Wegen Corona arbeiten Mitarbeiter vermehrt im Home Office und sind damit oft nicht mehr direkt durch Security-Appliances abgesichert und so verstärkt im Fokus von Angreifern. Einfache Virenscanner mit Firewall gehören zwar zur Grundausstattung, ausreichend ist ein solcher Schutz für moderne Angriffsszenarien aber nicht. F-Secure Elements Endpoint Detection and Response soll Cyberangriffe kontextbezogen erkennen und Administratoren bei der Bekämpfung der Bedrohungen unterstützen.
Mit herkömmlichen Schutzmethoden lassen sich moderne Angriffe schwer erkennen und hier kommen Tool für Endpoint Detection and Response (EDR) ins Spiel. Diese Programme arbeiten verhaltensbezogen und versuchen, durch eine umfangreiche Aktivitätenanalyse Bedrohungen zu identifizieren und Abwehrmaßnahmen zu starten. Es sollen verdächtige Ereignisse und komplexe Bedrohungen durch spezielle Sensoren an den Endgeräten erkannt werden. Diese Sensoren analysieren die Daten permanent und KI sowie maschinelles Lernen identifizieren und bewerten die Gefahren.
Im Gegensatz zu herkömmlichen Endpoint-Protection-Tools sollen EDR-Programme in der Lage sein, auch dateilose Angriffe zu erkennen. Klassische Virenscanner sind hier blind und können Schadcode, der zum Beispiel Betriebssystemtools wie die PowerShell nutzt, nicht aufspüren. Identifiziert ein EDR-Programm hier ein verdächtiges Verhalten, kann es entsprechend agieren und das Netzwerk durch Isolation des Clients schützen.
Schnell betriebsbereit
Der Testkandidat F-Secure Elements Endpoint Detection and Response (FEEDR) ist schon länger auf dem Markt und hieß früher "F-Secure Rapid Endpoint Detection and Response". Die Anwendung führt eine Erkennung in Echtzeit durch, wendet aber auch neue Regeln der Verhaltenserkennung auf alte Daten an. Vom Eintreffen eines Ereignisses über das Feststellen einer Anomalie bis hin zur Identifikation einer Bedrohung sollen maximal 30 Minuten vergehen. Im Bedrohungsfall stehen dann F-Secure-Experten für Cybersicherheit zur Verfügung, die Unterstützung leisten.
Mit herkömmlichen Schutzmethoden lassen sich moderne Angriffe schwer erkennen und hier kommen Tool für Endpoint Detection and Response (EDR) ins Spiel. Diese Programme arbeiten verhaltensbezogen und versuchen, durch eine umfangreiche Aktivitätenanalyse Bedrohungen zu identifizieren und Abwehrmaßnahmen zu starten. Es sollen verdächtige Ereignisse und komplexe Bedrohungen durch spezielle Sensoren an den Endgeräten erkannt werden. Diese Sensoren analysieren die Daten permanent und KI sowie maschinelles Lernen identifizieren und bewerten die Gefahren.
Im Gegensatz zu herkömmlichen Endpoint-Protection-Tools sollen EDR-Programme in der Lage sein, auch dateilose Angriffe zu erkennen. Klassische Virenscanner sind hier blind und können Schadcode, der zum Beispiel Betriebssystemtools wie die PowerShell nutzt, nicht aufspüren. Identifiziert ein EDR-Programm hier ein verdächtiges Verhalten, kann es entsprechend agieren und das Netzwerk durch Isolation des Clients schützen.
Schnell betriebsbereit
Der Testkandidat F-Secure Elements Endpoint Detection and Response (FEEDR) ist schon länger auf dem Markt und hieß früher "F-Secure Rapid Endpoint Detection and Response". Die Anwendung führt eine Erkennung in Echtzeit durch, wendet aber auch neue Regeln der Verhaltenserkennung auf alte Daten an. Vom Eintreffen eines Ereignisses über das Feststellen einer Anomalie bis hin zur Identifikation einer Bedrohung sollen maximal 30 Minuten vergehen. Im Bedrohungsfall stehen dann F-Secure-Experten für Cybersicherheit zur Verfügung, die Unterstützung leisten.
Wir haben uns im Rahmen des Tests mit dem Mai-Release 2021 näher beschäftigt. Um F-Secure EDR auszuprobieren, kann der IT-Verantwortliche mit einer 30-tägigen Testversion nach einer kurzen Registrierung auf der Website von F-Secure starten. Release Notes sind in der Onlinehilfe zu finden und informieren schnell über Verbesserungen und neue Funktionen.
Nach der Registrierung ist die Umgebung einsatzbereit. FEEDR integriert sich dabei nahtlos in "F-Secure Elements", die modulare und cloudbasierte Sicherheitsplattform von F-Secure, in der alle Sicherheitslösungen zusammenlaufen. Die Administration erfolgt über ein Webportal, sodass keine weitere Vorbereitung nötig war und der Clientrollout direkt starten konnte.
F-Secure Elements Endpoint Detection and Response
Produkt
Software zum kontextbasierten Erkennen und Verhindern von Angriffen.
Preis Die Lizenzen berechnen sich pro Client und sind von verschiedenen Faktoren abhängig: So richtet sich der Preis am Status des Partners aus und dahingehend, ob dieser den Dienst gemanagt bezieht oder die Lösung selbst verwaltet wird. Eine Jahreslizenz in einer selbstverwalteten Umgebung startet bei 52 Euro je Client bei bis zu 24 Clients. Der Preis reduziert sich mit der Anzahl der Clients bis auf 24 Euro (ab 500 Clients). In Verbindung mit Endpoint Protection startet das Paket bei 78 und reduziert sich auf 32 Euro. Für den Support durch F-Secure gibt es eigene Pakete und die "Elevate to F-Secure Packages" starten bei 2500 Euro.
Systemanforderungen
Da das Backend in der Cloud läuft, bedarf es keiner weiteren direkten Anforderungen. Wichtig ist, dass der Zugriff der Clients über Port 443 auf das Backend möglich ist. Als Clients kommen Systeme mit Windows, macOS und Linux infrage. Windows wird dabei ab Version 7 Service Pack 1 und macOS ab Mojave unterstützt.
Das Clientprogramm kann als Erweiterung der "F-Secure Elements Endpoint Protection" zur Anwendung kommen oder als Einzellösung neben anderen Virenscannern installiert werden. Unsere Testlizenz enthielt neben FEEDR auch die "F-Secure Endpoint Protection", sodass auf unserem Testclient das volle F-Secure-Paket vorhanden war. Eine reine Installation des EDR-Clients war uns durch den Lizenzschlüssel nicht möglich. Dieser enthielt beide Komponenten und installiert diese auch zusammen, da es ein gemeinsames Installationspaket ist.
Der lokale Client ließ sich einfach über das Webportal herunterladen und installieren. Zur Auswahl stehen Clients für die Betriebssysteme Windows, macOS und Linux. Insgesamt hilft die Onlinehilfe sehr gut durch die ersten Schritte. Es zeigt sich aber auch bei F-Secure, dass sich ein Blick auf das englische Handbuch immer lohnt, da die Informationen hier umfangreicher waren. Über die Onlinehilfe hinaus lassen sich im Portal auch verschiedene Tutorials starten, die durch das Portal führen und die einzelnen Komponenten anschaulich beschreiben.
Eine Installation auf einer großen Anzahl von Clients stellt ebenfalls keine große Hürde dar. Im Handbuch gibt es hier einen eigenen Absatz, der eine Verteilung über Gruppenrichtlinien ausführlich beschreibt. Die Installation auf unseren Testclients war dann auch in wenigen Minuten abgeschlossen und einzig die Eingabe des Lizenzschlüssels war nötig. Über einen Aufruf des Setups zusammen mit dem Schlüssel über die Befehlszeile lässt sich das aber umgehen. Der Client ist im Onlineportal sichtbar und die Sensoren darauf sind direkt einsatzbereit. Welche Prozessaktivitäten dabei im Fokus stehen, entnehmen Sie der Tabelle "Geprüfte Prozessaktivitäten".
Geprüfte Prozessaktivitäten
Prozessaktivitäten
Beschreibung
Abnormale Dateizugriffe
Der Prozess greift beispielsweise auf mehrere Dateitypen oder Systemdateien ohne Privilegien zu.
Abnormale Dateiänderung
Der Prozess nimmt ungewöhnliche Änderungen an Systemdateien vor, indem er beispielsweise Dateien ausführbar macht oder Protokolldateien oder ausführbare Dateien entfernt.
Abnormale Netzwerkverbindung
Ungewöhnliche Netzwerkaktivität des Prozesses, beispielsweise Bindung an einen Netzwerkport oder Herunterladen von Daten aus dem Internet.
Abnormale Prozessausführung
Der Prozess verwendet verdächtige Parameter oder ungewöhnliche Dateipfade bei der Ausführung eines Prozesses oder Skripts.
Ändern der Sichtbarkeit von Dateien
Der Prozess versteckt Dateien und Verzeichnisse oder erstellt versteckte Dateien und Verzeichnisse.
Ändern der Sicherheitseinstellungen
Der Prozess ändert Einstellungen wie Firewallregeln, administrative Benutzer und den Zugriff auf den Entwicklermodus.
Ändern von Benutzerinformationen
Der Prozess fügt Benutzer hinzu oder verändert vorhandene Benutzerinformationen.
Netzwerkverbindung mit Command-and-Control-Server
Der Prozess öffnet eine Netzwerkverbindung zu einem Command-and-Control-Server.
Identitätsdiebstahl
Der Prozess verwendet eine bekannte Methode oder ein bekanntes Werkzeug zum Stehlen von Anmeldeinformationen.
Injektion
Der Prozess führt speziellen Code in einem Prozess aus, beispielsweise in einer anderen Anwendung.
Persistenz
Der Prozess versucht sich dauerhaft einzunisten, beispielsweise über Login-Hooks, Crontab oder Rootkits.
Aufklärungsaktivitäten
Der Prozess untersucht das Netzwerk auf potenzielle Schwachstellen.
Schwachstellen
Der Prozess versucht, bekannte Schwachstellen zu finden und auszunutzen.
Datenerfassung
Der Prozess greift beispielsweise Informationen aus Dokumenten, aus dem Verlauf des Browsers oder Daten aus dem Active Directory ab oder er zeichnet Tastatureingaben und Bildschirminhalte auf.
Zentrale Verwaltung in der Cloud
Das Portal zeigte uns nach dem Login zunächst ein Dashboard mit gefährdeten Clients, erkannten Risiken sowie meistverwendeten Anwendungen und "schädlicher Software". Oben rechts konnten wir im App-Menü zwischen der Administration von "Endpoint Protection" und "Endpoint Detection and Response" wählen. Das Menü gliedert sich in die folgenden Bereiche: In "Erkennung" befinden sich in einer Listenansicht die aufgespürten Risiken. Hier lassen sich die Details eines Vorgangs einsehen und der Status des Vorfalls ändern. Im Laufe des Tests gehen wir auf diesen Bereich noch etwas genauer ein. Die erkannten Vorgänge lassen sich zwar über die Spalten nach Risiko, Typ, Gerät oder Zeit sortieren, eine Möglichkeit der Gruppierung oder Filterung suchten wir an dieser Stelle jedoch vergeblich.
Im Gegensatz zu dieser Liste lassen sich im nächsten Eintrag "Ereignissuche" alle Rohdaten zu Ereignissen filtern und eingehender untersuchen. Eine Übersicht über die eingebundenen "Geräte" fanden wir im gleichnamigen Menüpunkt. Hier sind die Devices einzeln aufgelistet und in einer Detailansicht mit wenigen Zusatzinformationen ausgestattet. Dazu zählen unter anderem die IP-Adresse und das Betriebssystem. Als einzige Aktion ließ sich der Client "isolieren". Um die Kritikalität eines Clients hochzusetzen und damit die Sensibilität der Erkennung zu erhöhen, ist es an dieser Stelle möglich, die "Wichtigkeit zu aktualisieren". Zur Wahl stehen hier "normal" und "kritisch" und F-Secure berücksichtigt die höhere Wichtigkeit bei der Bewertung zukünftiger sicherheitsrelevanter Ereignisse. Gerade für kritische Arbeitsplätze von Vorgesetzten oder Clients mit speziellen Aufgaben ist das eine wichtige Option. Im Allgemeinen versucht F-Secure, die Stufe selbstständig zu bestimmen.
Kaum Steuerung von automatischen Reaktionen
Der Bereich "Software" listet die im Netzwerk installierten Anwendungen auf. Bis auf die einfache Ansicht gab es keine weiteren Aktionen für uns, die Detailansicht liefert zusätzlich noch einige Eigenschaften sowie die Anzahl der Geräte mit dieser Anwendung. FEEDR ordnet Anwendungen eine Reputation zu. In unserem Test wurde nur zwischen "unbekannt" und "sicher" unterschieden. Welche Kategorien es darüber hinaus noch gibt, war in der Hilfe nicht ersichtlich. Beeinflussen lässt sich die Zuordnung nicht. Ziel ist es dabei, potenziell schädliche Anwendungen schnell zu identifizieren, Maßnahmen lassen sich an dieser Stelle aber nicht einleiten.
Im nächsten Menüpunkt "Automatische Reaktionen" ließ sich nur konfigurieren, ab welcher Risikostufe ein Gerät zu isolieren ist. Zur Auswahl standen die Stufen "schwerwiegend", "hoch" und "mittel". Im Fall der Isolation eines Clients wird die Firewall umkonfiguriert, sodass nur noch ein Zugriff auf das F-Secure-Backend möglich ist. Es gab nur eine Reaktionsmöglichkeit, obwohl das Menü mehr erwarten lässt. Standardmäßig war die Aktion nicht aktiviert und wir mussten diese im Rahmen des Tests zunächst erstellen.
Der Bereich "Downloads" stellt die aktuellen Programmversionen zur Verfügung. Für Windows stehen hier EXE- als auch MSI-Pakete bereit, MPKG-Dateien entsprechend für macOS und für Linux DEB und RMP.
Eingeschränktes Berichtswesen
Im Bereich der "Berichte" lassen sich tägliche, wöchentliche und monatliche Reporte planen, die Informationen über den Status des Dienstes und der Geräte enthalten. Es gibt nur eine Reportvorlage, die sich leider auch nicht anpassen lässt. Auch individuelle Übersichten zu einem Vorgang waren nicht verfügbar, sodass in einem Report immer alle Vorgänge erfasst sind. Das Format ist ebenfalls statisch und die generierten PDF-Berichte lassen sich nur herunterladen, aber nicht weiterleiten. F-Secure bietet hier keinerlei E-Mail-Benachrichtigung und Administratoren müssen sich die Berichte immer aktiv über das Portal holen. Insgesamt sind die Berichtsmöglichkeiten sehr eingeschränkt.
Unter den "Einstellungen" lässt sich als Einziges eine E-Mail-Adresse für Alarmmeldungen eintragen. Mehrere E-Mail-Adressen sind durch ein Komma zu trennen. Der Menüpunkt ist ebenfalls unspektakulär und Konfigurationsmöglichkeiten suchten wir an dieser Stelle vergebens.
Im Bereich "Support" sind weiter nur Links zur Dokumentation, zum "Änderungsprotokoll", der "Community", der externen "Support-Website" und einer Seite zum "Whitelisting" aufgeführt. Gerade die Dokumentation hätte hier besser integriert sein können. Dass es anders geht, zeigt der sehr gut integrierte Assistent oben rechts, der durch die Plattform führt. Die Links zur Community und zum Feedback laufen aktuell ins Leere. Wahrscheinlich ist dies der Produktumbenennung geschuldet, denn bis vor kurzem wurde das F-Secure-Produkt wie erwähnt unter dem Namen "F-Secure Elements Rapid Detection and Response" geführt und hierhin zeigen die Links auch noch, obwohl die Ziele nicht mehr vorhanden sind.
Als Letztes im Menü ist noch der Punkt "Abonnements" zu finden, in dem auch nur die aktivierten Lizenzen mit dem Ablaufdatum aufgeführt sind. Hier lassen sich weder zusätzliche Lizenzen einbinden noch weiterführende Informationen zur Organisation abrufen. Lizenzen müssen IT-Verantwortliche in der Endpoint-Konsole hinzufügen. So verhält es sich auch mit dem Einrichten weiterer Administratoren. Diese können nur im Endpoint-Portal angezeigt und eingerichtet werden.
Genaue Untersuchung bei einem Testangriff
Um "F-Secure Endpoint Detection and Response" im Einsatz zu erleben und den Dienst zu testen, haben wir eine Bedrohung vorgetäuscht. Hierfür fanden wir in der F-Secure-Hilfe eine kurze Beschreibung. Unser Versuch sah vor, per PowerShell-Skript Code aus dem Internet nachzuladen. Das Skript speicherten wir zunächst in einer BAT-Datei und führten es so direkt aus. Dabei kam uns zunächst der F-Secure-Virenscanner in die Quere, der den Code ebenfalls als Schadsoftware ansah und den Start blockierte. Nachdem wir den Virenscanner entschärft hatten, indem wir einige Komponenten deaktivierten, vollzog FEEDR seinen Dienst. Da wir die Benachrichtigung aktiviert hatten, informierte uns die Software zunächst über eine verdächtige Aktivität per E-Mail. Darin fanden wir kurze Informationen zur Kategorie des Vorfalles, dem Risikolevel und der Kritikalität des betroffenen Geräts.
Der Risikolevel eines Vorfalls basiert auf verschiedenen Faktoren. Dazu zählt unter anderem die Wahrscheinlichkeit eines erfolgreichen Angriffs, das Ausmaß des möglichen Schadens und die Kritikalität des angegriffenen Geräts. Unterschieden wird dabei zwischen vier Stufen, die sich auch in den Farben Grau, Gelb, Orange und Rot für die höchste Risikostufe widerspiegeln. Durch die Konfiguration der automatischen Reaktion wurde der Client parallel isoliert. Dieser erhielt hierzu eine Meldung und sämtliche Verbindungen wurden getrennt. Eine Arbeit im Netzwerk war nicht mehr möglich und auch Outlook war nur noch offline verfügbar.
Im Dashboard ließ sich genau nachvollziehen, was am Client passiert ist: Der Bereich "Zusammenfassung" zeigte uns ein Diagramm der betroffenen Geräte und Prozesse. Ein Klick auf eine Komponente offenbarte weitere Informationen dazu. Im Punkt "Prozessstruktur" fanden sich die Ereignisse, die die Erkennung ausgelöst hatten. In einer Baumstruktur wurden Informationen zum jeweiligen Prozess aufgeführt und unser Testskript wurde mit seiner Befehlszeile hinterlegt. Im Bereich "Analyse" lassen sich Beschreibungen und Kommentare hinzufügen, die sich in die Reporte integrieren. Der letzte Punkt "Protokoll" liefert alle bisherigen Ereignisse der Erkennung.
Nachdem wir den Vorfall geprüft hatten, war dieser zu quittieren oder als Fehlalarm zu schließen. Zukünftige Ereignisse, die dem gleichen Muster entsprechen, werden dann automatisch als "Auto-Fehlalarm" geschlossen. Im Menü lässt sich als Reaktion das Gerät isolieren und der Nutzer über eine entsprechende Vorlage informieren. Die dafür notwendige E-Mail-Adresse mussten wir allerdings manuell eintragen – ein Adressbuch steht nicht zur Verfügung. Sofern "F-Secure Elements Endpoint Protection" zum Einsatz kommt, kann der Client einem kompletten Scan unterzogen werden und ein forensisches Paket lässt sich abrufen. Dieses enthält Informationen über das Gerät, die Firewallkonfiguration, Gruppenrichtlinieneinstellungen, Netzwerkeinstellungen und -aktivitäten, Windows-Ereignisprotokolle und Registrierungseinstellungen. Da die Bearbeitung ein einfaches Ticketsystem darstellt, lassen sich Vorgänge den Status "Neu", "Quittiert", "In Bearbeitung", "Überwachung" und "Geschlossen" zuordnen. Nach Prüfung des Vorfalles haben wir den Client wieder aus der Isolation entfernt und kurze Zeit später war das Gerät wieder online.
So urteilt IT-Administrator
Bewertung
Erkennen von Angriffen
9
Bedienbarkeit des Portals
6
Reaktionsmöglichkeiten
6
Reporting
5
Inbetriebnahme
9
Dieses Produkt eignet sich
optimal
für Unternehmen, die bereits F-Secure Endpoint Protection im Einsatz haben, beziehungsweise für Firmen, die noch keine DER-Lösung nutzen.
bedingt
für sehr große Organisationen, die eine integrierte Lösung benötigen, da F-Secure sich beispielsweise nicht an ein Ticketsystem anbinden lässt.
nicht
für Unternehmen, die eine lokale Sicherheitsanwendung suchen.
Kostenpflichtige Unterstützung von Experten
Nicht alle Vorfälle lassen sich selbstständig beheben, daher ist eine Eskalation direkt zu F-Secure möglich. Dessen Analysten untersuchen den Vorgang und bieten weitere Beratung an. Die Eskalation unterteilt sich in Bedrohungsvalidierung und -untersuchung. In der Validierungsphase kommt es zu einer Einstufung der Erkennung als "Bedrohung", "Fehlalarm" oder "verdächtig". Entspricht der Vorfall einer bekannten Bedrohung, berät F-Secure mit entsprechenden Reaktionen auf diese. Erscheint die Erkennung verdächtig, kann eine Untersuchungsanforderung erstellt werden. In dieser Phase analysieren die Experten von F-Secure den Vorgang vollständig und machen Vorschläge zur Reaktion auf diese Bedrohung.
Der Service muss dabei gesondert erworben werden und der Preis richtet sich danach, ob F-Secure als Partner Managed oder Company Managed Service genutzt wird. Ist der Dienst in eigener Nutzung, starten die Pakete bei rund 2500 Euro für zwei Validierungen und eine detaillierte Untersuchung. Die sehr einfache und integrierte Eskalationsmöglichkeit finden wir sehr positiv. Es nützt nichts, Unmengen an Logs vorzuhalten, wenn der IT-Verantwortliche wenig Erfahrung in der Bewertung hat. Hier einen erfahrenen Ansprechpartner zu haben, der direkt auf diese Logs schauen und sie bewerten kann, sorgt für mehr Sicherheit und ein ruhigeres Gewissen.
Fazit
Im Rahmen unseres begrenzten Tests können wir nicht abschließend beurteilen, wie gut die Erkennung wirklich ist, die vorhandenen Test sind aber sehr umfangreich. Insgesamt hinterlässt F-Secure Elements Endpoint Detection and Response aber einen positiven Eindruck. Gewünscht hätten wir uns mehr Möglichkeiten bei den Reaktionen, denn mit einer einfachen E-Mail ist es nicht immer getan. Auch die Isolierung des Clients als einzige automatische Reaktion mutet zunächst etwas simpel an, im Angriffsfall ist es aber die wichtigste Reaktion. Festzuhalten ist: Funktioniert die Erkennung wie beschrieben, trägt F-Secure Elements Endpoint Detection and Response in einem hohen Maß zur Sicherheit des Unternehmens bei.