Im Test: Cloud App Security von Trend Micro

Datenschutz für Cloud-Speicher und Office 365

| Autor / Redakteur: Götz Güttich / Peter Schmitz

Trend Micro Cloud App Security schützt Daten in Microsofts Office 365 und auf den Cloud-Speichern Box, Dropbox, Google Drive und OneDrive vor Malware und Datendiebstahl.
Trend Micro Cloud App Security schützt Daten in Microsofts Office 365 und auf den Cloud-Speichern Box, Dropbox, Google Drive und OneDrive vor Malware und Datendiebstahl. (Bild: Götz Güttich, IAIT)

Mit Cloud App Security stellt Trend Micro einen Security-Service für Microsofts Office 365 und die Cloud-Speicherlösungen Box, Dropbox, Google Drive und OneDrive zur Verfügung. Die Dienstleitung schützt die Anwender vor Malware-Bedrohungen und Datenverlusten, ohne dass dazu eine Umleitung des Mail-Verkehrs oder die Einrichtung eines Web-Proxies erforderlich wird. Wir haben uns im Testlabor angesehen, wie das Produkt in der Praxis arbeitet.

Trend Micros Cloud App Security interagiert direkt in der Cloud mit den abzusichernden Diensten. Anwendungs- und Managementfunktionen werden folglich durch die Lösung nicht in Mitleidenschaft gezogen. Der Service arbeitet mit Office 365 Education, Business oder Enterprise, Box Business und Enterprise, Dropbox Business und Google Drive in Google Apps for Work zusammen.

Zum Funktionsumfang von Cloud App Security gehören eine Sandbox-Malware-Analyse, Exploit-Erkennung in Dokumenten, Data Loss Protection (DLP) und eine Web Reputationsfunktion, mit der sich Links in E-Mails, die auf bekanntermaßen "schlechte" Webseiten verweisen, unschädlich machen lassen. Im Betrieb haben die Administratoren den Vorteil, dass sie sowohl dazu in der Lage sind, den über Exchange Online abgewickelten Mail-Verkehr abzusichern, als auch für die Sicherheit von über SharePoint Online oder Cloud-Speicher geteilten Office-Dateien zu sorgen. Auf diese Weise ist es möglich, auch Benutzer außerhalb des für die Security Policy im Unternehmen gültigen Bereichs mit in ein ganzheitliches Sicherheitskonzept einzubinden.

Die Sandbox-Malware-Analyse, die in der Trend Micro-Cloud in Deutschland läuft, führt verdächtige Dateien in einer Sandbox-Umgebung aus und analysiert dort ihr Verhalten. Diese Erkennungsmethode geht also weit über reines Pattern-Matching hinaus.

Der Test

Im Test legten wir uns einen Account bei Cloud App Security an und verbanden die Sicherheitslösung mit unserem Office 365-Business-Konto, das auch über Exchange Online verfügte. Darüber hinaus stellten wir eine Verbindung zwischen Cloud App Security und unserem Dropbox Business-Konto her. Anschließend richteten wir die Regeln der Cloud App Security so ein, dass sie unseren Mail-Verkehr über Exchange Online und unsere auf SharePoint, OneDrive und der Dropbox liegenden Daten überwachten. Danach nutzten wir die Lösung im laufenden Betrieb. Dabei kopierten wir diverse infizierte Dateien (Office-Dokumente, ZIP-Files, PDFs und ähnliches) auf unsere Cloud-Speicher und verschickten zudem E-Mails mit infizierten Attachments und Links zu Malware-Seiten an diverse Testkonten. Diese Konten kamen gleichzeitig zum Einsatz, um ähnliche Mails von außen an unseren Test-Account in Office 365 zu senden. Während dieser Aktivitäten analysierten wir, wie sich die Trend Micro-Lösung verhielt.

Inbetriebnahme

Wie bei Cloud-Diensten üblich, ist es zur Inbetriebnahme der Cloud App Security zunächst einmal erforderlich, ein Benutzerkonto für den Dienst anzulegen. Eine kostenlose, 30 Tage lang gültige, Testversion des Security Service lässt sich jederzeit in Betrieb nehmen.

Erstkonfiguration

Loggt sich der Administrator bei dem Trend Micro-Portal ein, so landet er zunächst in einer Dashboard-Übersicht, die anfangs noch überhaupt nichts anzeigt, da ja noch keine Services konfiguriert wurden. Die Übersicht ermöglicht es ihm lediglich, Verbindungen zu den Diensten "Exchange Online", "SharePoint Online", "OneDrive for Business", "Box", "Dropbox" und "Google Drive" anzulegen. Im Test verbanden wir uns zunächst einmal mit Office 365, also Exchange Online, SharePoint Online und OneDrive. Dazu war es lediglich erforderlich, für die genannten Services Office 365-Administrator-Credentials anzugeben. Danach legte die Trend Micro-Lösung innerhalb von Office 365 zwei Verwaltungskonten an, die die Kommunikation zwischen Office 365 und Cloud App Security regeln. Diese Konten verfügen nicht über volle Administratorrechte, sondern nur über die Privilegien, die sie für ihre Aufgabe benötigen.

Was Dropbox angeht, so müssen die IT-Verantwortlichen zunächst einmal die Trend Micro-Lösung für den Zugriff auf das betroffene Konto autorisieren. Danach erzeugt Cloud App Security innerhalb der Dropbox diverse Ordner, die später zum Speichern der Files, die in Quarantäne verschoben werden, zum Einsatz kommen. Sobald alle Verbindungen zu den abzusichernden Diensten hergestellt wurden, ist das Sicherheitsprodukt einsatzbereit.

Der Leistungsumfang der Lösung

Nach dem Login bei der Cloud App Security-Konsole landet der Administrator zunächst in dem eben bereits beschriebenen Dashboard, das nach der Herstellung der Verbindung zu den abzusichernden Diensten deutlich mehr Informationen anzeigt als zuvor. So präsentiert es etwa die Zahl der erkannten Ransomware, die Top 5 Ransomware-Mail-Sender, die Top 5 Ransomware-Domains und die Top 5 Ransomware, die in Dateien gefunden wurden.

Außerdem gibt es Übersichten über die Sicherheitsrisiken, die von der Advanced Threat Protection (ATP) erkannt wurden und die mit der Data Loss Prevention (DLP) in Zusammenhang stehen. Zusätzlich stehen auch noch diverse Statistiken zur Verfügung.

Wenden wir uns nun der Konfiguration der ATP-Funktion zu. Diese funktioniert mit Policies, die sich für die einzelnen Dienste getrennt definieren lassen. So haben die Administratoren beispielsweise bei der Konfiguration der Dropbox-Sicherheit die Möglichkeit, zunächst einmal festzulegen, ob überhaupt ein Real Time Scanning stattfinden soll und welche Benutzerkonten die Lösung schützt. Danach geht es an das Einrichten der Malware Scanning-Regeln. Diese legen fest, welche Dateitypen das System scannt.

Unter "Actions" geben die Administratoren an, was mit den gefundenen potentiellen Bedrohungen, also Viren, Würmern, Trojanern, gepackten Dateien, Spyware, Grayware und ähnlichem, passieren soll. Als Optionen stehen dabei "Pass" und "Quarantine" zur Verfügung. Entscheidet sich der IT-Verantwortliche, eine infizierte Datei in Quarantäne zu verschieben, so kann er die Sicherheitslösung anweisen, im ursprünglichen Verzeichnis eine Textdatei gleichen Namens abzulegen, die die Anwender darauf hinweist, dass sich das Originalfile wegen Malware-Befall in Quarantäne befindet. Diese Funktion halten wir für sehr sinnvoll, da sie dafür sorgt, dass die User nicht im Unklaren gelassen werden.

Der letzte Bereich der Definition der Malware Scanning-Regel nennt sich "Notification". Hier gibt es die Möglichkeit, E-Mail-Benachrichtigungen für Administratoren und für Benutzer einzurichten. Mit den Angaben zu den Scanning-Regeln, den Aktionen und der Benachrichtigung ist die Konfiguration des Malware Scannings komplett.

Cloud App Security kann aber in Dropbox-Konten nicht nur nach Malware suchen, sondern auch Dateien blockieren (nach Typen, Erweiterungen und Namen). Dabei läuft die Konfiguration der Policy wieder nach genau dem gleichen Muster ab. Zunächst geben die Administratoren unter "Rules" an, welche Dateien zu blocken sind, dann legen sie unter "Action" fest, ob die Files in der Quarantäne landen und ob die Anwender benachrichtigt werden. Zum Schluss erfolgt unter "Notification" die Definition der E-Mail-Alerts. Das geschilderte Muster ist bei allen Policies gleich, deswegen gehen wir in Zukunft nicht mehr darauf ein, sondern beschränken uns auf die Darstellungen der sonstigen Funktionalität.

Bei der "Web Reputation"-Policy geben die IT-Verantwortlichen zunächst das Sicherheitsniveau an und haben außerdem noch die Option, eine Liste mit zugelassenen URLs festzulegen. Der "Virtual Analyzer" schließlich überträgt verdächtige Dateien zur Überprüfung an den bereits erwähnten Cloud-Dienst mit der Sandbox-Analyse.

Bei den Exchange Online-Policies gibt es ebenfalls wieder die Möglichkeit, Regeln für das Malware-Scanning, das File Blocking, die Web-Reputation und den Virtual Analyzer festzulegen. Die Regelerstellung für SharePoint Online und OneDrive läuft identisch ab.

Data Loss Prevention

Die Konfiguration der Data Loss Prevention-Funktion funktioniert ebenfalls nach dem gleichen Schema. Zum Erstellen der Policies kommen Templates zum Einsatz, die die zu schützenden Daten abbilden. Dazu gehören Bankinformationen in verschiedenen Ländern, Einträge mit falscher Zeitzone und vieles mehr. Insgesamt hat Trend Micro mehr als 200 Templates vordefiniert, die sich auch im- und exportieren lassen. Die Templates ihrerseits bestehen wiederum aus so genannten Data Identifiers. Diese repräsentieren einzelne Informationen wie Kreditkartennummern oder auch IBANs und BICs.

Möchte ein Administrator nun eine Policy für DLP in der Dropbox anlegen, so muss er wieder zunächst das Real Time Scanning aktivieren und die zu schützenden Konten angeben. Danach legt er die zu verwendenden Templates fest und definiert die Aktion (Pass, Qurantine) und die Notifikation. Bei den anderen Diensten läuft die Konfiguration genauso ab, hier steht lediglich noch die zusätzliche Aktion "Delete" zur Verfügung. Erkennt der Service eine zu schützende Information in einer Datei, so kann er bei Bedarf auch am Originalspeicherplatz eine Textinformation hinterlassen, die die Anwender darüber informiert, was warum mit dem File geschehen ist. Neben Bankinformationen schützt die Lösung übrigens bei Bedarf auch Keywort-Listen. Dabei haben die zuständigen Mitarbeiter Gelegenheit, die Schlüsselwörter mit Hilfe von Scores zu gewichten. Trend Micro hat an dieser Stelle bereits diverse Listen mit verschiedenen Begrifflichkeiten vordefiniert, zum Beispiel Source Code-Einträge unterschiedlicher Programmiersprachen.

Die restlichen Punkte des Konfigurationswerkzeugs befassen sich mit der Log-Verwaltung und der Administration (mit Lizenz und Konten). Zusätzlich können die Verantwortlichen hier auch die Quarantäne einsehen.

Im Betrieb ergaben sich mit Cloud App Security keine Schwierigkeiten. Die infizierten Dateien in unseren Cloud-Speichern wurden erkannt und in die Quarantäne verschoben. An ihrer Stelle erschienen in den Ursprungsordnern, wie in unserer Policy definiert, Textdateien mit dem Hinweis, dass sich die Files in Quarantäne befinden würden. Auch infizierte Mails wurden ausgefiltert, genauso wie Dateien mit schützenswerten Inhalten.

Fazit: Stressfrei mehr Sicherheit

Im Test konnte uns die Cloud App Security von Trend Micro voll überzeugen. Das Tool lässt sich schnell und einfach einrichten und auch die Konfiguration im laufenden Betrieb stellt für IT-Mitarbeiter keinerlei Probleme dar. Das Management-Werkzeug ist übersichtlich und der Funktionsumfang groß. Am positivsten müssen wir aber vermerken, dass beim Betrieb der Sicherheitslösung keine Änderungen an der laufenden Infrastruktur erforderlich sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44223555 / Cloud und Virtualisierung)