Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Trend Micros Cloud App Security interagiert direkt in der Cloudmit den abzusichernden Diensten. Anwendungs und Managementfunktionen werden folglichdurch die Lösung nicht in Mitleidenschaft gezogen. Der Servicearbeitet mit Office 365 Education, Business oder Enterprise,Box Business und Enterprise,Dropbox Business und GoogleDrive in Google Apps for Workzusammen.
Zum Funktionsumfang vonCloud App Security gehören eineSandboxMalwareAnalyse, ExploitErkennung in Dokumenten,Data Loss Protection (DLP) undeine Web Reputationsfunktion,mit der sich Links in EMails, dieauf bekanntermaßen "schlechte"Webseiten verweisen, unschädlich machen lassen. Im Betriebhaben die Administratoren denVorteil, dass sie sowohl dazu inder Lage sind, den über Exchange Online abgewickeltenMailVerkehr abzusichern, alsauch für die Sicherheit von überSharePoint Online oder CloudSpeicher geteilten OfficeDateienzu sorgen. Auf diese Weise ist esmöglich, auch Benutzer außerhalb des für die Security Policy
im Unternehmen gültigen Bereichs mit in ein ganzheitlichesSicherheitskonzept einzubinden.
Die SandboxMalwareAnalyse,die in der Trend MicroCloud inDeutschland läuft, führt verdächtige Dateien in einer SandboxUmgebung aus und analysiertdort ihr Verhalten. Diese Erkennungsmethode geht also weitüber reines PatternMatching hinaus.
Der TestIm Test legten wir uns einen Account bei Cloud App Security anund verbanden die Sicherheitslösung mit unserem Office 365BusinessKonto, das auch überExchange Online verfügte. Darüber hinaus stellten wir eine Verbindung zwischen Cloud App Security und unserem Dropbox
BusinessKonto her. Anschließend richteten wir die Regeln derCloud App Security so ein, dasssie unseren MailVerkehr überExchange Online und unsere aufSharePoint, OneDrive und derDropbox liegenden Daten überwachten. Danach nutzten wir dieLösung im laufenden Betrieb.Dabei kopierten wir diverse infizierte Dateien (OfficeDokumente, ZIPFiles, PDFs und ähnliches) auf unsere CloudSpeicherund verschickten zudem EMailsmit infizierten Attachments undLinks zu MalwareSeiten an diverse Testkonten. Diese Kontenkamen gleichzeitig zum Einsatz,um ähnliche Mails von außen anunseren TestAccount in Office365 zu senden. Während dieserAktivitäten analysierten wir, wiesich die Trend MicroLösungverhielt.
Im Test: Cloud App Security von Trend Micro
Datenschutz für CloudSpeicher
Dr. Götz Güttich
Mit Cloud App Security stellt Trend Micro einen SecurityService für MicrosoftsOffice 365 und die CloudSpeicherlösungen Box, Dropbox, Google Drive und
OneDrive zur Verfügung. Die Dienstleitung schützt die Anwender vorMalwareBedrohungen und Datenverlusten, ohne dass dazu eine Umleitung
des MailVerkehrs oder die Einrichtung eines WebProxies erforderlich wird.Wir haben uns im Testlabor angesehen, wie das Produkt in der Praxis arbeitet.
1
und Office 365
Nach dem Login empfängt das Benutzerinterface die zuständigen Mitarbeitermit aktuellen Neuigkeiten
InbetriebnahmeWie bei CloudDiensten üblich,ist es zur Inbetriebnahme derCloud App Security zunächst ein
mal erforderlich, ein Benutzerkonto für den Dienst anzulegen.Eine kostenlose, 30 Tage langgültige, Testversion des SecurityService lässt sich jederzeit unterhttps://forms.trendmicro.com/product_trials/service/index/de/155in Betrieb nehmen.
ErstkonfigurationLoggt sich der Administrator beidem Trend MicroPortal ein, solandet er zunächst in einer DashboardÜbersicht, die anfangsnoch überhaupt nichts anzeigt, daja noch keine Services konfiguriert wurden. Die Übersicht ermöglicht es ihm lediglich, Verbindungen zu den Diensten "Exchange Online", "SharePoint Online", "OneDrive for Business","Box", "Dropbox" und "GoogleDrive" anzulegen. Im Test verbanden wir uns zunächst einmalmit Office 365, also ExchangeOnline, SharePoint Online undOneDrive. Dazu war es lediglicherforderlich, für die genanntenServices Office 365AdministratorCredentials anzugeben. Danach legte die Trend MicroLö
sung innerhalb von Office 365zwei Verwaltungskonten an, diedie Kommunikation zwischenOffice 365 und Cloud App Secu
rity regeln. Diese Konten verfügen nicht über volle Administratorrechte, sondern nur über diePrivilegien, die sie für ihre Aufgabe benötigen.
Was Dropbox angeht, so müssendie ITVerantwortlichen zunächsteinmal die Trend MicroLösungfür den Zugriff auf das betroffeneKonto autorisieren. Danach erzeugt Cloud App Security innerhalb der Dropbox diverse Ordner,
die später zum Speichern der Files, die in Quarantäne verschobenwerden, zum Einsatz kommen.Sobald alle Verbindungen zu den
abzusichernden Diensten hergestellt wurden, ist das Sicherheitsprodukt einsatzbereit.
Der Leistungsumfang der LösungNach dem Login bei der CloudApp SecurityKonsole landet derAdministrator zunächst in demeben bereits beschriebenen Dashboard, das nach der Herstellungder Verbindung zu den abzusichernden Diensten deutlich mehrInformationen anzeigt als zuvor.So präsentiert es etwa die Zahlder erkannten Ransomware, dieTop 5 RansomwareMailSender,die Top 5 RansomwareDomainsund die Top 5 Ransomware, diein Dateien gefunden wurden.
Außerdem gibt es Übersichtenüber die Sicherheitsrisiken, dievon der Advanced Threat Protection (ATP) erkannt wurden unddie mit der Data Loss Prevention(DLP) in Zusammenhang stehen.Zusätzlich stehen auch noch diverse Statistiken zur Verfügung.
Wenden wir uns nun der Konfiguration der ATPFunktion zu.Diese funktioniert mit Policies,
die sich für die einzelnen Dienstegetrennt definieren lassen. So haben die Administratoren beispielsweise bei der Konfiguration
2
Die Konfiguration von Cloud App Security läuft unproblematisch ab
Um Office 365Konten abzusichern, benötigt die Lösung für die Erstkonfiguration AdministratorCredentials
der DropboxSicherheit die Möglichkeit, zunächst einmal festzu
legen, ob überhaupt ein Real Time Scanning stattfinden soll undwelche Benutzerkonten die Lösung schützt. Danach geht es andas Einrichten der MalwareScanningRegeln. Diese legenfest, welche Dateitypen das System scannt.
Unter "Actions" geben die Administratoren an, was mit den gefundenen potentiellen Bedrohungen, also Viren, Würmern, Trojanern, gepackten Dateien, Spyware, Grayware und ähnlichem,passieren soll. Als Optionen stehen dabei "Pass" und "Quarantine" zur Verfügung. Entscheidetsich der ITVerantwortliche, eineinfizierte Datei in Quarantäne zuverschieben, so kann er die Sicherheitslösung anweisen, im ursprünglichen Verzeichnis eineTextdatei gleichen Namens abzulegen, die die Anwender daraufhinweist, dass sich das Originalfile wegen MalwareBefall inQuarantäne befindet. DieseFunktion halten wir für sehr sinnvoll, da sie dafür sorgt, dass dieUser nicht im Unklaren gelassenwerden.
Der letzte Bereich der Definitionder Malware ScanningRegel
nennt sich "Notification". Hiergibt es die Möglichkeit, EMail
Benachrichtigungen für Administratoren und für Benutzer einzurichten. Mit den Angaben zu denScanningRegeln, den Aktionenund der Benachrichtigung ist dieKonfiguration des MalwareScannings komplett.
Cloud App Security kann aber inDropboxKonten nicht nur nachMalware suchen, sondern auch
Dateien blockieren (nach Typen,Erweiterungen und Namen). Dabei läuft die Konfiguration derPolicy wieder nach genau demgleichen Muster ab. Zunächst geben die Administratoren unter
"Rules" an, welche Dateien zublocken sind, dann legen sie unter "Action" fest, ob die Files inder Quarantäne landen und ob dieAnwender benachrichtigt werden.
Zum Schluss erfolgt unter "Notification" die Definition der EMailAlerts. Das geschilderteMuster ist bei allen Policiesgleich, deswegen gehen wir inZukunft nicht mehr darauf ein,sondern beschränken uns auf dieDarstellungen der sonstigenFunktionalität.
Bei der "Web Reputation"Policygeben die ITVerantwortlichenzunächst das Sicherheitsniveauan und haben außerdem noch dieOption, eine Liste mit zugelassenen URLs festzulegen. Der "Virtual Analyzer" schließlich überträgt verdächtige Dateien zurÜberprüfung an den bereits erwähnten CloudDienst mit derSandboxAnalyse.
Bei den Exchange OnlinePolicies gibt es ebenfalls wieder dieMöglichkeit, Regeln für dasMalwareScanning, das FileBlocking, die WebReputationund den Virtual Analyzer festzu
3
Nach Abschluss der Konfiguration informiert der CloudDienst den Administrator über den Status
Im Betrieb erhalten die ITVerantwortlichen stets Nachrichten über den aktuellen Systemzustand
legen. Die Regelerstellung fürSharePoint Online und OneDriveläuft identisch ab.
Data Loss PreventionDie Konfiguration der Data LossPreventionFunktion funktioniert
ebenfalls nach dem gleichenSchema. Zum Erstellen der Policies kommen Templates zumEinsatz, die die zu schützendenDaten abbilden.
Dazu gehören Bankinformationen in verschiedenen Ländern,Einträge mit falscher Zeitzoneund vieles mehr. Insgesamt hatTrend Micro mehr als 200 Templates vordefiniert, die sich auchim und exportieren lassen. DieTemplates ihrerseits bestehenwiederum aus so genannten DataIdentifiers. Diese repräsentiereneinzelne Informationen wie Kreditkartennummern oder auchIBANs und BICs.
Möchte ein Administrator nun eine Policy für DLP in der Dropbox anlegen, so muss er wiederzunächst das Real Time Scanningaktivieren und die zu schützenden Konten angeben. Danachlegt er die zu verwendendenTemplates fest und definiert dieAktion (Pass, Qurantine) und dieNotifikation. Bei den anderenDiensten läuft die Konfigurationgenauso ab, hier steht lediglichnoch die zusätzliche Aktion "Delete" zur Verfügung. Erkennt derService eine zu schützende Information in einer Datei, so kann er
bei Bedarf auch am Originalspeicherplatz eine Textinformationhinterlassen, die die Anwenderdarüber informiert, was warummit dem File geschehen ist. Neben Bankinformationen schütztdie Lösung übrigens bei Bedarf
auch KeywortListen. Dabei haben die zuständigen MitarbeiterGelegenheit, die Schlüsselwörtermit Hilfe von Scores zu gewichten. Trend Micro hat an dieserStelle bereits diverse Listen mit
verschiedenen Begrifflichkeitenvordefiniert, zum Beispiel SourceCodeEinträge unterschiedlicherProgrammiersprachen.
SonstigesDie restlichen Punkte des Konfigurationswerkzeugs befassensich mit der LogVerwaltung undder Administration (mit Lizenzund Konten). Zusätzlich könnendie Verantwortlichen hier auchdie Quarantäne einsehen.
Im Betrieb ergaben sich mitCloud App Security keineSchwierigkeiten. Die infiziertenDateien in unseren CloudSpeichern wurden erkannt und in dieQuarantäne verschoben. An ihrerStelle erschienen in den Ursprungsordnern, wie in unsererPolicy definiert, Textdateien mitdem Hinweis, dass sich die Filesin Quarantäne befinden würden.Auch infizierte Mails wurdenausgefiltert, genauso wie Dateienmit schützenswerten Inhalten.
FazitIm Test konnte uns die CloudApp Security von Trend Microvoll überzeugen. Das Tool lässtsich schnell und einfach einrichten und auch die Konfigurationim laufenden Betrieb stellt für IT
Mitarbeiter keinerlei Problemedar. Das ManagementWerkzeugist übersichtlich und der Funktionsumfang groß. Am positivstenmüssen wir aber vermerken, dassbeim Betrieb der Sicherheitslösung keine Änderungen an derlaufenden Infrastruktur erforderlich sind.
Dr. Götz Güttich leitet das Institut zur Analyse von ITKomponenten (IAIT) in Korschenbroich.
4
Das Dashboard informiert die Benutzer über gefundene Bedrohungen aller Art
Cloud App Security nach dem Fund von Ransomware