Trend Micros Cloud App Securi ty interagiert direkt in der Cloud mit den abzusichernden Diens ten. Anwendungs und Manage mentfunktionen werden folglich durch die Lösung nicht in Mitlei denschaft gezogen. Der Service arbeitet mit Office 365 Educati on, Business oder Enterprise, Box Business und Enterprise, Dropbox Business und Google Drive in Google Apps for Work zusammen. Zum Funktionsumfang von Cloud App Security gehören eine SandboxMalwareAnalyse, Ex ploitErkennung in Dokumenten, Data Loss Protection (DLP) und eine Web Reputationsfunktion, mit der sich Links in EMails, die auf bekanntermaßen "schlechte" Webseiten verweisen, unschäd lich machen lassen. Im Betrieb haben die Administratoren den Vorteil, dass sie sowohl dazu in der Lage sind, den über Ex change Online abgewickelten MailVerkehr abzusichern, als auch für die Sicherheit von über SharePoint Online oder Cloud Speicher geteilten OfficeDateien zu sorgen. Auf diese Weise ist es möglich, auch Benutzer außer halb des für die Security Policy im Unternehmen gültigen Be reichs mit in ein ganzheitliches Sicherheitskonzept einzubinden. Die SandboxMalwareAnalyse, die in der Trend MicroCloud in Deutschland läuft, führt verdäch tige Dateien in einer Sandbox Umgebung aus und analysiert dort ihr Verhalten. Diese Erken nungsmethode geht also weit über reines PatternMatching hin aus. Der Test Im Test legten wir uns einen Ac count bei Cloud App Security an und verbanden die Sicherheitslö sung mit unserem Office 365 BusinessKonto, das auch über Exchange Online verfügte. Dar über hinaus stellten wir eine Ver bindung zwischen Cloud App Se curity und unserem Dropbox BusinessKonto her. Anschlie ßend richteten wir die Regeln der Cloud App Security so ein, dass sie unseren MailVerkehr über Exchange Online und unsere auf SharePoint, OneDrive und der Dropbox liegenden Daten über wachten. Danach nutzten wir die Lösung im laufenden Betrieb. Dabei kopierten wir diverse infi zierte Dateien (OfficeDokumen te, ZIPFiles, PDFs und ähnli ches) auf unsere CloudSpeicher und verschickten zudem EMails mit infizierten Attachments und Links zu MalwareSeiten an di verse Testkonten. Diese Konten kamen gleichzeitig zum Einsatz, um ähnliche Mails von außen an unseren TestAccount in Office 365 zu senden. Während dieser Aktivitäten analysierten wir, wie sich die Trend MicroLösung verhielt. Im Test: CloudApp Security von Trend Micro Datenschutz für CloudSpeicher Dr. Götz Güttich Mit Cloud App Security stellt Trend Micro einen SecurityService für Microsofts Office 365 und die CloudSpeicherlösungen Box, Dropbox, Google Drive und OneDrive zur Verfügung. Die Dienstleitung schützt die Anwender vor MalwareBedrohungen und Datenverlusten, ohne dass dazu eine Umleitung des MailVerkehrs oder die Einrichtung eines WebProxies erforderlich wird. Wir haben uns im Testlabor angesehen, wie das Produkt in der Praxis arbeitet. 1 und Office 365 Nach dem Login empfängt das Benutzerinterface die zuständigen Mitarbeiter mit aktuellen Neuigkeiten
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Trend Micros Cloud App Security interagiert direkt in der Cloudmit den abzusichernden Diensten. Anwendungs und Managementfunktionen werden folglichdurch die Lösung nicht in Mitleidenschaft gezogen. Der Servicearbeitet mit Office 365 Education, Business oder Enterprise,Box Business und Enterprise,Dropbox Business und GoogleDrive in Google Apps for Workzusammen.
Zum Funktionsumfang vonCloud App Security gehören eineSandboxMalwareAnalyse, ExploitErkennung in Dokumenten,Data Loss Protection (DLP) undeine Web Reputationsfunktion,mit der sich Links in EMails, dieauf bekanntermaßen "schlechte"Webseiten verweisen, unschädlich machen lassen. Im Betriebhaben die Administratoren denVorteil, dass sie sowohl dazu inder Lage sind, den über Exchange Online abgewickeltenMailVerkehr abzusichern, alsauch für die Sicherheit von überSharePoint Online oder CloudSpeicher geteilten OfficeDateienzu sorgen. Auf diese Weise ist esmöglich, auch Benutzer außerhalb des für die Security Policy
im Unternehmen gültigen Bereichs mit in ein ganzheitlichesSicherheitskonzept einzubinden.
Die SandboxMalwareAnalyse,die in der Trend MicroCloud inDeutschland läuft, führt verdächtige Dateien in einer SandboxUmgebung aus und analysiertdort ihr Verhalten. Diese Erkennungsmethode geht also weitüber reines PatternMatching hinaus.
Der TestIm Test legten wir uns einen Account bei Cloud App Security anund verbanden die Sicherheitslösung mit unserem Office 365BusinessKonto, das auch überExchange Online verfügte. Darüber hinaus stellten wir eine Verbindung zwischen Cloud App Security und unserem Dropbox
BusinessKonto her. Anschließend richteten wir die Regeln derCloud App Security so ein, dasssie unseren MailVerkehr überExchange Online und unsere aufSharePoint, OneDrive und derDropbox liegenden Daten überwachten. Danach nutzten wir dieLösung im laufenden Betrieb.Dabei kopierten wir diverse infizierte Dateien (OfficeDokumente, ZIPFiles, PDFs und ähnliches) auf unsere CloudSpeicherund verschickten zudem EMailsmit infizierten Attachments undLinks zu MalwareSeiten an diverse Testkonten. Diese Kontenkamen gleichzeitig zum Einsatz,um ähnliche Mails von außen anunseren TestAccount in Office365 zu senden. Während dieserAktivitäten analysierten wir, wiesich die Trend MicroLösungverhielt.
Im Test: Cloud App Security von Trend Micro
Datenschutz für CloudSpeicher
Dr. Götz Güttich
Mit Cloud App Security stellt Trend Micro einen SecurityService für MicrosoftsOffice 365 und die CloudSpeicherlösungen Box, Dropbox, Google Drive und
OneDrive zur Verfügung. Die Dienstleitung schützt die Anwender vorMalwareBedrohungen und Datenverlusten, ohne dass dazu eine Umleitung
des MailVerkehrs oder die Einrichtung eines WebProxies erforderlich wird.Wir haben uns im Testlabor angesehen, wie das Produkt in der Praxis arbeitet.
1
und Office 365
Nach dem Login empfängt das Benutzerinterface die zuständigen Mitarbeitermit aktuellen Neuigkeiten
InbetriebnahmeWie bei CloudDiensten üblich,ist es zur Inbetriebnahme derCloud App Security zunächst ein
mal erforderlich, ein Benutzerkonto für den Dienst anzulegen.Eine kostenlose, 30 Tage langgültige, Testversion des SecurityService lässt sich jederzeit unterhttps://forms.trendmicro.com/product_trials/service/index/de/155in Betrieb nehmen.
ErstkonfigurationLoggt sich der Administrator beidem Trend MicroPortal ein, solandet er zunächst in einer DashboardÜbersicht, die anfangsnoch überhaupt nichts anzeigt, daja noch keine Services konfiguriert wurden. Die Übersicht ermöglicht es ihm lediglich, Verbindungen zu den Diensten "Exchange Online", "SharePoint Online", "OneDrive for Business","Box", "Dropbox" und "GoogleDrive" anzulegen. Im Test verbanden wir uns zunächst einmalmit Office 365, also ExchangeOnline, SharePoint Online undOneDrive. Dazu war es lediglicherforderlich, für die genanntenServices Office 365AdministratorCredentials anzugeben. Danach legte die Trend MicroLö
sung innerhalb von Office 365zwei Verwaltungskonten an, diedie Kommunikation zwischenOffice 365 und Cloud App Secu
rity regeln. Diese Konten verfügen nicht über volle Administratorrechte, sondern nur über diePrivilegien, die sie für ihre Aufgabe benötigen.
Was Dropbox angeht, so müssendie ITVerantwortlichen zunächsteinmal die Trend MicroLösungfür den Zugriff auf das betroffeneKonto autorisieren. Danach erzeugt Cloud App Security innerhalb der Dropbox diverse Ordner,
die später zum Speichern der Files, die in Quarantäne verschobenwerden, zum Einsatz kommen.Sobald alle Verbindungen zu den
abzusichernden Diensten hergestellt wurden, ist das Sicherheitsprodukt einsatzbereit.
Der Leistungsumfang der LösungNach dem Login bei der CloudApp SecurityKonsole landet derAdministrator zunächst in demeben bereits beschriebenen Dashboard, das nach der Herstellungder Verbindung zu den abzusichernden Diensten deutlich mehrInformationen anzeigt als zuvor.So präsentiert es etwa die Zahlder erkannten Ransomware, dieTop 5 RansomwareMailSender,die Top 5 RansomwareDomainsund die Top 5 Ransomware, diein Dateien gefunden wurden.
Außerdem gibt es Übersichtenüber die Sicherheitsrisiken, dievon der Advanced Threat Protection (ATP) erkannt wurden unddie mit der Data Loss Prevention(DLP) in Zusammenhang stehen.Zusätzlich stehen auch noch diverse Statistiken zur Verfügung.
Wenden wir uns nun der Konfiguration der ATPFunktion zu.Diese funktioniert mit Policies,
die sich für die einzelnen Dienstegetrennt definieren lassen. So haben die Administratoren beispielsweise bei der Konfiguration
2
Die Konfiguration von Cloud App Security läuft unproblematisch ab
Um Office 365Konten abzusichern, benötigt die Lösung für die Erstkonfiguration AdministratorCredentials
der DropboxSicherheit die Möglichkeit, zunächst einmal festzu
legen, ob überhaupt ein Real Time Scanning stattfinden soll undwelche Benutzerkonten die Lösung schützt. Danach geht es andas Einrichten der MalwareScanningRegeln. Diese legenfest, welche Dateitypen das System scannt.
Unter "Actions" geben die Administratoren an, was mit den gefundenen potentiellen Bedrohungen, also Viren, Würmern, Trojanern, gepackten Dateien, Spyware, Grayware und ähnlichem,passieren soll. Als Optionen stehen dabei "Pass" und "Quarantine" zur Verfügung. Entscheidetsich der ITVerantwortliche, eineinfizierte Datei in Quarantäne zuverschieben, so kann er die Sicherheitslösung anweisen, im ursprünglichen Verzeichnis eineTextdatei gleichen Namens abzulegen, die die Anwender daraufhinweist, dass sich das Originalfile wegen MalwareBefall inQuarantäne befindet. DieseFunktion halten wir für sehr sinnvoll, da sie dafür sorgt, dass dieUser nicht im Unklaren gelassenwerden.
Der letzte Bereich der Definitionder Malware ScanningRegel
nennt sich "Notification". Hiergibt es die Möglichkeit, EMail
Benachrichtigungen für Administratoren und für Benutzer einzurichten. Mit den Angaben zu denScanningRegeln, den Aktionenund der Benachrichtigung ist dieKonfiguration des MalwareScannings komplett.
Cloud App Security kann aber inDropboxKonten nicht nur nachMalware suchen, sondern auch
Dateien blockieren (nach Typen,Erweiterungen und Namen). Dabei läuft die Konfiguration derPolicy wieder nach genau demgleichen Muster ab. Zunächst geben die Administratoren unter
"Rules" an, welche Dateien zublocken sind, dann legen sie unter "Action" fest, ob die Files inder Quarantäne landen und ob dieAnwender benachrichtigt werden.
Zum Schluss erfolgt unter "Notification" die Definition der EMailAlerts. Das geschilderteMuster ist bei allen Policiesgleich, deswegen gehen wir inZukunft nicht mehr darauf ein,sondern beschränken uns auf dieDarstellungen der sonstigenFunktionalität.
Bei der "Web Reputation"Policygeben die ITVerantwortlichenzunächst das Sicherheitsniveauan und haben außerdem noch dieOption, eine Liste mit zugelassenen URLs festzulegen. Der "Virtual Analyzer" schließlich überträgt verdächtige Dateien zurÜberprüfung an den bereits erwähnten CloudDienst mit derSandboxAnalyse.
Bei den Exchange OnlinePolicies gibt es ebenfalls wieder dieMöglichkeit, Regeln für dasMalwareScanning, das FileBlocking, die WebReputationund den Virtual Analyzer festzu
3
Nach Abschluss der Konfiguration informiert der CloudDienst den Administrator über den Status
Im Betrieb erhalten die ITVerantwortlichen stets Nachrichten über den aktuellen Systemzustand
legen. Die Regelerstellung fürSharePoint Online und OneDriveläuft identisch ab.
Data Loss PreventionDie Konfiguration der Data LossPreventionFunktion funktioniert
ebenfalls nach dem gleichenSchema. Zum Erstellen der Policies kommen Templates zumEinsatz, die die zu schützendenDaten abbilden.
Dazu gehören Bankinformationen in verschiedenen Ländern,Einträge mit falscher Zeitzoneund vieles mehr. Insgesamt hatTrend Micro mehr als 200 Templates vordefiniert, die sich auchim und exportieren lassen. DieTemplates ihrerseits bestehenwiederum aus so genannten DataIdentifiers. Diese repräsentiereneinzelne Informationen wie Kreditkartennummern oder auchIBANs und BICs.
Möchte ein Administrator nun eine Policy für DLP in der Dropbox anlegen, so muss er wiederzunächst das Real Time Scanningaktivieren und die zu schützenden Konten angeben. Danachlegt er die zu verwendendenTemplates fest und definiert dieAktion (Pass, Qurantine) und dieNotifikation. Bei den anderenDiensten läuft die Konfigurationgenauso ab, hier steht lediglichnoch die zusätzliche Aktion "Delete" zur Verfügung. Erkennt derService eine zu schützende Information in einer Datei, so kann er
bei Bedarf auch am Originalspeicherplatz eine Textinformationhinterlassen, die die Anwenderdarüber informiert, was warummit dem File geschehen ist. Neben Bankinformationen schütztdie Lösung übrigens bei Bedarf
auch KeywortListen. Dabei haben die zuständigen MitarbeiterGelegenheit, die Schlüsselwörtermit Hilfe von Scores zu gewichten. Trend Micro hat an dieserStelle bereits diverse Listen mit
verschiedenen Begrifflichkeitenvordefiniert, zum Beispiel SourceCodeEinträge unterschiedlicherProgrammiersprachen.
SonstigesDie restlichen Punkte des Konfigurationswerkzeugs befassensich mit der LogVerwaltung undder Administration (mit Lizenzund Konten). Zusätzlich könnendie Verantwortlichen hier auchdie Quarantäne einsehen.
Im Betrieb ergaben sich mitCloud App Security keineSchwierigkeiten. Die infiziertenDateien in unseren CloudSpeichern wurden erkannt und in dieQuarantäne verschoben. An ihrerStelle erschienen in den Ursprungsordnern, wie in unsererPolicy definiert, Textdateien mitdem Hinweis, dass sich die Filesin Quarantäne befinden würden.Auch infizierte Mails wurdenausgefiltert, genauso wie Dateienmit schützenswerten Inhalten.
FazitIm Test konnte uns die CloudApp Security von Trend Microvoll überzeugen. Das Tool lässtsich schnell und einfach einrichten und auch die Konfigurationim laufenden Betrieb stellt für IT
Mitarbeiter keinerlei Problemedar. Das ManagementWerkzeugist übersichtlich und der Funktionsumfang groß. Am positivstenmüssen wir aber vermerken, dassbeim Betrieb der Sicherheitslösung keine Änderungen an derlaufenden Infrastruktur erforderlich sind.
Dr. Götz Güttich leitet das Institut zur Analyse von ITKomponenten (IAIT) in Korschenbroich.
4
Das Dashboard informiert die Benutzer über gefundene Bedrohungen aller Art