Ein kürzlich aufgetretener IT- und Sicherheitsausfall, der bei Unternehmen auf der ganzen Welt zu Störungen führte, hat die Bedeutung stabiler Endpunkt-Agenten vor Augen geführt. Auch die Lösung Proofpoint Information Protection basiert auf Endpunkt-Agenten, weshalb bei unseren Kunden einige Fragen aufgetreten sind.
In diesem Blog-Beitrag beantworten wir häufig gestellte Fragen zur Architektur unseres einheitlichen Endpunkt-Agenten für Proofpoint Data Loss Prevention (DLP) und Proofpoint Insider Threat Management (ITM) und erläutern dessen Verwaltung.
Wie unterscheidet sich Proofpoint DLP von anderen Lösungen?
Die Proofpoint Information Protection-Plattform vereint Informationen über Inhalte und Anwenderverhalten aus den wichtigsten DLP-Kanälen: E-Mail, Cloud-Anwendungen, Endpunkte und Web. Das ist der Grund, warum die Hälfte der Fortune 500-Unternehmen unsere personenzentrierte Informationsschutz-Plattform einsetzen – doch es ist nicht der einzige. Proofpoint wurde vor Kurzem im Gartner® Peer Insights™ Voice of the Customer Report 2024 in der Kategorie „Data Loss Prevention“ als Customers’ Choice eingestuft. Unser Unternehmen war der einzige bewertete Anbieter, der in den Bereichen Gesamterlebnis sowie Anwenderinteresse und Implementierung im oder über dem Marktdurchschnitt liegt.
Ältere DLP-Tools stürzen häufig ab und sorgen bei Anwendern für Verärgerung, da die Agenten im Kernel Mode laufen, der die Ressourcen stark belastet.
Proofpoint hingegen verwendet einen ressourcenschonenden Endpunkt-Agenten, bei dem diese Probleme nicht auftreten. Unser Agent belastet den Prozessor nur minimal, führt nicht zu Störungen und installiert sich im Hintergrund. Gleichzeitig bietet er ein breites Spektrum an Funktionen wie zuverlässige Überwachung von Anwenderverhalten, Erkennung von Datenexfiltrationen, Untersuchung von Insider-Bedrohungen und Reaktion auf Zwischenfälle.
Wie funktioniert der Endpunkt-Agent von Proofpoint?
Unser Endpunkt-Agent läuft im User Mode auf standardmäßigen Windows- und macOS-Betriebssystemen. Anwendungen, die im User Mode ausgeführt werden, sind isoliert, d. h. sie können keine kritischen Daten des Betriebssystems verändern oder beschädigen. Wenn eine Anwendung in diesem Modus abstürzt, bleibt das Betriebssystem davon unberührt.
Im Gegensatz dazu können Anwendungen im Kernel Mode direkt mit dem Betriebssystem interagieren. Ein Absturz dieser Anwendungen kann daher Systeminstabilitäten oder Neustarts verursachen.
Die Ausführung des Proofpoint-Agenten im User Mode bietet folgende Vorteile:
- Stabilität: Alle Prozesse sind vom Betriebssystem isoliert.
- Besseres Anwendererlebnis: Endnutzer-Prozesse werden nicht beeinträchtigt.
- Leistung: DLP-Prozesse werden bei Bedarf und nicht im Hintergrund ausgeführt. Ältere DLP-Lösungen scannen zum Beispiel gespeicherte Dateien. Im Gegensatz dazu scannt Proofpoint Dateien nur dann, wenn ein vom Kunden definiertes Ereignis eintritt. Dadurch werden Prozessor und Arbeitsspeicher weniger belastet.
Wie funktioniert die Bereitstellung und Aktualisierung?
Der Proofpoint-Agent arbeitet mit minimaler Beeinträchtigung der Anwender und installiert sich im Hintergrund, um einen unterbrechungsfreien Betrieb zu gewährleisten. Er belastet die Ressourcen nur minimal und das System muss nach der Installation nicht neu gestartet werden. Zudem verursacht der Proofpoint-Agent keine Konflikte mit anderen Endpunkt-Agenten wie EDR-Agenten oder Agenten zur Datenverkehrssteuerung.
Bevor wir eine neue Agenten-Version veröffentlichen, führen wir umfangreiche manuelle und automatisierte Tests für alle unterstützten Windows- und macOS-Versionen durch, um eine hohe Leistung und Funktionalität zu gewährleisten. Zudem werden neue Funktionen zunächst nur für eine begrenzte Anzahl von frühzeitigen Anwendern freigeschaltet, die diese Funktionen in der Praxis testen können. Auf diese Weise können wir die Funktionen vor der Freigabe an alle Anwender optimieren – und Beeinträchtigungen für Produktionsumgebungen werden auf ein Minimum reduziert.
Unsere Kunden haben über unsere Plattform und über Drittanbieter-Tools die volle Kontrolle über die Bereitstellung und Aktualisierung des Agenten. Da neue Agenten-Versionen nicht automatisch auf Endpunkten installiert werden, können Kunden Updates auf einzelnen Geräten validieren, bevor sie sie in der gesamten Umgebung installieren. Darüber hinaus hat Proofpoint Best Practices zur Durchführung von gestaffelten und Ring-Bereitstellungen herausgegeben, die eine schrittweise und kontrollierte Einführung neuer Funktionen ermöglichen.
Für Kunden mit kritischen Systemen, bei denen Konsistenz und Zuverlässigkeit oberste Priorität haben, bietet Proofpoint Agenten-Versionen mit Langzeit-Support (LTS). Diese Versionen werden über einen längeren Zeitraum unterstützt und erhalten regelmäßige Fehlerbehebungen, Sicherheitspatches und Aktualisierungen. Aufgrund der hohen Stabilität, Sicherheit und der strengeren Anforderungen an das Change Management werden LTS-Versionen vor allem von Großunternehmen bevorzugt.
Proofpoint-Lösungen sind auf Zuverlässigkeit ausgelegt
Proofpoint legt großen Wert auf ein durchdachtes Entwicklungskonzept. Damit stellen wir sicher, dass der Endpunkt-Agent stabil und leistungsfähig ist und die IT-Umgebung nur minimal beeinträchtigt. Unser Endpunkt-Agent basiert auf drei Entwicklungsprinzipien:
- User Mode-Architektur
- Geringe Ressourcenbelastung
- Schrittweise und kontrollierte Bereitstellungsmethodik
Dieses Konzept minimiert das Risiko von sich im Laufe der Zeit einschleichenden Leistungseinbußen oder von Abstürzen, wie sie kürzlich bei den branchenweiten Ausfällen aufgetreten waren. Zudem legen wir großen Wert auf umfangreiche Tests und Versionen mit Langzeit-Support, die die zuverlässige Funktionalität unserer DLP- und ITM-Plattformen gewährleisten.
Weitere Informationen
Informieren Sie sich über Proofpoint DLP und Proofpoint ITM und erfahren Sie, wie Sie Datenverlust stoppen und Insider-Bedrohungen eindämmen können. In unserem Leitfaden Die Transformation von DLP erfahren Sie zudem, warum herkömmliche Ansätze zur Datenverlustprävention der Aufgabe nicht gewachsen sind und wie Sie Ihr DLP-Programm modernisieren können.