Trend Micros Cloud App Securi­ty interagiert direkt in der Cloudmit den abzusichernden Diens­ten. Anwendungs­ und Manage­mentfunktionen werden folglichdurch die Lösung nicht in Mitlei­denschaft gezogen. Der Servicearbeitet mit Office 365 Educati­on, Business oder Enterprise,Box Business und Enterprise,Dropbox Business und GoogleDrive in Google Apps for Workzusammen.

Zum Funktionsumfang vonCloud App Security gehören eineSandbox­Malware­Analyse, Ex­ploit­Erkennung in Dokumenten,Data Loss Protection (DLP) undeine Web Reputationsfunktion,mit der sich Links in E­Mails, dieauf bekanntermaßen "schlechte"Webseiten verweisen, unschäd­lich machen lassen. Im Betriebhaben die Administratoren denVorteil, dass sie sowohl dazu inder Lage sind, den über Ex­change Online abgewickeltenMail­Verkehr abzusichern, alsauch für die Sicherheit von überSharePoint Online oder Cloud­Speicher geteilten Office­Dateienzu sorgen. Auf diese Weise ist esmöglich, auch Benutzer außer­halb des für die Security Policy

im Unternehmen gültigen Be­reichs mit in ein ganzheitlichesSicherheitskonzept einzubinden.

Die Sandbox­Malware­Analyse,die in der Trend Micro­Cloud inDeutschland läuft, führt verdäch­tige Dateien in einer Sandbox­Umgebung aus und analysiertdort ihr Verhalten. Diese Erken­nungsmethode geht also weitüber reines Pattern­Matching hin­aus.

Der TestIm Test legten wir uns einen Ac­count bei Cloud App Security anund verbanden die Sicherheitslö­sung mit unserem Office 365­Business­Konto, das auch überExchange Online verfügte. Dar­über hinaus stellten wir eine Ver­bindung zwischen Cloud App Se­curity und unserem Dropbox

Business­Konto her. Anschlie­ßend richteten wir die Regeln derCloud App Security so ein, dasssie unseren Mail­Verkehr überExchange Online und unsere aufSharePoint, OneDrive und derDropbox liegenden Daten über­wachten. Danach nutzten wir dieLösung im laufenden Betrieb.Dabei kopierten wir diverse infi­zierte Dateien (Office­Dokumen­te, ZIP­Files, PDFs und ähnli­ches) auf unsere Cloud­Speicherund verschickten zudem E­Mailsmit infizierten Attachments undLinks zu Malware­Seiten an di­verse Testkonten. Diese Kontenkamen gleichzeitig zum Einsatz,um ähnliche Mails von außen anunseren Test­Account in Office365 zu senden. Während dieserAktivitäten analysierten wir, wiesich die Trend Micro­Lösungverhielt.

Im Test: Cloud App Security von Trend Micro

Datenschutz für Cloud­Speicher

Dr. Götz Güttich

Mit Cloud App Security stellt Trend Micro einen Security­Service für MicrosoftsOffice 365 und die Cloud­Speicherlösungen Box, Dropbox, Google Drive und

OneDrive zur Verfügung. Die Dienstleitung schützt die Anwender vorMalware­Bedrohungen und Datenverlusten, ohne dass dazu eine Umleitung

des Mail­Verkehrs oder die Einrichtung eines Web­Proxies erforderlich wird.Wir haben uns im Testlabor angesehen, wie das Produkt in der Praxis arbeitet.

1

und Office 365

Nach dem Login empfängt das Benutzerinterface die zuständigen Mitarbeitermit aktuellen Neuigkeiten

InbetriebnahmeWie bei Cloud­Diensten üblich,ist es zur Inbetriebnahme derCloud App Security zunächst ein­

mal erforderlich, ein Benutzer­konto für den Dienst anzulegen.Eine kostenlose, 30 Tage langgültige, Testversion des SecurityService lässt sich jederzeit unterhttps://forms.trendmicro.com/­product_trials/service/index/­de/155in Betrieb nehmen.

ErstkonfigurationLoggt sich der Administrator beidem Trend Micro­Portal ein, solandet er zunächst in einer Dash­board­Übersicht, die anfangsnoch überhaupt nichts anzeigt, daja noch keine Services konfigu­riert wurden. Die Übersicht er­möglicht es ihm lediglich, Ver­bindungen zu den Diensten "Ex­change Online", "SharePoint On­line", "OneDrive for Business","Box", "Dropbox" und "GoogleDrive" anzulegen. Im Test ver­banden wir uns zunächst einmalmit Office 365, also ExchangeOnline, SharePoint Online undOneDrive. Dazu war es lediglicherforderlich, für die genanntenServices Office 365­Administra­tor­Credentials anzugeben. Da­nach legte die Trend Micro­Lö­

sung innerhalb von Office 365zwei Verwaltungskonten an, diedie Kommunikation zwischenOffice 365 und Cloud App Secu­

rity regeln. Diese Konten verfü­gen nicht über volle Administra­torrechte, sondern nur über diePrivilegien, die sie für ihre Auf­gabe benötigen.

Was Dropbox angeht, so müssendie IT­Verantwortlichen zunächsteinmal die Trend Micro­Lösungfür den Zugriff auf das betroffeneKonto autorisieren. Danach er­zeugt Cloud App Security inner­halb der Dropbox diverse Ordner,

die später zum Speichern der Fi­les, die in Quarantäne verschobenwerden, zum Einsatz kommen.Sobald alle Verbindungen zu den

abzusichernden Diensten herge­stellt wurden, ist das Sicherheits­produkt einsatzbereit.

Der Leistungsumfang der Lö­sungNach dem Login bei der CloudApp Security­Konsole landet derAdministrator zunächst in demeben bereits beschriebenen Das­hboard, das nach der Herstellungder Verbindung zu den abzusi­chernden Diensten deutlich mehrInformationen anzeigt als zuvor.So präsentiert es etwa die Zahlder erkannten Ransomware, dieTop 5 Ransomware­Mail­Sender,die Top 5 Ransomware­Domainsund die Top 5 Ransomware, diein Dateien gefunden wurden.

Außerdem gibt es Übersichtenüber die Sicherheitsrisiken, dievon der Advanced Threat Protec­tion (ATP) erkannt wurden unddie mit der Data Loss Prevention(DLP) in Zusammenhang stehen.Zusätzlich stehen auch noch di­verse Statistiken zur Verfügung.

Wenden wir uns nun der Konfi­guration der ATP­Funktion zu.Diese funktioniert mit Policies,

die sich für die einzelnen Dienstegetrennt definieren lassen. So ha­ben die Administratoren bei­spielsweise bei der Konfiguration

2

Die Konfiguration von Cloud App Security läuft unproblematisch ab

Um Office 365­Konten abzusichern, benötigt die Lösung für die Erstkonfigu­ration Administrator­Credentials

der Dropbox­Sicherheit die Mög­lichkeit, zunächst einmal festzu­

legen, ob überhaupt ein Real Ti­me Scanning stattfinden soll undwelche Benutzerkonten die Lö­sung schützt. Danach geht es andas Einrichten der MalwareScanning­Regeln. Diese legenfest, welche Dateitypen das Sys­tem scannt.

Unter "Actions" geben die Admi­nistratoren an, was mit den ge­fundenen potentiellen Bedrohun­gen, also Viren, Würmern, Troja­nern, gepackten Dateien, Spywa­re, Grayware und ähnlichem,passieren soll. Als Optionen ste­hen dabei "Pass" und "Quaranti­ne" zur Verfügung. Entscheidetsich der IT­Verantwortliche, eineinfizierte Datei in Quarantäne zuverschieben, so kann er die Si­cherheitslösung anweisen, im ur­sprünglichen Verzeichnis eineTextdatei gleichen Namens abzu­legen, die die Anwender daraufhinweist, dass sich das Original­file wegen Malware­Befall inQuarantäne befindet. DieseFunktion halten wir für sehr sinn­voll, da sie dafür sorgt, dass dieUser nicht im Unklaren gelassenwerden.

Der letzte Bereich der Definitionder Malware Scanning­Regel

nennt sich "Notification". Hiergibt es die Möglichkeit, E­Mail­

Benachrichtigungen für Adminis­tratoren und für Benutzer einzu­richten. Mit den Angaben zu denScanning­Regeln, den Aktionenund der Benachrichtigung ist dieKonfiguration des MalwareScannings komplett.

Cloud App Security kann aber inDropbox­Konten nicht nur nachMalware suchen, sondern auch

Dateien blockieren (nach Typen,Erweiterungen und Namen). Da­bei läuft die Konfiguration derPolicy wieder nach genau demgleichen Muster ab. Zunächst ge­ben die Administratoren unter

"Rules" an, welche Dateien zublocken sind, dann legen sie un­ter "Action" fest, ob die Files inder Quarantäne landen und ob dieAnwender benachrichtigt wer­den.

Zum Schluss erfolgt unter "Noti­fication" die Definition der E­Mail­Alerts. Das geschilderteMuster ist bei allen Policiesgleich, deswegen gehen wir inZukunft nicht mehr darauf ein,sondern beschränken uns auf dieDarstellungen der sonstigenFunktionalität.

Bei der "Web Reputation"­Policygeben die IT­Verantwortlichenzunächst das Sicherheitsniveauan und haben außerdem noch dieOption, eine Liste mit zugelasse­nen URLs festzulegen. Der "Vir­tual Analyzer" schließlich über­trägt verdächtige Dateien zurÜberprüfung an den bereits er­wähnten Cloud­Dienst mit derSandbox­Analyse.

Bei den Exchange Online­Poli­cies gibt es ebenfalls wieder dieMöglichkeit, Regeln für dasMalware­Scanning, das FileBlocking, die Web­Reputationund den Virtual Analyzer festzu­

3

Nach Abschluss der Konfiguration informiert der Cloud­Dienst den Adminis­trator über den Status

Im Betrieb erhalten die IT­Verantwortlichen stets Nachrichten über den aktu­ellen Systemzustand

legen. Die Regelerstellung fürSharePoint Online und OneDriveläuft identisch ab.

Data Loss PreventionDie Konfiguration der Data LossPrevention­Funktion funktioniert

ebenfalls nach dem gleichenSchema. Zum Erstellen der Poli­cies kommen Templates zumEinsatz, die die zu schützendenDaten abbilden.

Dazu gehören Bankinformatio­nen in verschiedenen Ländern,Einträge mit falscher Zeitzoneund vieles mehr. Insgesamt hatTrend Micro mehr als 200 Tem­plates vordefiniert, die sich auchim­ und exportieren lassen. DieTemplates ihrerseits bestehenwiederum aus so genannten DataIdentifiers. Diese repräsentiereneinzelne Informationen wie Kre­ditkartennummern oder auchIBANs und BICs.

Möchte ein Administrator nun ei­ne Policy für DLP in der Drop­box anlegen, so muss er wiederzunächst das Real Time Scanningaktivieren und die zu schützen­den Konten angeben. Danachlegt er die zu verwendendenTemplates fest und definiert dieAktion (Pass, Qurantine) und dieNotifikation. Bei den anderenDiensten läuft die Konfigurationgenauso ab, hier steht lediglichnoch die zusätzliche Aktion "De­lete" zur Verfügung. Erkennt derService eine zu schützende Infor­mation in einer Datei, so kann er

bei Bedarf auch am Originalspei­cherplatz eine Textinformationhinterlassen, die die Anwenderdarüber informiert, was warummit dem File geschehen ist. Ne­ben Bankinformationen schütztdie Lösung übrigens bei Bedarf

auch Keywort­Listen. Dabei ha­ben die zuständigen MitarbeiterGelegenheit, die Schlüsselwörtermit Hilfe von Scores zu gewich­ten. Trend Micro hat an dieserStelle bereits diverse Listen mit

verschiedenen Begrifflichkeitenvordefiniert, zum Beispiel SourceCode­Einträge unterschiedlicherProgrammiersprachen.

SonstigesDie restlichen Punkte des Konfi­gurationswerkzeugs befassensich mit der Log­Verwaltung undder Administration (mit Lizenzund Konten). Zusätzlich könnendie Verantwortlichen hier auchdie Quarantäne einsehen.

Im Betrieb ergaben sich mitCloud App Security keineSchwierigkeiten. Die infiziertenDateien in unseren Cloud­Spei­chern wurden erkannt und in dieQuarantäne verschoben. An ihrerStelle erschienen in den Ur­sprungsordnern, wie in unsererPolicy definiert, Textdateien mitdem Hinweis, dass sich die Filesin Quarantäne befinden würden.Auch infizierte Mails wurdenausgefiltert, genauso wie Dateienmit schützenswerten Inhalten.

FazitIm Test konnte uns die CloudApp Security von Trend Microvoll überzeugen. Das Tool lässtsich schnell und einfach einrich­ten und auch die Konfigurationim laufenden Betrieb stellt für IT­

Mitarbeiter keinerlei Problemedar. Das Management­Werkzeugist übersichtlich und der Funkti­onsumfang groß. Am positivstenmüssen wir aber vermerken, dassbeim Betrieb der Sicherheitslö­sung keine Änderungen an derlaufenden Infrastruktur erforder­lich sind.

Dr. Götz Güttich leitet das Insti­tut zur Analyse von IT­Kompo­nenten (IAIT) in Korschenbroich.

4

Das Dashboard informiert die Benutzer über gefundene Bedrohungen aller Art

Cloud App Security nach dem Fund von Ransomware