, ohne sich vorher mit dem Server verbinden zu müssen – selbst, wenn keine Verbindung zum Unternehmensnetzwerk besteht.

Nun kennen Sie die Vor- und Nachteile beider Varianten und können diese Informationen nutzen, um fundiert zu entscheiden, wo Sie sie am besten einsetzen, um Ihre Infrastruktur zu schützen. Durch eine geschickte Kombination aus agentenbasierten und agentenlosen Systemen steht Ihnen das Beste aus beiden Welten zur Verfügung.

Mehr dazu

Wenn es um den Schutz cloudnativer Workloads geht, sollten Sie keine Kompromisse eingehen müssen, weil ein Anbieter Ihre Anforderungen nicht erfüllen kann. Prisma Cloud ist eine der wenigen Plattformen für die Unternehmenssicherheit, die sowohl agentenbasierte als auch agentenlose Optionen in einer einzigen Lösung bieten. Entdecken Sie die benutzerfreundliche, leistungsstarke Kombination agentenloser und agentenbasierter Sicherheit.

 

FAQ

Bei der agentenbasierten Überwachung werden Softwareagenten auf Servern oder Endpunkten implementiert, um Informationen zum Systemzustand, zur Leistung und zu Sicherheitsereignissen zu sammeln. Mit diesen Agenten können Sie einzelne Systeme in Echtzeit überwachen und sich umgehend über potenzielle Probleme benachrichtigen lassen. Sie eignen sich daher besonders für Umgebungen, die eine genaue und/oder spezifischen Anforderungen entsprechende Überwachung auf Systemebene erfordern.
Mit agentenlosen Scans werden Geräte, auf denen keine dazu bestimmte Spezialsoftware installiert wurde, auf Sicherheitslücken und die Einhaltung von Complianceanforderungen geprüft. Typischerweise kommen dabei netzwerkbasierte Techniken zum Einsatz, um Systeme per Fernzugriff zu überprüfen, sodass sich diese Scans gut für Umgebungen eignen, in denen keine Agenten installiert werden können oder Leistungsbeeinträchtigungen vermieden werden müssen.
Für agentenbasierte Sicherheitslückenanalysen werden Softwareagenten auf Systemen installiert und durchkämmen diese dann kontinuierlich nach Schwachstellen. Diese Agenten können tief in Systemkonfigurationen, laufende Prozesse und Anwendungen hineinschauen und unterstützen somit die umfassende Erkennung und Behebung von Sicherheitslücken.
Mit agentenlosen Complianceprüfungen wird überwacht, ob Systeme einschlägige Sicherheitsvorschriften einhalten oder ein bestimmtes Sicherheitsniveau erreichen, ohne dass dazu Software permanent auf den Systemen installiert sein muss. Stattdessen werden Netzwerkprotokolle genutzt, um die Systemkonfiguration per Fernzugriff zu prüfen. Dadurch wird die Compliance-Überwachung flexibler und erfordert weniger Wartungsaufwand.
Als „Agenteninstallation“ wird ein Vorgang bezeichnet, bei dem Überwachungs- oder Sicherungssoftware auf Endpunkten oder Servern in einem Netzwerk installiert wird. Damit schaffen Sie die Voraussetzungen für die zentralisierte Verwaltung Ihrer Sicherheitsrichtlinien und für die Erfassung der für eine detaillierte Vorfallsanalyse und -reaktion erforderlichen Daten.
Das agentenlose Konfigurationsmanagement kontrolliert Systemeinstellungen und -zustand, ohne dass dazu Software auf den Zielhosts installiert werden muss. Es nutzt vorhandene Protokolle wie SSH oder WinRM, um Managementaufgaben direkt über das Netzwerk auszuführen, wodurch zahlreiche Systeme verwaltet werden können, ohne dass für jedes ein Agent gewartet werden muss.
Für die agentenbasierte Bedrohungssuche wird Software auf Endpunkten installiert, um komplexe Gefahren, die herkömmliche Sicherheitsmaßnahmen umgehen, proaktiv zu identifizieren und zu isolieren. Diese Agenten sammeln und analysieren detaillierte Informationen zu Aktivitäten im System, sodass Expertenteams Gefahrenindikatoren leichter erkennen und Bedrohungen schneller eindämmen können.
Bei der agentenlosen Netzwerkanalyse wird der Netzwerkdatenverkehr von zentraler Stelle aus ausgewertet, ohne dass Agenten auf den Geräten installiert werden müssen. Dazu wird der Verkehr erfasst und auf Anomalien untersucht, um die Leistung zu optimieren und Sicherheitsbedrohungen in der gesamten Netzwerkinfrastruktur zu identifizieren.
Die agentenbasierte Datenverschlüsselung nutzt Softwareagenten, um Daten am Endpunkt zu verschlüsseln und somit zu schützen. Die dazu genutzten Agenten stellen sicher, dass Daten sowohl bei der Übertragung als auch im Speicher verschlüsselt bleiben, schützen die entsprechenden Schlüssel und bieten granulare Verwaltungsoptionen für Richtlinien direkt auf den Geräten, wo Ihre sensiblen Daten gespeichert sind.
Die agentenlose Patchverifizierung nutzt statt Agenten netzwerkbasierte Tools, um zu überprüfen, welche Patches auf Systemen installiert sind, und um dies mit bekannten Sicherheitslücken abzugleichen. Das erleichtert die Einhaltung von Sicherheitsrichtlinien und eliminiert den mit der Installation und Verwaltung von Agenten auf allen Endpunkten einhergehenden Ressourcen- und Zeitaufwand.
Beim agentenbasierten Malwareschutz werden Agenten auf Endpunkten installiert, um schädliche Software in Echtzeit zu erkennen und zu blockieren. Sie überwachen das Netzwerk ununterbrochen auf Anzeichen von Malware, stellen Funktionen zur sofortigen Isolierung und Eindämmung von Bedrohungen bereit und aktualisieren ihre Schutzmaßnahmen anhand der neuesten Threat Intelligence kontinuierlich.
Diese agentenlose Prüfung wird genutzt, um Anmeldedaten und Zugriffsrechte auf allen mit dem Netzwerk verbundenen Geräten und Systemen zu kontrollieren, ohne Softwareagenten zu installieren. Sie greift über Netzwerkprotokolle auf die Geräte zu, prüft Kennwortrichtlinien, identifiziert gemeinsam genutzte Konten und identifiziert schwache Anmeldedaten, um zu verifizieren, ob Best Practices für die Sicherheit umgesetzt werden.
Beim agentenbasierten Protokollmanagement werden Softwareagenten auf jedem Host installiert, um Protokolldateien aus verschiedenen Systemen zu erfassen, an zentraler Stelle zu konsolidieren und zu analysieren. Da diese Agenten Logdateien in Echtzeit verarbeiten können, beschleunigen sie die Identifizierung von Anomalien und stellen wertvolle Informationen für die Vorfallsuntersuchung zur Verfügung.
Mit der agentenlosen Ressourcenerkennung können Sie von zentraler Stelle aus die in Ihrem Netzwerk aktiven Geräte und Services identifizieren, ohne auf den einzelnen Knotenpunkten Agenten installieren zu müssen. Diese Methode nutzt Netzwerkscans und -protokolle, um sämtliche Assets und deren Position im Netzwerk zu katalogisieren und die für eine effektive Sicherheitsplanung und -verwaltung erforderliche Transparenz zu schaffen.
Bei der agentenbasierten Bedrohungserkennung werden Agenten auf Hosts oder im Netzwerk installiert, um verdächtige Aktivitäten zu identifizieren, die auf mögliche Sicherheitsverletzungen hindeuten könnten. Diese Agenten analysieren das Systemverhalten und den Netzwerkdatenverkehr auf bekannte Angriffsmuster und benachrichtigen Sicherheitsteams bei Anzeichen auf Hackeraktivitäten, sodass sie sofort eingreifen können.
Mithilfe der agentenlosen Richtliniendurchsetzung können Sie Sicherheitsrichtlinien über sämtliche mit dem Netzwerk verbundenen Geräte hinweg verwalten und durchsetzen, ohne Agenten installieren zu müssen. Diese Sicherheitsmaßnahme nutzt Protokolle für die Kontrolle und Verwaltung des Netzwerkzugriffs, um Geräte per Fernzugriff zu konfigurieren. Dadurch lässt sich die Einhaltung der Richtlinien gewährleisten und der mit dem Management verschiedener Agenten einhergehende Aufwand eliminieren.