Stormshield Endpoint Security 7.212 im Test

Sichere Clients ohne Pattern-Updates

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Damit eine Sicherheits-Software in der Lage ist, Malware ohne den Einsatz von Signaturen zu erkennen, muss sie das Verhalten von bösartiger Schadsoftware genau verstehen.
Damit eine Sicherheits-Software in der Lage ist, Malware ohne den Einsatz von Signaturen zu erkennen, muss sie das Verhalten von bösartiger Schadsoftware genau verstehen. (Bild: gemeinfrei / CC0)

Mit der Endpoint Security 7.212 bietet Stormshield eine Sicherheitslösung für Windows-Systeme, die sämtliche auf den zu schützenden Rechnern stattfindenden Aktionen überwacht und potentiell gefährliche Aktivitäten unterbindet. Dabei verwendet das Produkt keine Pattern, um Viren, Würmer und Vergleichbares zu erkennen, sondern nimmt ausschließlich die Aktivitäten der laufenden Programme unter die Lupe und analysiert diese auf Gefahren hin. Damit ist die Lösung dazu in der Lage, alle möglichen Angriffe zu unterbinden, egal ob durch Keylogger, Ransomware, unbekannte Viren oder ähnliches, ohne dabei auf ständige Aktualisierungen angewiesen zu sein. Wir haben das Sicherheitswerkzeug im Testlabor unter die Lupe genommen.

Im Test spielten wir die Stormshield Endpoint Security (Server, Datenbank und Konsole) auf einem Windows System unter Windows Server 2012 R2 mit 8 GByte RAM, einer Quad-Core-CPU mit 2,6 GHz Taktfrequenz und 75 GByte freiem Festplattenplatz ein. Danach verteilten wir den Agenten auf die Clients im Netz, nahmen den Funktionsumfang der Management-Konsole unter die Lupe, erstellten Policies, um unser Netz abzusichern und gaben diese anschließend an unsere Agenten weiter. Zum Schluss griffen wir die Systeme mit Malware, Ransomware, Viren und ähnlichem an, um festzustellen, ob die Sicherheitslösung ihre Aufgabe zuverlässig versah.

Nach dem Abschluss der Installation meldeten wir uns zunächst einmal bei der Management-Konsole des Systems an. Nach dem Login landet der Administrator in einer Dashboard-Übersicht, die ihm zeigt, welche Agenten verbunden sind und ob ihre Konfiguration aktuell ist. Darüber hinaus informiert das Dashboard über die 500 letzten Events, die Agenten, die die meisten Events generiert haben und die Events der letzten 30 Tage. Zu diesem Zeitpunkt verfügten wir noch über keine Agenten, deswegen konnte es auch keine Ereigniseinträge geben. Wir machten uns folglich daran, den Funktionsumfang der Software zu erforschen und eine an unsere Anforderungen angepasste Konfiguration zu erstellen, um diese dann zusammen mit dem Agenten an den ersten Testclient auszurollen.

Leistungsumfang des Konfigurationsinterfaces

Das Verwaltungswerkzeug arbeitet auf der linken Seite mit einer Baumstruktur, die in verschiedene Bereiche unterteilt wurde und die es den Administratoren ermöglicht, die einzelnen Funktionen der Software aufzurufen. Der erste Bereich, ist der so genannte Umgebungsmanager. Hier sind die zuständigen Mitarbeiter dazu in der Lage, die im Netz vorhandenen Stormshield Endpoint Security-Server zu verwalten und die Policies, die in ihren Netzen zum Einsatz kommen sollen, an ihre Anforderungen anzupassen.

Die Verwaltung der Regeln

Möchte ein IT-Mitarbeiter eine Regel erstellen, so kann er entweder eine bereits bestehende Policy duplizieren und anpassen oder eine komplett neue Regel einfügen. Im Betrieb stehen für die Regeln mehrere unterschiedliche Typen zur Verfügung. Der erste nennt sich "Server Configuration". Eine Server Configuration-Policy kommt auf den Endpoint Security Servern zum Einsatz und legen die Serverrollen (Security-Server und Antivirus-Server) genauso fest wie die Syslog- und die SMTP-Konfiguration, das Log Monitoring und die Netzwerkeinstellungen mit der Zahl der maximal erlaubten gleichzeitigen Verbindungen.

Die "Dynamic Agent Configuration" befasst sich im Gegensatz dazu mit den Agenten, die auf Workstations laufen. Diese lassen sich drei unterschiedlichen Schutzmodi betreiben: Im Standby-Modus bleibt der Agent passiv, im Warning-Modus schreibt er nur seine Erkenntnisse in die Log-Dateien und ergreift keine Schutzmaßnahmen. Dieser Modus ist während der Implementierung sinnvoll, da er den Administratoren dabei hilft, herauszufinden, welche Aktionen im Netz alltäglich sind und welche nicht. Der normale Modus kommt schließlich im Betrieb zum Einsatz, hier ergreift der Agent beim Auffinden von problematischen Aktionen Maßnahmen zum Schutz des Clients. Die dynamische Agentenkonfiguration legt zudem die Sprache fest, mit der sich die Benutzerinterfaces der Agenten auf den Clients melden.

Über die statische Agentenkonfiguration sind die IT-Verantwortlichen dazu in der Lage, Skripts auf den Clients auszuführen. Die Skripts können auf Wunsch bestimmte Aktionen bei Einsätzen außerhalb des Unternehmens ermöglichen. Da sie frei wählbar sind, lassen sie sich für praktisch alle Aktionen nutzen, typische Einsatzgebiete sind beispielsweise das temporäre Freigeben des Internetzugangs, das Deaktivieren der Firewall, das Anstoßen von Viren-Scans oder auch das Aktivieren des Loggings.

Absicherung des Systemverhaltens

Die Sicherheitspolicies, die sich jederzeit Ex- und Importieren lassen, stellen das Herzstück der Lösung dar. Der wichtigste Punkt in diesem Zusammenhang ist der Bereich "Systemverhalten". Hier konfigurieren die Administratoren, was die Sicherheitslösung während des Betriebs macht, wenn versucht wird, ausführbare Dateien zu erstellen, Rechte auszuweiten und spontane Neustarts durchzuführen. Außerdem bietet die Lösung an dieser Stelle einen Schutz vor Keyloggern, Speicherüberläufen sowie einen Kernel-Komponentenschutz.

Werden die Parameter des Systemverhaltens richtig konfiguriert, so blockt die Stormshield Endpoint Security nach Herstellerangaben ohne sonstige Konfigurationsmaßnahmen bereits 95 Prozent aller Angriffe ab. Im Test verwendeten wir eine Konfiguration, die uns vom Hersteller empfohlen worden war und die nur das Systemverhalten im Blick behielt. Es gab also keine Regeln in Bezug auf einzelne Anwendungen und ähnliches. Diese Konfiguration war demzufolge sehr schnell erstellt. Auf ihre Wirksamkeit gehen wir später noch genauer ein.

Ebenfalls im Bereich "Sicherheit" findet sich die so genannte Gerätesteuerung. Hier legen die Verantwortlichen fest, ob der Einsatz von Modems, Bluetooth-Komponenten, IrDA, LPT, Disketten, diversen USB-Devices und vielem mehr zulässig ist. Die Administratoren können an dieser Stelle bei Bedarf mit Gruppenrechten arbeiten, loggen, welche Datei wann auf welchen USB-Stick kopiert wurde und diese –falls erforderlich – automatisch verschlüsseln.

Die Anwendungsregeln kommen zum Einsatz, um Black-, White- und Gray-Lists zu erstellen. Sie legen für jede definierte Anwendung fest, was sie im Dateisystem, auf den Netzwerk-Sockets, beim Registry-Zugriff und so weiter darf. Die Regeln lassen sich vor der Inbetriebnahme testen und können auch jederzeit aktiviert und deaktiviert werden. Im Test ergaben sich dabei keine Probleme.

Die Erweiterungsregeln legen im Gegensatz dazu fest, welche Programme welche Dateitypen verwenden dürfen. Hier sorgen die Administratoren zum Beispiel dafür, dass Outlook nur PST-Files öffnen darf, was die Sicherheit in vielen Umgebungen deutlich erhöhen kann. Die Sicherheitspolicies sind folglich extrem leistungsfähig und bringen eine sehr große Zahl an Funktionen mit.

Über "Skripts" sind die IT-Verantwortlichen dazu in der Lage, anhand von Bedingungen genau festzulegen, was wann passieren soll. Die Skripts kommen beispielsweise zum Einsatz, um Aktionen zu definieren, die nur aktiviert werden, wenn Kondition eins "wahr" und Kondition zwei "falsch" ist. So besteht beispielsweise die Option, einem Benutzer aus Gruppe eins andere Policies zuzuweisen, als einen User aus Gruppe zwei. Die genannten Skripts sind in vielen Umgebungen zweifellos von großem Nutzen. Wenn die Policies fertig definiert wurden, lassen sie sich über den Punkt "Umgebung" mit den Zielsystemen verknüpfen.

Das Überwachen der Endpoint Security-Lösung

Der zweite Hauptpunkt des Management-Werkzeugs nach dem Umgebungsmanager befasst sich mit dem Monitoring. Hier findet sich das bereits erwähnte Dashboard, außerdem bietet das System an dieser Stelle auch eine Agent Monitoring-Seite an, die alle im Netz vorhandenen Agenten in einer Liste anzeigt.

Der dritte Punkt des Verwaltungswerkzeugs nennt sich "Console Manager". Hier konfigurieren die Administratoren alles, was mit den Einstellungen zur Konsole selbst zu tun hat, wie beispielsweise Sprache, Layout, die Konsolenzertifikatsdatei und ähnliches. Über den "User Manager" lassen sich Benutzerkonten mit unterschiedlichen Rechten anlegen, die auf verschiedene Bereiche der Verwaltungslösung Zugriff erhalten. Es besteht also die Option, mehrere unterschiedliche Administratoren mit verschiedenen Aufgabengebieten im System abzubilden.

Das Testen des Agenten

Nachdem wir unsere Test-Policy so konfiguriert hatten, dass wir vor Ransomware und Malicious Code geschützt waren, gingen wir daran, den Agenten auf unsere Clients unter Windows 7, Windows 8.1 und Windows 10 auszubringen und unsere Konfiguration zu verteilen. Nachdem wir unsere Clients gesichert hatten, öffneten wir zunächst einmal das auf den Testsystemen installierte Mail-Programm Thunderbird. Wir haben uns zuvor einen Mail-Account angelegt, in den wir sämtlichen Spam gesammelt hatten, den wir über unsere regulären Mail-Adressen in den letzten Wochen erhalten hatten und der über einen Anhang verfügte oder zweifelhafte Links enthielt. Im Test öffneten wir zunächst einmal sämtliche Anhänge und führten die darin befindlichen Files aus. Gleichzeitig besuchten wir die potentiell gefährlichen Webseiten, auf die die Spam-Mails uns locken wollten. Dabei erhielten wir eine Vielzahl von Meldungen von der Stormshield-Lösung, die uns auf Heap-Überläufe, Versuche, gefährliche Aktionen durchzuführen und ähnliches aufmerksam machte. Anschließend versuchten wir, diverse aktuelle Viren und Ransomware-Programme direkt auf den Test-Clients zu starten. Auch hier meldete uns der Stormshield-Agent wieder, dass er etliche unerwünschte Aktionen blockiert habe. Zum Schluss surften wir noch eine Zeitlang mit den Test-Clients im Internet und konzentrierten uns dabei besonders auf Seiten mit schlechtem Leumund aus der Erotik-, Keyz- und Warez-Szene. Auf diesen Seiten klickten wir vor allem Advertisments an, über die den Besuchern der jeweiligen Webseiten möglicherweise Malware untergejubelt werden sollte. Unser System wurde bei all diesen Aktionen nicht beeinträchtigt, wie wir durch komplette Viren-Scans, die wir auf allen Clients nach dem Abschluss des Tests mit zwei unterschiedlichen Antivirus-Produkten (Avira und Windows Defender) durchführten, belegen konnten. Dabei stellte sich im Detail heraus, dass der Arbeitsspeicher und die Registry in keinem Fall kompromittiert wurden, die Antivirus-Lösungen fanden lediglich die infizierten Malware-Files auf der Festplatte.

Fazit

Im Test konnte uns die Stormshield Endpoint Security voll überzeugen. Der Agent ist extrem leistungsfähig und blockte alle Angriffsversuche unserer Malware-Produkte ab. Auch der Webzugriff wurde so abgesichert, dass es zu keinen Infektionen kommen konnte. Aufgrund der Vielzahl der verfügbaren Funktionen gilt das Produkt aber nicht als selbsterklärend. Administratoren, die damit arbeiten möchten, müssen schon ein wenig Zeit mitbringen, um sich mit der Dokumentation und dem Verwaltungsinterface vertraut zu machen. Dafür werden sie aber später im praktischen Einsatz mit einer Sicherheitskonfiguration belohnt, die exakt auf die Anforderungen ihrer Umgebung eingeht und die das Schutzniveau im Unternehmen deutlich erhöht.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44441542 / Endpoint)