{"id":23276,"date":"2023-04-25T11:47:00","date_gmt":"2023-04-25T09:47:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23276"},"modified":"2023-05-30T10:12:11","modified_gmt":"2023-05-30T08:12:11","slug":"bitdefender-gravityzone-business-security-im-test-sicherheit-fuer-das-ganze-unternehmensetz","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23276","title":{"rendered":"Bitdefender GravityZone Business Security im Test: Sicherheit f\u00fcr das ganze Unternehmensetz"},"content":{"rendered":"\n

Dr. G\u00f6tz G\u00fcttich<\/p>\n\n\n\n

Dieser Beitrag ist auch als PDF verf\u00fcgbar:<\/p>\n\n\n\n

Test Bitdefender GravityZone<\/a>Herunterladen<\/a><\/div>\n\n\n\n

Die Sicherheitsl\u00f6sung „GravityZone Business Security Enterprise“ von Bitdefender ist dazu in der Lage, Sicherheitsprobleme ausfindig zu machen und darauf zu reagieren. Die L\u00f6sung kommt mit sehr umfassenden Visualisierungsfunktionen und eignet sich f\u00fcr den Einsatz bei Unternehmen aller denkbaren Gr\u00f6\u00dfen. Im Testlabor konnte das Produkt seine Leistungsf\u00e4higkeit unter Beweis stellen. Unter anderem haben wir analysiert, wie es sich in Betrieb nehmen l\u00e4sst und wie die t\u00e4gliche Arbeit damit abl\u00e4uft.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Bitdefender<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

GravityZone Business Security Enterprise wird \u00fcber ein zentrales Web-Interface verwaltet und \u00fcberwacht. Auf diese Art und Weise steht den Administratoren ein einheitliches Security-Portal zur Verf\u00fcgung, \u00fcber das sie nicht nur den Status ihrer Komponenten einsehen k\u00f6nnen, sondern auch dazu in der Lage sind, administrative Aufgaben durchzuf\u00fchren. Um einen detaillierten \u00dcberblick zu erhalten, k\u00f6nnen die IT-Verantwortlichen zudem ein frei konfigurierbares Dashboard verwenden. Im Test verwendeten wir die Cloud-Variante von GravityZone, es existiert aber auch eine Version f\u00fcr den Einsatz on-premises.<\/p>\n\n\n\n

\"\"<\/a>
Nach dem Login beim Webinterface hilft eine Informationsseite beim Einrichten von GravityZone (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Das System setzt auf den zu sch\u00fctzenden Endpoints lokale Security-Komponenten ein, die \u201eBitdefender Endpoint Security Tools\u201c. Diese \u00fcberwachen nicht nur die jeweils betroffenen Systeme, sondern sind auch in Kombination mit zus\u00e4tzlichen Sensoren dazu in der Lage, \u00fcber das Netz zusammenzuarbeiten und so Bedrohungen sichtbar zu machen, die sich \u00fcber mehrere Endpoints erstrecken. Auf diese Weise liefern sie erweiterte Einsichten in den Sicherheitsstatus der gesamten IT-Umgebung, erkennen Bedrohungen automatisch und reagieren in vielen F\u00e4llen auch gleich darauf. So erh\u00f6hen sie das Sicherheitsniveau der IT-Umgebungen deutlich. GravityZone Business Security Enterprise sch\u00fctzt sowohl physisch vorhandene Netzwerkger\u00e4te, als auch virtuelle Umgebungen und Cloud-Plattformen. Die Endpoint Security Tools stehen f\u00fcr Linux, MacOS und Windows zur Verf\u00fcgung.<\/p>\n\n\n\n

Besserer Durchblick f\u00fcr Administratoren<\/strong><\/p>\n\n\n\n

Umfassende Analyse-Tools helfen den IT-Verantwortlichen im Betrieb dabei, den \u00dcberblick zu behalten. Da die L\u00f6sung sonst getrennte Warnmeldungen zusammenf\u00fchren kann, erweitert sie den \u00dcberblick \u00fcber die Infrastruktur um viele wichtige Informationen. Zu den dabei \u00fcberwachten Komponenten geh\u00f6ren neben den bereits genannten auch die Bereiche E-Mail und Identit\u00e4t. GravityZone stellt damit eine vollst\u00e4ndige Sicherheitsl\u00f6sung aus einer Hand dar, die die Security-Bed\u00fcrfnisse des ganzen Netzes abdeckt und eine Echtzeit\u00fcberwachung erm\u00f6glicht.<\/p>\n\n\n\n

\"\"<\/a>
Die Konfigurationsseite der modular aufgebauten Endpoint Security Tools (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Findet ein Angriff statt, so legt GravityZone das Angriffsgeschehen offen. Es gibt sowohl eine grafische Darstellung der einzelnen Aktionen in Form eines Diagramms, als auch eine tabellarische \u00dcbersicht \u00fcber die Ereignisse. Dazu kommen dann noch andere Daten wie Ursachenanalysen, Reaktionsempfehlungen und Kontextinformationen.<\/p>\n\n\n\n

Die verwendeten Erkennungsalgorithmen werden sowohl lokal als auch in der Analyseplattform von GravityZone bereitgestellt. Bei Bedarf gibt es auch die Option, eigene Erkennungsregeln hinzuzuf\u00fcgen.<\/p>\n\n\n\n

Was die Zusatzsensoren angeht, die getrennt lizenziert werden m\u00fcssen, so bietet GravityZone Sensoren f\u00fcr Office 365, AWS, Active Directory, Azure-AD, Microsoft Intune, Azure und Google Workspace an. Dazu kommt noch ein Netzwerksensor, der die Daten\u00fcbertragungen im Netz im Auge behalten kann. Dieser wurde in Form einer virtuellen Maschine realisiert und ben\u00f6tigt einen Einblick in den Netzwerk-Traffic \u00fcber einen Mirror-Port.<\/p>\n\n\n\n

Der Test<\/strong><\/p>\n\n\n\n

Im Test stellte uns Bitdefender einen Account f\u00fcr GravityZone zur Verf\u00fcgung und schaltete diverse Lizenzen frei, so dass wir Business Security Enterprise in der vollen Ausbaustufe mit XDR (Extended Detection and Response) einsetzen konnten. Wir richteten das System anschlie\u00dfend in unserem Netzwerk ein und f\u00fchrten zun\u00e4chst einmal einen Sicherheits-Scan durch. Dabei wurden einige Probleme gefunden und gel\u00f6st. Die Agenten auf den Endpoints fanden diverse Testdateien, die wir f\u00fcr Security-Tests verwendeten sowie unterschiedliche Werkzeuge von Nirsoft und Sysinternals, die ihnen suspekt vorkamen und verschoben diese in Quarant\u00e4ne beziehungsweise l\u00f6schten sie komplett. Das lief bei uns alles ohne Interaktion mit dem Administrator ab.<\/p>\n\n\n\n

\"\"<\/a>
Die Endpoint Security Tools lassen sich unter anderem \u00fcber einen Setup-Assistenten einspielen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Danach aktivierten wir die Sensoren zur \u00dcberwachung des AD und den Netzwerksensor, um einen m\u00f6glichst vollst\u00e4ndigen \u00dcberblick \u00fcber die Aktivit\u00e4ten in unserem Netz zu erhalten. Anschlie\u00dfend lie\u00dfen wir das System laufen, machten uns mit seinem Leistungsumfang bekannt und analysierten, wie die t\u00e4gliche Arbeit mit der L\u00f6sung ablief.<\/p>\n\n\n\n

Inbetriebnahme der Agenten auf den Endpoints<\/strong><\/p>\n\n\n\n

Zu Beginn des Tests loggten wir uns mit unserem Testkonto bei dem Web-Interface von Bitdefender GravityZone unter https:\/\/gravityzone.bitdefender.com\/<\/a> ein. Daraufhin erschien eine Willkommensseite, die uns erkl\u00e4rte, wie die Installation der Agenten-Software auf den Rechnern im Netz abl\u00e4uft. Au\u00dferdem informiert sie dar\u00fcber, wie Sicherheitsrichtlinien erstellt werden, wie die Benutzerkontenverwaltung funktioniert und wie sich Reports generieren lassen. Wir gingen zu diesem Zeitpunkt dazu \u00fcber, die Endpoint Security Tools in unserem Netz zu verteilen.<\/p>\n\n\n\n

Um diese Tools auf den Endpoints einzuspielen, ist es zun\u00e4chst einmal erforderlich, passende Installationspakete zu erstellen. Dazu wechselten wir im Test nach \u201cNetzwerk \/ Pakete\u201d und f\u00fcgten ein neues Paket f\u00fcr Windows-10- und Windows-11-Clients hinzu. Bei der Definition der Pakete haben die zust\u00e4ndigen Mitarbeiter die M\u00f6glichkeit, diejenigen Module der Endpoint Security Tools auszuw\u00e4hlen, die auf den jeweils betroffenen Endger\u00e4ten zum Einsatz kommen sollen. Dank des modularen Aufbaus der Tools besteht also die Option, f\u00fcr bestimmte Ger\u00e4te oder auch Ger\u00e4teklassen exakt angepasste Security-Tool-Konfigurationen einzurichten.<\/p>\n\n\n\n

\"\"<\/a>
Ein Assistent hilft bei der Einrichtung des Active-Directory-Sensors (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die Module der Endpoint Security Tools<\/strong><\/p>\n\n\n\n

Zu den Modulen, die ein Administrator ausw\u00e4hlen kann, geh\u00f6ren unter anderem eine Anti-Malware-Funktion, eine Firewall, eine Advanced Threat Control, die eine Prozessanalyse durchf\u00fchrt und eine Network Protection, die auch eine Network-Attack-Defense-Funktion mitbringt. Dazu kommen noch ein EDR-Sensor (Endpoint Detection and Response) und Funktionen zum Patch Management, zum Integrity Monitoring (also zum \u00dcberwachen der Registry- und Dateiintegrit\u00e4t), zum Absichern von Containern, f\u00fcr die Verschl\u00fcsselung, zur Ger\u00e4testeuerung und \u00c4hnlichem.<\/p>\n\n\n\n

Aktivieren die IT-Verantwortlichen das \u201cPower User\u201d-Feature, so erm\u00f6glichen sie damit den Endanwendern auf den betroffenen Rechnern, die einzelnen Funktionen der Client-Software direkt auf den Endpoints zu konfigurieren. Dazu ben\u00f6tigen sie aber einen, durch ein Passwort gesch\u00fctzten, Power-User-Account. Die Passw\u00f6rter f\u00fcr diese Konten k\u00f6nnen \u00fcber die Richtlinien gesetzt werden. Dar\u00fcber hinaus existiert auch ein Exchange-Modul, das sich in den Microsoft-Exchange-Transport-Dienst integrieren kann und dann dazu in der Lage ist, die Postf\u00e4cher zu scannen und zu filtern.<\/p>\n\n\n\n

\"\"<\/a>
Unsere Umgebung mit den beiden aktiven Zusatzsensoren (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Unterschiedliche Scan-Modi f\u00fcr verschiedene Einsatzszenarien<\/strong><\/p>\n\n\n\n

Ebenfalls von Interesse bei der Konfiguration der Installationspakete f\u00fcr die Client-Systeme: die verschiedenen Scan Modi. Im automatischen Modus untersucht die Bitdefender-Software die Hardware der jeweiligen Zielsysteme und entscheidet anhand der vorhandenen Ressource \u2013 wie beispielsweise der Gr\u00f6\u00dfe des Arbeitsspeichers \u2013 welcher Scan Modus zum Einsatz kommt. Bei Bedarf besteht aber auch die Option, den Modus fest vorzugeben. Beim \u201cLokalen Scan\u201d sind alle Technologien direkt auf dem Endpoint installiert und alle Scans laufen auch direkt auf dem System ab.<\/p>\n\n\n\n\n\n\n\n

Der \u201cHybrid Scan\u201d eignet sich f\u00fcr Rechner mit beschr\u00e4nkten Ressourcen, wie beispielsweise Systeme aus der Zeit von Windows 7. In diesem Modus existieren immer noch lokale Scan Engines, diese kommen aber seltener zum Einsatz, da die Sicherheits-Software Hashes der auf dem Client vorhandenen Dateien an die Cloud sendet und von dieser, sofern die Hashes bekannt sind, Informationen dar\u00fcber erh\u00e4lt, ob die Files infiziert wurden oder nicht. Deswegen ist es im hybriden Modus nicht erforderlich, alle Dateien lokal zu scannen und es lassen sich laut Bitdefender 30 bis 40 Prozent Ressourcen einsparen.<\/p>\n\n\n\n

\"\"<\/a>
Die Scan-Einstellungen in der Richtliniendefinition (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Der \u201cCentral Scan\u201d wurde urspr\u00fcnglich f\u00fcr virtuelle Maschinen (VMs) entwickelt. Hier werden keine Scan Engines eingespielt, sondern lediglich ein Treiberpaket, das einen Dateisystemtreiber enth\u00e4lt. Dieser Treiber macht es m\u00f6glich, jede ge\u00f6ffnete Datei auf einem zentralen Scan-Server zu \u00fcberpr\u00fcfen. Das f\u00fchrt zu einem minimalen lokalen Ressourcen-Verbrauch. Bitdefender empfiehlt in diesem Zusammenhang, etwa 200 Maschinen von einem Scan-Server absichern zu lassen. Die genannten Server sind \u00fcbrigens nicht getrennt zu lizenzieren, deswegen kann jede IT-Abteilung frei entscheiden, wie viele davon sie \u2013 beispielsweise aus Redundanzgr\u00fcnden \u2013 einsetzen m\u00f6chte.<\/p>\n\n\n\n

Wollen die IT-Verantwortlichen den Scan Modus vorgeben, so k\u00f6nnen sie dies getrennt f\u00fcr Computer, VMs und Amazon EC2-Instanzen machen. F\u00fcr die beiden letztgenannten Systemtypen gibt es sogar die M\u00f6glichkeit, eine Fallback-Option festzulegen, die aktiv wird, wenn der eigentlich vorgegebene Modus nicht funktioniert. Wurde beispielsweise ein Central Scan vorgegeben und es besteht keine Verbindung zu einem Scan-Server, so kann das System bei entsprechender Konfiguration automatisch auf einen lokalen Scan wechseln.<\/p>\n\n\n\n

Im Test legten wir drei verschiedene Pakete an. F\u00fcr Windows Clients aktivierten wir die Malware-Protection, die Advanced Threat Control, den erweiterten Exploit-Schutz, die Firewall, den Netzwerkschutz, das Integrity-Monitoring und den EDR-Sensor. Bei den Windows Servern lie\u00dfen wir das Firewall-Modul beiseite und f\u00fcr Exchange-Server verwendeten wir die gleiche Konfiguration wie f\u00fcr Windows Server, aber mit aktiviertem Exchange-Modul.<\/p>\n\n\n\n

\"\"<\/a>
Das Dashboard ist genau an die Anforderungen der Administratoren anpassbar (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Nach dem Abschluss der Konfiguration der Installationsdateien besteht die M\u00f6glichkeit, entweder das komplette Installationspaket f\u00fcr das jeweils gew\u00fcnschte Betriebssystem herunterzuladen oder lediglich eine Download-Datei zu erzeugen, die auf dem jeweiligen Endpoint ausgef\u00fchrt wird und dort die Setup-Routine herunterl\u00e4dt und ausf\u00fchrt. Im Test setzten wir beide Methoden ein, dabei kam es zu keinen Problemen.<\/p>\n\n\n\n

Insgesamt spielten wir die L\u00f6sung auf einem Server unter Windows Server 2019, der als Dom\u00e4nen-Controller zum Einsatz kam, einer VM unter Windows Server 2019 (ebenfalls ein Dom\u00e4nen-Controller), einer VM unter Windows Server 2016 mit Exchange 2016 CU23 und diversen Clients unter Windows 10 und 11 ein. Diese meldeten sich kurz nach der Installation bei dem Web-Interface und erschienen ohne weiteres Zutun von unserer Seite in der dortigen Netzwerk\u00fcbersicht. Bei Bedarf gibt es \u00fcbrigens auch die M\u00f6glichkeit, ferngesteuerte Installationen, beispielsweise \u00fcber das Active Directory, durchzuf\u00fchren.<\/p>\n\n\n\n

\"\"<\/a>
Die \u201eExecutive Summary\u201c umfasst die wichtigsten Informationen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Das Aktivieren zus\u00e4tzlicher Sensoren<\/strong><\/p>\n\n\n\n

Im letzten Schritt der Inbetriebnahme von GravityZone, aktivierten wir noch die genannten beiden Zusatzsensoren, um weitere Informationen \u00fcber unsere Umgebung einbinden zu k\u00f6nnen. Zum einen verwendeten wir den Active-Directory-Sensor, um Login-Daten von den Rechnern im Netz zu erfassen, zum anderen nutzten wir den Netzwerk-Sensor, um die Daten\u00fcbertragungen zwischen den Systemen im Auge zu behalten.<\/p>\n\n\n\n

Um den Active-Directory-Sensor zu aktivieren, muss der zust\u00e4ndige Mitarbeiter nach \u201cKonfiguration \/ Sensorverwaltung\u201d wechseln und den genannten Sensor selektieren. Danach weist das System ihn darauf hin, dass die Endpoint Security Tools auf allen Dom\u00e4nencontrollern in der zu \u00fcberwachenden Dom\u00e4ne laufen m\u00fcssen und dass es erforderlich ist, die Gruppenrichtlinien so anzupassen, dass alle Anmeldungsereignisse \u00fcberpr\u00fcft werden. Wie das genau funktioniert, wird im Detail in der Dokumentation beschrieben, so dass wir an dieser Stelle nicht weiter darauf eingehen m\u00fcssen. Anschlie\u00dfend w\u00e4hlen die Administratoren nur noch die Dom\u00e4ne mit den Servern aus, danach geht der Sensor in Betrieb.<\/p>\n\n\n\n

Der bereits beschriebene Netzwerksensor sammelt auch Informationen von Systemen, die nicht von GravityZone verwaltet werden, wie Handys oder Druckern. Es l\u00e4sst sich dann beispielsweise feststellen, von welcher IP-Adresse aus eine Malware ins Netz gelangen konnte. Im Test verwendeten wir eine VM f\u00fcr Vmware, die wir auf einem ESXi-Hypervisor in der Version 8.0a importierten. Dabei traten keine Probleme auf. Bei Bedarf steht auch eine Hyper-V-Version des Sensors zur Verf\u00fcgung.<\/p>\n\n\n\n

\"\"<\/a>
Die Diagramm\u00fcbersicht stellt die Sicherheitsereignisse plastisch dar. Rote Punkte stellen Gefahren dar, gelbe stehen mit Gefahren in einem Zusammenhang. Graue Punkte dienen der Information und blaue sind nach Ansicht des Systems wichtig. (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Um die Verbindung des Sensors zur Cloud herzustellen, m\u00fcssen sich die Verantwortlichen nach dem Hochfahren des Systems lediglich mit den Standard-Credentials \u201eroot\/sve\u201c auf der Console der VM anmelden und das Passwort \u00e4ndern. Danach k\u00f6nnen sie das Skript \u201e\/opt\/bitdefender\/bin\/sva_setup.sh\u201c aufrufen, die Netzwerk- und Proxy-Konfiguration durchf\u00fchren und ausw\u00e4hlen, mit welcher Cloud-Instanz von Gravity-Zone sich der Sensor verbinden soll. Danach ist es nur noch erforderlich, einen \u201eCompany hash\u201c einzutragen, der ich in der Lizenz\u00fcbersicht des GravityZone-Web-Interfaces findet. Dann nimmt die VM die Verbindung zur Cloud auf und erscheint in der \u00dcbersicht der vorhandenen Komponenten. Im Test ergaben sich auch dabei keinerlei Schwierigkeiten. Die VM setzt \u00fcbrigens auf Ubuntu-Linux 20.04.5 LTS auf.<\/p>\n\n\n\n

Die Arbeit im laufenden Betrieb<\/strong><\/p>\n\n\n\n

Nachdem wir die Endpoint Security Tools auf allen unseren Testrechnern installiert und die Zusatzsensoren in Betrieb genommen hatten, erstellten wir zun\u00e4chst einmal eine Richtlinie f\u00fcr GravityZone. Dieser Schritt ist nicht unbedingt erforderlich, da die L\u00f6sung bereits mit einer Standardrichtlinie mit empfohlenen Einstellungen kommt, wir wollten uns aber im Detail mit dem Leistungsumfang des Produkts auseinandersetzen. Dabei legten wir unter anderem fest, wie oft die L\u00f6sung nach Updates suchen sollte, ob eine \u00dcberpr\u00fcfung von USB-Speicherger\u00e4ten und optischen Medien gew\u00fcnscht war und wie die Regeln f\u00fcr die Firewall aussahen. Dar\u00fcber hinaus sind die Administratoren bei der Richtlinienkonfiguration auch dazu in der Lage festzulegen, welche Dateien in Scan-Vorg\u00e4nge eingebunden werden, ob der Netzwerkschutz HTTPS- und RDP-\u00dcbertragungen \u00fcberwacht und wie Patch Management, Verschl\u00fcsselung und Integrity Monitoring arbeiten. Sobald eine Richtlinie fertig konfiguriert wurde, l\u00e4sst sie sich unter \u201cNetzwerk\u201d einem oder mehreren Ger\u00e4ten zuweisen.<\/p>\n\n\n\n

\"\"<\/a>
Die Ereignis\u00fcbersicht bietet in Listenform Details \u00fcber die Vorkommnisse (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Interessant ist in diesem Zusammenhang noch die Funktion \u201cRansomware Mitigation\u201d, die sich bei den Antimalware-Einstellungen der Richtlinienkonfiguration findet und die in der Standardrichtlinie nicht aktiviert wurde. Diese verhindert Datenverluste durch Ransomware auch dann, wenn die betroffene Malware nicht erkannt wurde. Das funktioniert folgenderma\u00dfen: Das System erkennt laufende Verschl\u00fcsselungsvorg\u00e4nge und legt bei suspekten Aktionen automatisch Backup-Kopien von den verschl\u00fcsselten Dateien an. Verschl\u00fcsselungsvorg\u00e4nge von legitimen Anwendungen werden dabei nicht beeintr\u00e4chtigt. Stuft Bitdefender den Vorgang aber als suspekt ein, so blockiert die L\u00f6sung die Aktion automatisch nach 20 bis 30 Dateien. Diese lassen sich dann aus dem Backup wieder herstellen.<\/p>\n\n\n\n

Nachdem in unserem Netz der erste Scan-Vorgang durchgelaufen war und GravityZone die oben genannten Probleme gefunden und beseitigt hatte, schauten wir uns zun\u00e4chst einmal im Detail an, was die Bitdefender-L\u00f6sung zu bem\u00e4ngeln hatte und welche Ma\u00dfnahmen ergriffen wurden. Dazu wechselten wir nach \u201cVorf\u00e4lle\u201d. Dort gibt es insgesamt drei Reiter. Unter \u201cGefundene Bedrohungen\u201d sortiert Bitdefender alle Malware-Funde ein. Hierbei ist sich die L\u00f6sung sicher, dass es sich wirklich um Malware handelt. Diese Vorf\u00e4lle k\u00f6nnen die zust\u00e4ndigen Mitarbeiter zu Analysezwecken unter die Lupe nehmen, sie wurden aber von der Security-L\u00f6sung bereits abgeschlossen, so dass keine Gefahr mehr von ihnen ausgeht. Hier sind also von Seiten der Administratoren keine Aktionen erforderlich.<\/p>\n\n\n\n

Die Darstellung der Sicherheitsvorf\u00e4lle hilft bei der Analyse<\/strong><\/p>\n\n\n\n

Interessant ist aber die Art und Weise, wie die einzelnen Vorf\u00e4lle dargestellt werden. Es gibt \u2013 wie erw\u00e4hnt \u2013 sowohl eine grafische Darstellung, die in Diagrammform zeigt, was genau in welcher Reihenfolge ablief, als auch eine Ereignisanzeige in Listenform. Nehmen wir an dieser Stelle als Beispiel einen Virenfund auf dem Testsystem \u201cPC08\u201d. Hier wurde der Prozess \u201cwinlogon.exe\u201d als Ursprung des Prozesses erkannt und der Prozess \u201cuserinit.exe\u201d als beteiligt markiert. Der n\u00e4chste Prozess, der mit der Aktion zu tun hatte, war \u201cexplorer.exe\u201d. Dieser Prozess interagierte mit einer ganzen Zahl anderer Prozesse, von denen die meisten unproblematisch waren, wie \u201cprtgdesktop.exe\u201d, \u201cnextcloud.exe\u201d, oder auch \u201conedrive.exe\u201d. Diese Prozesse sind dann auch in dem Diagramm grau oder gelb markiert. Gelb bedeutet lediglich, dass sie als verd\u00e4chtig markiert wurden, da sie sich in einem verd\u00e4chtigen Prozessbaum befinden. Blau werden \u00fcbrigens Eintr\u00e4ge gekennzeichnet, die das System f\u00fcr wichtig h\u00e4lt.<\/p>\n\n\n\n\n\n\n\n

Jetzt aber zur\u00fcck zu \u201cexplorer.exe\u201d. Dieser Prozess hatte auch mit \u201crufus-installer.exe\u201d zu tun und diese Datei enthielt die Malware \u201cGen:Variant.MSILHeracles.55382\u201d. Deswegen wurde die fragw\u00fcrdige Datei in die Quarant\u00e4ne verschoben. Das Diagramm visualisiert also auf anschauliche Weise, wie die einzelnen Faktoren zusammenh\u00e4ngen und welche Aktionen durchgef\u00fchrt wurden.<\/p>\n\n\n\n

Die Ereignisanzeige umfasst im Gegensatz dazu eine Liste, in der die einzelnen Aktionen nacheinander aufgef\u00fchrt sind. Diese umfasst Verbindungsaufnahmen, das Schreiben von Registry-Eintr\u00e4gen, Schreibvorg\u00e4nge bei Dateien, Aktionen bei denen Dateinamen umbenannt wurden (beispielsweise mit \u00c4nderung der Dateinamenserweiterung) und vieles mehr. Hier lassen sich folglich tiefgehende Analysen anstellen, die durch umfassende Filterfunktionen unterst\u00fctzt werden.<\/p>\n\n\n\n

\"\"<\/a>
Die Endpoint Security Tools informieren auch auf den Clients \u00fcber gefundene Bedrohungen und fragen nach den durchzuf\u00fchrenden Aktionen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Ein weiteres Beispiel: Ransomware<\/strong><\/p>\n\n\n\n

Neben dem Reiter \u201cGefundene Bedrohungen\u201d haben die IT-Mitarbeiter Zugriff auf die \u201cEndpunktvorf\u00e4lle\u201d. Diese umfassen Eintr\u00e4ge, die bearbeitet werden m\u00fcssen. Spielen wir hier an dieser Stelle einmal beispielhaft durch, wie ein laufender Ransomware-Angriff im Web-Interface pr\u00e4sentiert w\u00fcrde. Damit so etwas in der Praxis auch an dieser Stelle erscheint, m\u00fcssen die Verantwortlichen allerdings eine unbekannte Ransomware verwenden oder GravityZone zuerst in einen Monitoring-only-Modus versetzen, da das System den Angriff sonst sofort unterbinden w\u00fcrde.<\/p>\n\n\n\n

Nun aber zum Beispiel: Geht auf einem Rechner im Netz eine E-Mail mit einer Word-Datei mit Makros, die sch\u00e4dliche Aktionen durchf\u00fchren, als  Anhang ein und \u00f6ffnet ein Anwender diese, so werden diese Makros logischerweise aktiv. GravityZone stellt nun die ablaufenden Aktionen wieder in der zuvor geschilderten Form als Diagramm und Ereignisanzeige dar. \u00dcber das Diagramm k\u00f6nnte man beispielsweise sehen, dass die Makros eine Powershell aufgerufen haben, die wiederum zu Einsatz kam, um von einer dubiosen Webseite eine Datei namens \u201cacro32.exe\u201d herunterzuladen. Diese wiederum eignete sich nicht f\u00fcr das Anzeigen von PDF-Dateien, sondern verschl\u00fcsselte auf dem Endpoint diverse Excel-Files. Ein solcher Angriff wird allerdings \u2013 wie bereits gesagt \u2013 nur dann bis zum letzten Schritt durchlaufen und dementsprechend geloggt werden, wenn die Administratoren die Bitdefender-Software zu Testzwecken im Reporting-Modus betreiben. Ansonsten w\u00fcrden die Makros bereits zu Beginn der Aktion gestoppt und der ganze Vorgang w\u00e4re abgeschlossen und unter \u201cGefundene Bedrohungen\u201d einsortiert worden.<\/p>\n\n\n\n

\"\"<\/a>
Ein gesch\u00fctzter Endpoint (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die zur Verf\u00fcgung stehenden Gegenma\u00dfnahmen<\/strong><\/p>\n\n\n\n

Hat ein Administrator mit einem Angriff zu tun, den GravityZone nicht alleine beseitigen kann, so gibt es die Option, die betroffene Maschine zu isolieren, \u00fcber das Patch-Management-Modul Patches einzuspielen oder \u00fcber eine Remote Shell auf das System zuzugreifen um das Problem zu l\u00f6sen. Au\u00dferdem gibt es auch die M\u00f6glichkeit, verd\u00e4chtige Dateien, wie das eben genannte Word-Dokument in die Bitdefender-Sandbox oder zu Virustotal hochzuladen und dort \u00fcberpr\u00fcfen zu lassen. Alternativ k\u00f6nnen die Verantwortlichen auch per Klick auf Google nach dem Hash der Datei suchen. Zus\u00e4tzlich sind die IT-Mitarbeiter auch dazu in der Lage, die Datei manuell in Quarant\u00e4ne zu schicken oder sie zu einer Blockliste hinzuzuf\u00fcgen. Diese Blockliste arbeitet mit Datei-Hashes und blockiert die Datei auf allen Rechnern, die zu der Umgebung geh\u00f6ren.<\/p>\n\n\n\n

Es gibt \u00fcbrigens noch eine Option, um herauszufinden, ob sich eine Malware im Netz verbreitet hat: Dazu k\u00f6nnen die zust\u00e4ndigen Mitarbeiter aus der Diagramm\u00fcbersicht den Hash der Schaddatei kopieren und diesen dann in der Netzwerk\u00fcbersicht auf beliebigen Rechnern im Netz suchen. Dazu steht extra eine Aufgabe namens \u201cNach IOCs suchen\u201d (Indicator of Compromise) zur Verf\u00fcgung. Auf die gleiche Art und Weise lassen sich auch Suchen nach Datei- und Prozessnamen, Registrierungsschl\u00fcsseln und \u00c4hnlichem erstellen.<\/p>\n\n\n\n

\"\"<\/a>
Ein Endpoint mit Problemen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Von EDR zu XDR<\/strong><\/p>\n\n\n\n

Der dritte Reiter unter \u201eVorf\u00e4lle\u201c nennt sich \u201cErweiterte Vorf\u00e4lle\u201d und umfasst Ereignisse, die sich auf mehrere Rechner im Netz beziehen, beispielsweise durch laterale Bewegungen. Ein solcher Vorfall k\u00f6nnte beispielsweise wieder mit einer E-Mail beginnen, die auf einem Rechner ankommt. Danach k\u00f6nnte der Urheber der in der Mail vorhandenen Malware einen Exploit benutzen, um Zugriff auf einen Dom\u00e4nencontroller zu erhalten und anschlie\u00dfend mittels Brute-Force-Angriff die Zugangsdaten eines Benutzers stehlen. Daraufhin w\u00e4re er dann in der Lage, mit Hilfe der Powershell Daten auf Systeme im Internet hochzuladen und so kritische Informationen abzugreifen. Eine Zusammenfassung eines solchen Vorgangs mit den wichtigsten Schritten findet sich im Konfigurations-Interface in der \u00dcbersicht des zum jeweiligen Ereignis geh\u00f6renden Eintrags.<\/p>\n\n\n\n

Weitergehende Informationen stellt GravityZone wieder in der bekannten Diagrammanzeige dar. Diese ist sehr detailliert und zeigt genau, welcher User wann die eingehende E-Mail erhalten hat, auf welchen Rechnern Login-Vorg\u00e4nge stattgefunden haben, und so weiter. Um die \u00dcbersichtlichkeit zu verbessen, l\u00e4sst sich diese Anzeige auch einschr\u00e4nken, so dass das System beispielsweise nur laterale Bewegungen darstellt. Damit das alles funktioniert, reichen allerdings die Security-Werkzeuge auf den Endpoints nicht aus, es m\u00fcssen weitere Sensoren aktiviert werden, beispielsweise zum \u00dcberwachen der Mail-Server, um zu erkennen, welche Mail der Ursprung des Vorfalls war. Au\u00dferdem muss auch der Active-Directory-Sensor laufen, der im Auge beh\u00e4lt, wer sich wann auf welchem Rechner angemeldet hat.<\/p>\n\n\n\n

Um den laufenden Angriff abzuwehren, stehen den Administratoren dann wieder verschiedene Aktionen zur Verf\u00fcgung, wie zum Beispiel das Isolieren von Rechnern, das Zur\u00fccksetzen von Zugangsdaten und das L\u00f6schen von E-Mails.<\/p>\n\n\n\n

\"\"<\/a>
Mit GravityZone lassen sich auch unsichere Webseiten blocken (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die \u00dcberwachung von Exchange-Servern<\/strong><\/p>\n\n\n\n

Gehen wir zum Abschluss des Tests noch kurz auf die Funktion zum \u00dcberwachen von Exchange-Servern ein. Wie bereits angesprochen, m\u00fcssen die Administratoren dieses Feature bereits bei der Konfiguration des Setup-Pakets aktivieren und die Endpoint Security Tools dann mit dieser aktivierten Funktion auf dem Exchange Server einspielen.<\/p>\n\n\n\n

Die Konfiguration der Funktion erfolgt dann \u00fcber die Richtlinien unter \u201cExchange-Schutz\u201d. Hier geben die Verantwortlichen an, wie lang das System Dateien in der Quarant\u00e4ne vorh\u00e4lt und aktivieren den Spoofing-Schutz. Au\u00dferdem lassen sich Malware-Filter setzen, die festlegen, ob die Scans f\u00fcr aus- oder eingehende Mails (oder beides) durchgef\u00fchrt werden, welche Dateitypen zu scannen sind (Anwendungen, bestimmte Endungen und so weiter) und welche Aktionen GravityZone durchf\u00fchren soll (Desinfizieren, L\u00f6schen, Quarant\u00e4ne und \u00c4hnliches). Auch hier gibt es wieder die Option, alternative Aktionen zu definieren, die ablaufen, wenn die eigentliche Aktion nicht funktioniert.<\/p>\n\n\n\n

\"\"<\/a>
Der Exchange-Schutz integriert sich nahtlos in die Umgebung (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Abgesehen davon geh\u00f6ren noch Antispam-Regeln zum Leistungsumfang des Exchange-Schutzes. Bei den entsprechenden Einstellungen geben die Administratoren an, bestimmte Inhalte zu filtern (kyrillisch, asiatisch, sexuell, etc.) und legen unter anderem auch fest, wie aggressiv die Funktion arbeiten soll (aggressiv, normal oder tolerant). An Aktionen gibt es dann die M\u00f6glichkeiten \u201czustellen\u201d, \u201cim Betreff markieren\u201d, \u201cumleiten\u201d, \u201cablehnen\u201d und \u201cQuarant\u00e4ne\u201d.<\/p>\n\n\n\n

Zu guter Letzt bietet der Exchange-Schutz noch eine Inhaltssteuerung und eine Anhangsfilterung an. Erstere erm\u00f6glicht es, bestimmte Betreffs und Nachrichteninhalte zu filtern und die betroffenen Mails dann abzulehnen, zuzustellen und so weiter. Mit letzterer sind Administratoren dazu in der Lage, Anh\u00e4nge nach Kriterien wie \u201causf\u00fchrbare Dateien\u201d, \u201cBilder\u201d, Multimedia\u201d, \u201cArchive\u201d, \u201cTabellenkalkulationsdatei\u201d, \u201cPr\u00e4sentationen\u201d und \u201cDokumente\u201d zu filtern. Bei Bedarf lassen sich f\u00fcr die Filterfunktion auch benutzerdefinierte Endungen angeben. Dar\u00fcber hinaus steht auch eine \u201cErkennung des echten Dateityps\u201d anhand von Signaturen zur Verf\u00fcgung, damit die Anwender den Filter nicht einfach durch das \u00c4ndern der Dateiendung umgehen k\u00f6nnen. Es ist auch m\u00f6glich, gefundene Archive direkt zu scannen. Erkennen die Filter ungew\u00fcnschte Inhalte, kommen auch hier wieder Aktionen wie \u201cL\u00f6schen\u201d, \u201cZustellen\u201d, \u201cQuarant\u00e4ne\u201d und so weiter zum Einsatz. Im Test funktionierten die Exchange-Schutzfunktionen einwandfrei.<\/p>\n\n\n\n

Zusammenfassung und Fazit<\/strong><\/p>\n\n\n\n

Bitdefender bietet mit GravityZone Business Security Enterprise eine L\u00f6sung an, die IT-Administratoren dabei hilft, einen vollst\u00e4ndigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. Das System ist nicht nur dazu in der Lage, einen Gro\u00dfteil der Sicherheitsvorf\u00e4lle selbst zu l\u00f6sen, sondern gibt den IT-Verantwortlichen auch umfassende Informationen in die Hand, die kl\u00e4ren, was genau wann wie und wo geschehen ist. Dar\u00fcber hinaus existiert auch eine gro\u00dfe Auswahl an Gegenma\u00dfnahmen, mit denen die zust\u00e4ndigen Mitarbeiter Angriffe abwehren k\u00f6nnen.<\/p>\n\n\n\n

\"\"<\/a>
Die \u00dcbersichtsseite des Risiko-Managements (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Das System ist genau an die jeweiligen Anforderungen anpassbar. So besteht beispielsweise die M\u00f6glichkeit, die Endpoint Security Tools dank ihres modularen Aufbaus so zu gestalten, dass sie exakt die Funktionen mitbringen, die auf den jeweiligen Endpoint-Typen erforderlich sind. Aber auch das Dashboard im Konfigurations-Interface der L\u00f6sung kann speziell an die Bed\u00fcrfnisse der IT-Abteilung angepasst werden, so dass es immer die Daten pr\u00e4sentiert, die im jeweiligen Unternehmensnetz am wichtigsten sind.<\/p>\n\n\n\n

Der Funktionsumfang von GravityZone ist sehr gro\u00df, so dass wir in diesem Test nicht auf alle Features der L\u00f6sung eingehen konnten. So existiert beispielsweise eine \u201eExecutive Summary\u201c, die eine Darstellung des Sicherheitsstatus bietet, die auch f\u00fcr Nichtspezialisten geeignet ist. Zu den weiteren Funktionen, die von Interesse sind, geh\u00f6rt zudem ein Risikomanagement, das die Konfiguration der Rechner im Netz, die App-Schwachstellen, das Verhalten der Nutzer und \u00c4hnliches analysiert und Vorschl\u00e4ge dazu macht, wie sich das Sicherheitsniveau verbessern l\u00e4sst. Unter dem Strich ist GravityZone eine extrem leistungsf\u00e4hige L\u00f6sung mit vielen sinnvollen Funktionen. Wir verleihen der L\u00f6sung deshalb das Attribut \u201eIT-Testlab Tested and Recommended\u201c.<\/p>\n\n\n\n

Dieser Beitrag ist auch als PDF verf\u00fcgbar:<\/p>\n\n\n\n

Test Bitdefender GravityZone<\/a>Herunterladen<\/a><\/div>\n\n\n\n

Anmerkung:<\/strong><\/p>\n\n\n\n

Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Sicherheitsl\u00f6sung „GravityZone Business Security Enterprise“ von Bitdefender ist dazu in der Lage, Sicherheitsprobleme ausfindig zu machen und darauf zu reagieren. Die L\u00f6sung kommt mit sehr umfassenden Visualisierungsfunktionen und eignet sich f\u00fcr den Einsatz bei Unternehmen aller denkbaren Gr\u00f6\u00dfen. Im Testlabor konnte das Produkt seine Leistungsf\u00e4higkeit unter Beweis stellen. Unter anderem haben wir analysiert, wie es sich in Betrieb nehmen l\u00e4sst und wie die t\u00e4gliche Arbeit damit abl\u00e4uft.<\/p>\n","protected":false},"author":81,"featured_media":23279,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[1693,136,6785,1653,8449,5432,4975,3010,8120,11701],"class_list":["post-23276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-agent","tag-bitdefender","tag-edr","tag-endpoint","tag-gravityzone","tag-ransomware","tag-scan","tag-sensor","tag-visualisierung","tag-xdr"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23276"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23276\/revisions"}],"predecessor-version":[{"id":24355,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23276\/revisions\/24355"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23279"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}