:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Im Test: Bitdefender GravityZone Business Security Enterprise Ganzheitliche Sicherheitslösung für Unternehmensumgebungen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/31600/31631/65.jpg "Bitdefender_web.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Mit GravityZone Business Security Enterprise bietet Bitdefender eine Sicherheitslösung an, die Security-Probleme erkennt und darauf reagieren kann. Das Produkt fällt vor allem durch seine ausgefeilten Visulisierungsfunktionen auf und steht für Unternehmen aller Größen zur Verfügung. Wir haben uns im Testlabor angesehen, wie die Inbetriebnahme abläuft, welchen Leistungsumfang es mitbringt und wie es sich bei der täglichen Arbeit verhält.
GravityZone Business Security Enterprise wird über ein zentrales Web-Interface verwaltet und überwacht. Auf diese Art und Weise steht den Administratoren ein einheitliches Security-Portal zur Verfügung, über das sie nicht nur den Status ihrer Komponenten einsehen können, sondern auch dazu in der Lage sind, administrative Aufgaben durchzuführen. Um einen detaillierten Überblick zu erhalten, können die IT-Verantwortlichen zudem ein frei konfigurierbares Dashboard verwenden. Im Test verwendeten wir die Cloud-Variante von GravityZone, es existiert aber auch eine Version für den Einsatz on-premises.
:quality(80)/p7i.vogel.de/wcms/77/73/77738fda253abf67f09ba5808d323b83/0110647642.jpeg "Nach dem Login beim Webinterface hilft eine Informationsseite beim Einrichten von GravityZone.")
:quality(80)/p7i.vogel.de/wcms/a3/01/a301b3b291a5cb714b02e75912121f88/0110647646.jpeg "Die Konfigurationsseite der modular aufgebauten Endpoint Security Tools.")
:quality(80)/p7i.vogel.de/wcms/06/cb/06cb9197b18126474f41583dea3a7c9b/0110647643.jpeg "Die Endpoint Security Tools lassen sich unter anderem über einen Setup-Assistenten einspielen.")
:quality(80)/p7i.vogel.de/wcms/75/c2/75c2e067e7709e820d89062847153975/0110647647.jpeg "Ein Assistent hilft bei der Einrichtung des Active-Directory-Sensors.")
Das System setzt auf den zu schützenden Endpoints lokale Security-Komponenten ein, die „Bitdefender Endpoint Security Tools“. Diese überwachen nicht nur die jeweils betroffenen Systeme, sondern sind auch in Kombination mit zusätzlichen Sensoren dazu in der Lage, über das Netz zusammenzuarbeiten und so Bedrohungen sichtbar zu machen, die sich über mehrere Endpoints erstrecken. Auf diese Weise liefern sie erweiterte Einsichten in den Sicherheitsstatus der gesamten IT-Umgebung, erkennen Bedrohungen automatisch und reagieren in vielen Fällen auch gleich darauf. GravityZone Business Security Enterprise schützt sowohl physisch vorhandene Netzwerkgeräte als auch virtuelle Umgebungen und Cloud-Plattformen. Die Endpoint Security Tools stehen für Linux, MacOS und Windows zur Verfügung.
Der Test
Im Test stellte uns Bitdefender einen Account für GravityZone zur Verfügung und schaltete diverse Lizenzen frei, so dass wir Business Security Enterprise in der vollen Ausbaustufe mit XDR (Extended Detection and Response) einsetzen konnten. Wir richteten das System anschließend in unserem Netzwerk ein und führten zunächst einmal einen Sicherheits-Scan durch. Dabei wurden einige Probleme gefunden und gelöst. Die Agenten auf den Endpoints fanden diverse Testdateien, die wir für Security-Tests verwendeten sowie unterschiedliche Werkzeuge von Nirsoft und Sysinternals, die ihnen suspekt vorkamen und verschoben diese in Quarantäne beziehungsweise löschten sie komplett. Das lief bei uns alles ohne Interaktion mit dem Administrator ab.
Danach aktivierten wir die Sensoren zur Überwachung des AD und den Netzwerksensor, um einen möglichst vollständigen Überblick über die Aktivitäten in unserem Netz zu erhalten. Anschließend ließen wir das System laufen, machten uns mit seinem Leistungsumfang bekannt und analysierten, wie die tägliche Arbeit mit der Lösung ablief.
Inbetriebnahme der Agenten auf den Endpoints
Um die Security Tools auf den Endpoints einzuspielen, ist es zunächst einmal erforderlich, passende Installationspakete zu erstellen. Dazu wechselten wir im Interface nach “Netzwerk / Pakete” und fügten ein neues Paket für Windows-10- und Windows-11-Clients hinzu. Bei der Definition der Pakete haben die zuständigen Mitarbeiter die Möglichkeit, diejenigen Module der Endpoint Security Tools auszuwählen, die auf den jeweils betroffenen Endgeräten zum Einsatz kommen sollen.
Zu den Modulen, die ein Administrator auswählen kann, gehören unter anderem eine Anti-Malware-Funktion, eine Firewall, eine Advanced Threat Control, die eine Prozessanalyse durchführt und eine Network Protection, die auch eine Network-Attack-Defense-Funktion mitbringt. Dazu kommen noch ein EDR-Sensor (Endpoint Detection and Response) und Funktionen zum Patch Management, zur Gerätesteuerung, zur Verschlüsselung und zum Integrity Monitoring.
Im Test legten wir drei verschiedene Pakete an. Für Windows Clients aktivierten wir die Malware-Protection, die Advanced Threat Control, den erweiterten Exploit-Schutz, die Firewall, den Netzwerkschutz, das Integrity-Monitoring und den EDR-Sensor. Bei den Windows Servern ließen wir das Firewall-Modul beiseite.
Insgesamt spielten wir die Lösung auf einem Server unter Windows Server 2019, der als Domänen-Controller zum Einsatz kam, einer VM unter Windows Server 2019 (ebenfalls ein Domänen-Controller) und diversen Clients unter Windows 10 und 11 ein. Diese meldeten sich kurz nach der Installation bei dem Web-Interface und erschienen ohne weiteres Zutun von unserer Seite in der dortigen Netzwerkübersicht.
Das Aktivieren zusätzlicher Sensoren
Im letzten Schritt der Inbetriebnahme von GravityZone, aktivierten wir noch die genannten beiden Zusatzsensoren, um weitere Informationen über unsere Umgebung einbinden zu können. Zum einen verwendeten wir den Active-Directory-Sensor, um Login-Daten von den Rechnern im Netz zu erfassen, zum anderen nutzten wir den Netzwerk-Sensor, um die Datenübertragungen zwischen den Systemen im Auge zu behalten.
Die Arbeit im laufenden Betrieb
Nachdem in unserem Netz der erste Scan-Vorgang durchgelaufen war und GravityZone die oben genannten Probleme gefunden und beseitigt hatte, schauten wir uns zunächst einmal im Detail an, was die Bitdefender-Lösung zu bemängeln hatte und welche Maßnahmen ergriffen wurden. Dazu wechselten wir nach “Vorfälle”. Dort gibt es insgesamt drei Reiter. Unter “Gefundene Bedrohungen” sortiert Bitdefender alle Malware-Funde ein. Hierbei ist sich die Lösung sicher, dass es sich wirklich um Malware handelt. Diese Vorfälle können die zuständigen Mitarbeiter zu Analysezwecken unter die Lupe nehmen, sie wurden aber von der Security-Lösung bereits abgeschlossen, so dass keine Gefahr mehr von ihnen ausgeht.
Die Darstellung der Sicherheitsvorfälle hilft bei der Analyse
Interessant ist aber die Art und Weise, wie die einzelnen Vorfälle dargestellt werden. Es gibt sowohl eine grafische Darstellung, die in Diagrammform zeigt, was genau in welcher Reihenfolge ablief, als auch eine Ereignisanzeige in Listenform. Nehmen wir an dieser Stelle als Beispiel einen Virenfund auf dem Testsystem “PC08”. Hier wurde der Prozess “winlogon.exe” als Ursprung des Prozesses erkannt und der Prozess “userinit.exe” als beteiligt markiert. Der nächste Prozess, der mit der Aktion zu tun hatte, war “explorer.exe”. Dieser Prozess interagierte mit einer ganzen Zahl anderer Prozesse, von denen die meisten unproblematisch waren, wie “prtgdesktop.exe”, “nextcloud.exe”, oder auch “onedrive.exe”.
“explorer.exe” hatte aber auch mit “rufus-installer.exe” zu tun und diese Datei enthielt die Malware “Gen:Variant.MSILHeracles.55382”. Deswegen wurde die fragwürdige Datei in die Quarantäne verschoben. Das Diagramm visualisiert also auf anschauliche Weise, wie die einzelnen Faktoren zusammenhängen und welche Aktionen durchgeführt wurden. Die Ereignisanzeige umfasst im Gegensatz dazu eine Liste, in der die einzelnen Aktionen nacheinander aufgeführt sind.
Ein weiteres Beispiel: Ransomware
Neben dem Reiter “Gefundene Bedrohungen” haben die IT-Mitarbeiter Zugriff auf die “Endpunktvorfälle”. Diese umfassen Einträge, die bearbeitet werden müssen. Spielen wir hier an dieser Stelle einmal beispielhaft durch, wie ein laufender Ransomware-Angriff im Web-Interface präsentiert würde. Damit so etwas in der Praxis auch an dieser Stelle erscheint, müssen die Verantwortlichen allerdings eine unbekannte Ransomware verwenden oder GravityZone zuerst in einen Monitoring-only-Modus versetzen, da das System den Angriff sonst sofort unterbinden würde.
Nun aber zum Beispiel: Geht auf einem Rechner im Netz eine E-Mail mit einer Word-Datei mit Makros, die schädliche Aktionen durchführen, als Anhang ein und öffnet ein Anwender diese, so werden diese Makros aktiv. GravityZone stellt nun die ablaufenden Aktionen wieder in der zuvor geschilderten Form als Diagramm und Ereignisanzeige dar. Über das Diagramm könnte man beispielsweise sehen, dass die Makros eine Powershell aufgerufen haben, die wiederum zu Einsatz kam, um von einer dubiosen Webseite eine Datei namens “acro32.exe” herunterzuladen. Diese wiederum verschlüsselte auf dem Endpoint diverse Excel-Files.
Die zur Verfügung stehenden Gegenmaßnahmen
Hat ein Administrator mit einem Angriff zu tun, den GravityZone nicht alleine beseitigen kann, so gibt es die Option, die betroffene Maschine zu isolieren, über das Patch-Management-Modul Patches einzuspielen oder über eine Remote Shell auf das System zuzugreifen, um das Problem zu lösen. Außerdem gibt es auch die Möglichkeit, verdächtige Dateien, wie das eben genannte Word-Dokument in die Bitdefender-Sandbox oder zu Virustotal hochzuladen und dort überprüfen zu lassen. Alternativ können die Verantwortlichen auch per Klick auf Google nach dem Hash der Datei suchen. Zusätzlich sind die IT-Mitarbeiter auch dazu in der Lage, die Datei manuell in Quarantäne zu schicken oder sie zu einer Blockliste hinzuzufügen. Diese Blockliste arbeitet mit Datei-Hashes und blockiert die Datei auf allen Rechnern, die zu der Umgebung gehören.
Von EDR zu XDR
Der dritte Reiter unter „Vorfälle“ nennt sich “Erweiterte Vorfälle” und umfasst Ereignisse, die sich auf mehrere Rechner im Netz beziehen, beispielsweise durch laterale Bewegungen. Ein solcher Vorfall könnte beispielsweise wieder mit einer E-Mail beginnen, die auf einem Rechner ankommt. Danach könnte der Urheber der in der Mail vorhandenen Malware einen Exploit benutzen, um Zugriff auf einen Domänencontroller zu erhalten und anschließend mittels Brute-Force-Angriff die Zugangsdaten eines Benutzers stehlen. Daraufhin wäre er dann in der Lage, mit Hilfe der Powershell Daten auf Systeme im Internet hochzuladen und so kritische Informationen abzugreifen. Eine Zusammenfassung eines solchen Vorgangs mit den wichtigsten Schritten findet sich im Konfigurations-Interface in der Übersicht des zum jeweiligen Ereignis gehörenden Eintrags.
Weitergehende Informationen stellt GravityZone wieder in der bekannten Diagrammanzeige dar. Diese ist sehr detailliert und zeigt genau, welcher User wann die eingehende E-Mail erhalten hat, auf welchen Rechnern Login-Vorgänge stattgefunden haben, und so weiter. Damit das alles funktioniert, reichen allerdings die Security-Werkzeuge auf den Endpoints nicht aus, es müssen weitere Sensoren aktiviert werden, beispielsweise der Active-Directory-Sensor, der im Auge behält, wer sich wann auf welchem Rechner angemeldet hat.
Zusammenfassung und Fazit
Bitdefender bietet mit GravityZone Business Security Enterprise eine Lösung an, die IT-Administratoren dabei hilft, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. Das System ist nicht nur dazu in der Lage, einen Großteil der Sicherheitsvorfälle selbst zu lösen, sondern gibt den IT-Verantwortlichen auch umfassende Informationen in die Hand, die klären, was genau wann wie und wo geschehen ist. Darüber hinaus existiert auch eine große Auswahl an Gegenmaßnahmen, mit denen die zuständigen Mitarbeiter Angriffe abwehren können.
Der Funktionsumfang von GravityZone ist sehr groß, so dass wir in diesem Test nicht auf alle Features der Lösung eingehen konnten. Unter dem Strich ist GravityZone eine extrem leistungsfähige Lösung mit vielen sinnvollen Funktionen.
Hinweis: Das unabhängige IT-Testlab Dr. Güttich hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.
(ID:49310164)
:quality(80)/p7i.vogel.de/wcms/2f/04/2f04fabacf1f502881617fa4880550d5/0110315149.jpeg "In diesem Video-Tipp zeigen wir, wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessern kann. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/de/7bde8c50e3cb7fc4eb3fa1e2b140921c/0109560439.jpeg "Microsoft Defender for Business bietet Schutz gegen Ransomware, Malware, Phishing und Cyberattacken aus der Cloud für KMU. (Bild: peterschreiber.media - stock.adobe.com)")