Enginsight
Großer Schutz für Kleine
Veröffentlicht in Ausgabe 04/2024 - TESTS
Bei einer ständig wachsenden Bedrohungslage ist ein durchgängiges Informationssicherheitskonzept für Unternehmen zunehmend ein Erfolgsfaktor. Insbesondere Small-Business-Kunden, also sehr kleine und kleine Unternehmen, stehen hier vor der Heraus- forderung, kosteneffektive und dennoch robuste Systeme zu implementieren. Sehr kleine Unternehmen sehen sich dabei zusätzlich mit knappen Budgets und fehlenden Fachkräften konfrontiert. Sie können entweder keine hauptamtlichen In- formationssicherheitsbeauftragten beschäftigen oder finden keine geeigneten Kandidaten für eine solche Position.
An dieser Stelle setzt das junge deutsche Unternehmen Enginsight aus Jena an. Selbst erst 2017 als Startup im Bereich der Informationssicherheit gegründet, positioniert sich das Unternehmen als Anbieter einer umfassenden IT-Security-Software für Kunden jeder Größenordnung und ausdrücklich speziell auf die Bedürfnisse kleiner Unternehmen zugeschnitten – wahlweise in Form von Software-as-a-Service (SaaS) oder zur Installation on-premises.
| Produkt | SaaS für die Sicherheit von Clients, Servern und Webapplikationen. |
|---|---|
| Hersteller |
Enginsight
|
| Preis | Alle Angaben pro Monat: SaaS Small Business ab 9,90 Euro pro Server, ab 2,80 Euro pro Client, ab 9,90 Euro pro Webseite/Webapp sowie Penetrationstest ab 139,64 Euro pro Unternehmen. SaaS Pro ab 29,99 Euro pro Server, ab 4,99 Euro pro Client, ab 9,99 Euro pro Webseite/Webapp sowie Penetrationstest ab 139,64 Euro. Preise für Installation on-premises auf Anfrage. |
| Systemanforderungen | Pulsar-Agent: Für x86-64-Architekturen macOS, CentOS 7/8, Debian 8 bis 10, Windows 7 bis 11 und Windows Server 2008 R2 bis 2022, Red Hat Enterprise Linux 7 bis 9, Rocky Linux 8/9, AlmaLinux 8/9, SUSE openSUSE 12 bis 15, Ubuntu 16 bis 22, Oracle Linux 7 bis 9 sowie auf Anfrage Oracle Solaris 10/11. Unter ARM macOS, Debian, Windows 11, Pidora, Raspbian, Raspberry Pi OS, Ubuntu sowie auf Anfrage Arch Linux und Chromium OS. Observer, Watchdog und Hacktor: x86- 64- oder ARM-Architektur mit Debian 9 bis 11 und CentOS 7/8. |
| Technische Daten |
Enginsight adressiert Firmen, die bereits ein grundlegendes Endpoint Detection and Response (EDR) zur Abwehr von Malware einsetzen und sich nun darüber hinaus mit dem Schwachstellenmanagement beschäftigen möchten. Dazu hat der Anbieter ein Gesamtpaket geschnürt, das anstelle zahlreicher einzelner Werkzeuge und Insellösungen die wichtigsten Komponenten für einen ganzheitlichen IT-Security-Workflow mitbringt. So soll auch Unternehmen ohne speziell ausgebildete Experten der Informationssicherheit eine kontinuierliche Überwachung, Analyse und Optimierung ihrer Sicherheitslage gelingen.
Bei einer ständig wachsenden Bedrohungslage ist ein durchgängiges Informationssicherheitskonzept für Unternehmen zunehmend ein Erfolgsfaktor. Insbesondere Small-Business-Kunden, also sehr kleine und kleine Unternehmen, stehen hier vor der Heraus- forderung, kosteneffektive und dennoch robuste Systeme zu implementieren. Sehr kleine Unternehmen sehen sich dabei zusätzlich mit knappen Budgets und fehlenden Fachkräften konfrontiert. Sie können entweder keine hauptamtlichen In- formationssicherheitsbeauftragten beschäftigen oder finden keine geeigneten Kandidaten für eine solche Position.
An dieser Stelle setzt das junge deutsche Unternehmen Enginsight aus Jena an. Selbst erst 2017 als Startup im Bereich der Informationssicherheit gegründet, positioniert sich das Unternehmen als Anbieter einer umfassenden IT-Security-Software für Kunden jeder Größenordnung und ausdrücklich speziell auf die Bedürfnisse kleiner Unternehmen zugeschnitten – wahlweise in Form von Software-as-a-Service (SaaS) oder zur Installation on-premises.
| Produkt | SaaS für die Sicherheit von Clients, Servern und Webapplikationen. |
|---|---|
| Hersteller |
Enginsight
|
| Preis | Alle Angaben pro Monat: SaaS Small Business ab 9,90 Euro pro Server, ab 2,80 Euro pro Client, ab 9,90 Euro pro Webseite/Webapp sowie Penetrationstest ab 139,64 Euro pro Unternehmen. SaaS Pro ab 29,99 Euro pro Server, ab 4,99 Euro pro Client, ab 9,99 Euro pro Webseite/Webapp sowie Penetrationstest ab 139,64 Euro. Preise für Installation on-premises auf Anfrage. |
| Systemanforderungen | Pulsar-Agent: Für x86-64-Architekturen macOS, CentOS 7/8, Debian 8 bis 10, Windows 7 bis 11 und Windows Server 2008 R2 bis 2022, Red Hat Enterprise Linux 7 bis 9, Rocky Linux 8/9, AlmaLinux 8/9, SUSE openSUSE 12 bis 15, Ubuntu 16 bis 22, Oracle Linux 7 bis 9 sowie auf Anfrage Oracle Solaris 10/11. Unter ARM macOS, Debian, Windows 11, Pidora, Raspbian, Raspberry Pi OS, Ubuntu sowie auf Anfrage Arch Linux und Chromium OS. Observer, Watchdog und Hacktor: x86- 64- oder ARM-Architektur mit Debian 9 bis 11 und CentOS 7/8. |
| Technische Daten |
Enginsight adressiert Firmen, die bereits ein grundlegendes Endpoint Detection and Response (EDR) zur Abwehr von Malware einsetzen und sich nun darüber hinaus mit dem Schwachstellenmanagement beschäftigen möchten. Dazu hat der Anbieter ein Gesamtpaket geschnürt, das anstelle zahlreicher einzelner Werkzeuge und Insellösungen die wichtigsten Komponenten für einen ganzheitlichen IT-Security-Workflow mitbringt. So soll auch Unternehmen ohne speziell ausgebildete Experten der Informationssicherheit eine kontinuierliche Überwachung, Analyse und Optimierung ihrer Sicherheitslage gelingen.
SaaS für kleine, lokal für große Unternehmen
Enginsight deckt Clients und Server unter Windows, macOS, verschiedenen Linux-Distributionen sowie Webseiten und Webapplikationen ab. Die Software bietet dabei eine Vielzahl an Funktionen, darunter agentenbasiertes sowie agentenloses Monitoring von Hosts, Überwachung von Webseiten und -applikationen, Schwachstellenmanagement, Intrusion Detection and Prevention (IDS/IPS), Überprüfung der Integrität von Dateien und Ordnern, automatisierte Penetrationstests sowie Inventarisierung und Automatisierung. All diese Funktionen versammelt Enginsight auf einer webbasierten Plattform. Besonders kleine Kunden profitieren vom SaaS-Angebot, das keine eigene Infrastruktur erfordert.
Dabei stehen zwei SaaS-Ausbaustufen zur Verfügung: Small Business (SB) und Pro. Beide Pakete sind direkt online buchbar, bieten denselben Funktionsumfang und unterscheiden sich lediglich im Hinblick auf die Preise und maximale Anzahl verwalteter Objekte. SB ermöglicht so auch kleinen Organisationen einen kostengünstigen Einstieg in ein professionelles Management der Informationssicherheit. Allerdings legt SB den Fokus tatsächlich auf sehr kleine Unternehmen. Das Paket bindet nur einen einzigen Server an.
Zusätzlich können IT-Verantwortliche gegen Aufpreis pro Objekt und Monat bis zu zehn Clientcomputer und maximal zwei Webseiten integrieren. Entwickelt sich die Anzahl an Objekten darüber hinaus, steht ein Tarifwechsel auf das Pro-Paket an. Dies verschiebt die Grenzen deutlich und integriert jeweils maximal 500 Server, Clients und Webseiten. In beiden Lizenzen können Unternehmen auf monatlicher Basis automatisierte Penetrationstests hinzubuchen. Direkt in seinem SaaS-Webfrontend bietet Enginsight die Vorlage für einen Auftragsverarbeitungsvertrag (AVV) zum Download an. Demnach dienen die Amazon Web Services (AWS) dem Hosting der VMs für den Betrieb des SaaS-Angebots, während der Anbieter MongoDB die Datenbanken betreibt und die "Observer" (dazu gleich mehr) zum Monitoring von Webseiten in den Clouds von Hetzner und Digital-Ocean laufen.
Für Firmen, die das SaaS-Angebot nicht nutzen oder mehr als 500 Objekte einer Kategorie verwalten möchten, bietet Enginsight eine Installation im eigenen Rechenzentrum an und deckt somit Unternehmen nahezu jeder Größenordnung ab. In diesem Fall bilden Applikations- und Datenbankserver mit Debian 11, Docker und MongoDB den Unterbau, wobei Enginsight den Applikationsserver exklusiv nutzen möchte und keine anderweitigen Docker-Instanzen darauf laufen dürfen. Enginsight unterstützt die möglichst einfache Installation mit vorgefertigten Debian-Images, doch auch eine manuelle Installation ist schnell erledigt.
Da die Software on-premises zudem mandantenfähig ist, richtet sie sich nicht nur an Unternehmen, die Enginsight als Endkunden direkt einsetzen, sondern auch an Managed-Service-Provider (MSP), die Informationssicherheit als Dienstleistung für Dritte anbieten. Im Gegensatz zu den SaaS-Angeboten bietet die lokal installierte Variante dazu eine eigene Lizenzverwaltung für die Untermandanten, weitergehende optische Anpassungen mit eigenem Logo und eigenen Farben sowie die Integration mit einem eigenen Mailserver.
Nur die Installation on-premises erlaubt zudem das Single Sign-On gegenüber Microsoft Entra ID, dem ehemaligen Azure AD, und bringt fortgeschrittene Funktionen für das Security Information and Event Management (SIEM) sowie eine Integration mit EDR-Systemen verschiedener Hersteller mit.
Im Rahmen unseres Tests interessierten uns jedoch vor allem Handhabung und Funktionsumfang des SaaS-Angebots aus der Perspektive von sehr kleinen Unternehmen, die sich in Eigenregie um die Einschätzung und Verbesserung ihrer Sicherheitslage kümmern möchten.
Agenten für zahlreiche Zielsysteme
Die Architektur ist unabhängig davon, ob Sie Enginsight als SaaS-Angebot nutzen oder lokal installieren (Bild 1). In der oder den zu überwachenden Infrastrukturen fungieren vier Softwaremodule als verteilte Sensoren. Diese sammeln Daten und senden sie an die zentralen Enginsight-Dienste, die die Informationen in einer Datenbank speichern. Konfiguration und Analyse erledigen Admins interaktiv per Webfrontend oder automatisiert per API gesteuert.
Der Pulsar-Agent lässt sich auf Clients und Servern installieren und überwacht so die Systeme dauerhaft von innen. Solche Systeme bezeichnet Enginsight als Host, im Gegensatz zu Endpunkten. Unter Letztere fallen etwa Webseiten und Webapplikationen, die ohne lokalen Agenten auskommen. Der Agent dient als Schwachstellen-Scanner, der bekannte Sicherheitslücken und Anfälligkeiten (Common Vulnerabilities and Exposures, CVE) sowie fehlende Patches erkennt. Weiterhin analysiert der Agent den Netzwerkverkehr mittels Deep Packet Inspec-tion und unterstützt dynamisches Blocken von Netzwerkattacken, Eventlog-Analysen, Anomalieerkennung durch Machine Learning, Monitoring, Softwareinventarisierung, Portüberwachung und auch das Konfigurationsmanagement.
Positiv sei erwähnt, dass wir zum Einsatz des Pulsar-Agenten keine Ports unserer Hosts nach außen öffnen mussten. Die Kommunikation erfolgt grundsätzlich nur in einer Richtung, nämlich vom Host zur zentralen Infrastruktur über die TCP-Ports 80 und 443. Der Agent geht sehr sparsam mit den Ressourcen um, hat keine besonderen Hardwareanforderungen und gibt sich mit lediglich 1 GByte RAM zufrieden.
Weiterhin hat uns die breite Abdeckung an Betriebssystemen, sowohl für x64- als auch für ARM-Prozessoren, positiv überrascht. Enginsight unterstützt nicht nur Windows und macOS, sondern auch eine breite Palette an Linux-Distributionen. Neben den etablierten Distributoren finden sich auf der Kompatibilitätsliste auch noch junge Projekte, wie AlmaLinux und Rocky Linux, die in die Fußstapfen von CentOS treten wollen. Lob verdient, dass sich der Hersteller auch um Raspbian und dessen Nachfolger Raspberry Pi OS kümmert. Somit werden auch schnell aufgesetzte und dann vernachlässigte Bastelprojekte auf Basis eines Raspberry Pi nicht zum Sicherheitsrisiko.
Auch Systeme ohne Agenten jederzeit im Blick
Darum, dass Systeme ohne installierten Agenten nicht durchs Raster fallen, kümmert sich das zweite Modul namens "Watchdog". Dieses scannt komplette Netzbereiche und inventarisiert automatisch alle gefundenen Systeme. Weiterhin unterstützt Watchdog das agentenlose Monitoring per Ping, Portüberwachung sowie SNMP.
Das Observer-Modul untersucht im Inter- oder Intranet erreichbare Webseiten und Webanwendungen auf deren Verfügbarkeit, CVE, HTTP-Header, DNS- sowie SSL/TLS-Einstellungen und offene Ports. Wer nur öffentlich im Internet erreichbare Endpunkte überwachen möchte, muss nicht zwingend eigene Observer installieren. Enginsight betreibt Observer in Frankfurt am Main sowie auch im US-Staat Virginia, um die Erreichbarkeit von Webseiten von verschiedenen geografischen Standorten aus zu testen.
Das Hacktor-Modul wiederum betrachtet seine Ziele aus der Perspektive eines Angreifers und führt einmalig oder regelmäßig automatisierte Penetrationstests auf ganze Infrastrukturen, einzelne IP-Adressen oder Webseiten aus. Im Internet oder Intranet platziert, kümmert sich Hacktor um passive Methoden, wie Informationsbeschaffung und Scans auf CVE, Erkennen von Konfigurationsfehlern im Hinblick auf Verschlüsselung, Authentifizierung und Privilegien, aber auch um aktive Methoden wie Bruteforce-Attacken.
Watchdog, Observer und Hacktor laufen nur unter Linux, kommunizieren ebenfalls über die TCP-Ports 80 und 443 mit der zentralen Infrastruktur und können sich gemeinschaftlich eine Maschine als Basis teilen. Der Hersteller empfiehlt jedoch den getrennten Betrieb der Module. Auch hierbei ist der Ressourcenbedarf moderat: Jedes Modul verlangt mindestens zwei Prozessorkerne, 2 GByte Hauptspeicher sowie 20 GByte Massenspeicher. Beim gemeinsamen Betrieb der Module veranschlagt Enginsight vier Kerne, 4 GByte RAM sowie 50 GByte Massenspeicher. Im Hinblick auf die Lizenzkosten zählen nur Hosts und Endpunkte, nicht aber die Instanzen der Rollen Watchdog, Observer und Hacktor, von denen es ohne weitere Kosten durchaus mehrere geben darf.
Per Assistent zügig zu ersten Ergebnisse
Im Rahmen unseres Tests registrierten wir uns auf der Webseite des Herstellers. wo ein für 14 Tage kostenloser Zugang bereitsteht, der keine Kreditkartendaten oder anderweitige Zahlungsinformationen erfordert. Während der Testphase stehen alle Funktionen uneingeschränkt bereit und der Anbieter löscht die Umgebung nach Ablauf der Frist. Registrierung und erste Konfigurationsschritte gelangen innerhalb weniger Minuten und lieferten umgehend aussagekräftige Ergebnisse. Dazu hilft nach der initialen Anmeldung ein Assistent, der uns in sieben simplen Schritten dabei unterstützte, einen Host sowie einen Endpunkt und passend dazu Alarme bei deren Nichterreichbarkeit zu konfigurieren.
Um zu schnellen Anfangserfolgen zu gelangen, richtet der Assistent die Objekte mit vereinfachtem Funktionsumfang ein. Zusätzliche Optionen erreichten uns später bei der Konfiguration weiterer Objekte im Webfrontend. Dessen Oberfläche erschließt den Funktionsumfang intuitiv. Am linken Bildrand führt eine vertikale Liste von Icons zu den Hauptbereichen mit einem zum jeweiligen Punkt passenden Untermenü rechts daneben.
Auch intern viel Sicherheit
Zunächst widmeten wir uns der grundlegenden Konfiguration der Einstellungen. Enginsight legt auch hier den Fokus auf Sicherheit und verifiziert Änderungswünsche mindestens mittels per E-Mail übermitteltem sechsstelligen Code. Zusätzlich aktivierten wir im Bereich "Benutzerkonto / Erweiterte Einstellungen" die Zweifaktor-Authentifizierung (2FA) und gaben dies im Bereich "Organisation / Erweiterte Einstellungen" auch verpflichtend für alle weiteren Teammitglieder vor. Im Bereich "Multi-Faktor-Authentifizierung" der Einstellungen konnten wir dann ein TOTP-Verfahren für eine beliebige Authenticator-App einrichten.
Im Bereich der "Rollen" bringt Enginsight die vier vorgefertigten Rollen Eigentümer, Administrator, Operator und Gast mit. Alternativ dazu konnten wir auch eigene Rollen definieren, darüber Berechtigungen für alle Bereiche granular regeln und im Bereich "Teammitglieder" weiteren Benutzern den Zugriff auf das Webfront-end ermöglichen. Der Bereich der "Gruppen" fasst Benutzer in Teams zusammen, um Zuständigkeiten wie Berechtigungen zuzuweisen, und der Bereich der "Verantwortlichkeiten" lässt für die drei Kategorien der Hosts, der Endpunkte und der Security jeweils einen Hauptverantwortlichen nebst Stellvertretung festlegen. Darüber hinaus konnten wir für jedes einzelne Objekt dediziert technisch und fachlich Verantwortliche bestimmen.
Die Unterpunkte der "Zahlungsmethoden", "Pläne" und "Rechnungen" werden erst zum Ende der Testphase bei produktiver Nutzung relevant, ebenso der Punkt "Support", unter dem sich über die grundlegende Unterstützung hinaus optional Premium- oder Professional-Support-Pakete mit erweitertem Umfang und kürzeren Reaktionszeiten buchen lassen.
Pulsar-Agent per Befehl schnell installiert
Das Dashboard als oberster Punkt der Icon-Leiste bildet die zentrale Anlaufstelle mit einer Gesamtsicht zum Zustand der Umgebung mit allen Hosts, Endpunkten, den identifizierten Sicherheitslücken und Netzwerkanomalien. Unterpunkte für das Schwachstellenmanagement schlüsseln dies weiter auf nach CVEs sowie im Asset Operation Center nach kritischen Meldungen, Warnungen und Informationen für die Hosts und Endpunkte. Die Ansicht des Partner Operation Centers ist nur für MSPs relevant, die ihrerseits mehrere Kunden betreuen.
Um das Dashboard mit Leben zu füllen, fügten wir unserer Umgebung nun Objekte hinzu. Dazu hatten wir einen Win-dows Server 2022 vorbereitet, den wir bewusst nicht mit den aktuellen Win-dows-Updates versehen und zudem mit veralteter Software präpariert hatten. Im Hauptbereich "Hosts" dienen die beiden Aktionen "Server Host erstellen" und "Client Host erstellen" lediglich einer Unterscheidung im Hinblick auf die unterschiedlichen Lizenzkosten. Technisch funktionieren beide Methoden identisch und wir entschieden uns für Erstere.
Enginsight macht die Installation des Pulsar-Agenten denkbar einfach, Herunterladen und Kopieren von Softwarepaketen ist nicht nötig. Das Webfrontend liefert für die interaktive Installation stattdessen je nach Zielplattform einen PowerShell-Befehl für Windows oder Shell-Befehle für verschiedene Linux-Distributionen sowie macOS mit Hinweisen zu deren Verwendung. Wir mussten den Befehl lediglich in einer administrativen PowerShell-Sitzung auf unserem System ausführen, das sich anschließend sofort im Webfrontend meldete. Alternativ dazu unterstützt Enginsight auch die automatische Installation und den Rollout mittels Gruppenrichtlinien und eines Startskripts. Die Master-Images einer Virtual Desktop Infrastructure (VDI) hat der Hersteller ebenfalls mit einer Installation bedacht.
Schwachstellen undMonitoring auf einen Blick
Enginsight versieht Objekte mit frei definierbaren Tags, im Fall unseres Hosts automatisch vorbelegt mit den Begriffen "Host", "Windows" und "Server", sodass auch bei einer größeren Anzahl an Objekten der Überblick nicht verloren geht. In der Übersicht zeigt das Webfrontend alle Hosts mit ihren wichtigsten Eckdaten auf einen Blick. So konnten wir hier etwa erkennen, ob der Pulsar-Agent Sicherheitslücken, fehlende Updates, Probleme mit Diensten oder anderweitige Ungereimtheiten festgestellt hat.
Die Übersicht zeigt weiterhin die wichtigen Monitoringdaten, Auslastung von CPU, RAM, Auslagerungsdatei und Massenspeicher. In einer weiteren Übersicht pro Host stellt das Webfrontend die Entwicklung der Systemauslastung über die Zeit dar und gibt Handlungsempfehlungen zur Behebung der Funde. Die schlüsselt das Untermenü pro Host detailliert auf, unterteilt in die Kategorien "Monitoring" und "Sicherheit". So erhielten wir eine Auflistung sämtlicher Software, die der Pulsar-Agent auf unserem Host erkannt hatte, sowie den Status von Diensten, Prozessen und Netzwerkverbindungen. Dienste konnten wir direkt aus dem Webfrontend starten, stoppen oder neu starten und hier auch Prozesse beenden.
Der Menüpunkt "Sicherheitslücken" liefert Hintergrundinformationen zu allen identifizierten Schwachstellen mit einer Einschätzung der Kritikalität und direktem Link zum entsprechenden CVE-Eintrag in der National Vulnerability Database des National Institutes of Standards and Technology (NIST). Hier fanden wir Hinweise auf veraltete Software, sodass wir diese aktualisieren oder aber auch einzelne Risiken akzeptieren konnten (Bild 2). Unter dem Punkt "Updates" listete Enginsight alle ausstehenden Betriebssystemupdates auf, deren Installation wir direkt aus dem Webfrontend heraus remote veranlassen konnten.
Bevor der Menüpunkt "Netzwerkanomalien" uns Informationen lieferte, mussten wir zunächst für den Host unter "Sonstiges / Einstellungen" den Netzwerkmitschnitt erlauben. Optional bietet Enginsight an, dabei ermittelte IP-Adressen in der Auswertung zu anonymisieren. Hier konnten wir auch auf fünf Stufen die Schärfe des IDS zwischen Performance und Sicherheit justieren. Kaum hatten wir den Netzwerkmitschnitt eingeschaltet, erkannte der Pulsar-Agent für unseren Server, den wir als virtuelle Maschine in der Public Cloud betrieben, Brute-Force-Anmeldeversuche über den öffentlich erreichbaren RDP-Port, sodass wir auch hier reagieren oder aber das Risiko mithilfe einer Whitelist-Regel akzeptieren konnten (Bild 3).
Umfassende Analyse von Webapplikationen
Im Hauptbereich "Endpunkte" fügten wir exemplarisch zwei Webseiten mit den Content Management Systemen WordPress und Joomla! hinzu. Dazu definierten wir den jeweiligen URL mit einer optionalen Beschreibung sowie Tags. Weiterhin mussten wir bestätigen, dass wir berechtigt sind, den Endpunkt zu analysieren, und konnten wählen, welche Tests Enginsight pro Endpunkt ausführen soll. Standardmäßig sind die sieben verfügbaren Features DNS, SSL/ TLS, Webseite, Apps, Portscan, HTTP-Header sowie Redirects aktiv. Da wir keinen eigenen Observer installiert hatten, nutzten wir die Systeme von Enginsight in Frankfurt am Main und Virginia, USA.
Analog zu den Hosts liefert auch der Bereich der Endpunkte eine Liste aller Webanwendungen mit schnell zu erfassenden Informationen zu ihrer Sicherheit, bewertet nach den Kategorien der Tests und Monitoringdaten der Observer (Bild 4). Die Übersicht pro Endpunkt schlüsselt die Befunde weiter auf und liefert – gewichtet nach der Kritikalität – Hintergrundinformationen und Hinweise zum Umgang mit dem jeweiligen Risiko.
So schnitten unsere exemplarischen Webseiten etwa im Bereich der HTTP-Header beim ersten Testdurchlauf schlecht ab. Enginsight lieferte uns aber die nötigen Tipps, um eine fehlende HTTP-Strict-Transport-Security (HSTS) oder empfohlene X-Frame-Options zu konfigurieren. Hierzu bedarf es im Einzelfall entsprechendem Fachwissen. Auch sehr kleine Firmen mit wenig eigenem IT-Personal erhalten so aber zumindest auf einen Blick nützliche Hinweise. Sie erfahren vielleicht erst auf diesem Weg, dass Handlungsbedarf besteht, und können sich mit diesem Wissen an ihren Provider oder externen Webentwickler wenden.
Netzwerkscans und Pentests einfach gemacht
Die Installation der Serverrollen Watchdog und Hacktor gestaltete sich ähnlich simpel wie die des Pulsar-Agenten. Unter den Menüpunkten "Discoveries / Watchdogs" sowie "Penetrationstests / Hacktors" lieferte uns das Webfrontend die nötigen Shell-Befehle zur Installation unter Debian oder CentOS. Sobald wir die Befehle auf einem Linux-Server in unserem Netz ausgeführt hatten, meldete diese sich umgehend im Webfrontend.
Im Fall des Watchdogs definierten wir IP-Adressbereiche, die das System daraufhin durchsuchte und uns alle Funde als Inventarliste sowie in Form einer grafischen Asset-Map präsentierte. Von dort konnten wir einzelne IP-Adressen ins Monitoring einbinden. Im Bereich der Penetrationstests fügten wir Zielsysteme und schließlich Vorlagen hinzu. Vorlagen ermöglichen standardisierte und wiederholbare Penetrationstests, um die Reproduzierbarkeit und Vergleichbarkeit der Ergebnisse zu gewährleisten.
Über Brute-Force-Attacken hinaus nimmt Hacktor optional per Auth-Provider Anmeldedaten von Zielsystemen entgegen, um mehr Informationen abzurufen und mehr Schwachstellen zu detektieren, als es ohne valide Zugangsdaten möglich wäre. Unter "Penetrationstests / Audit" fanden wir nach einem Pentest schließlich detaillierte Informationen zu auf diesem Weg erkannten Schwachstellen.
Fazit
Enginsight positioniert sich als praktisches Werkzeug mit sehr breit aufgestelltem Funktionsumfang auch für sehr kleine Unternehmen, die über reines EDR hinaus ein professionelles Schwachstellenmanagement und Monitoring der Informationssicherheit aufbauen möchten. Die Inbetriebnahme der Software gelingt in kürzester Zeit und liefert dabei ebenso schnell aussagekräftige Ergebnisse, für die es ansonsten mehrere spezialisierte Werkzeuge und umfassendes Fachwissen bräuchte. Zu beachten sind hierbei allerdings die Begrenzungen des Small-Business-Pakets, das lediglich einen Server, zwei Webanwendungen und zehn Clients erlaubt. Wer mehr benötigt, muss den nächsthöheren Tarif oder im Fall sehr großer Unternehmen eine lokale Installation wählen.
(jp)
Securityfunktionen | 10 |
Installation Agent und Server | 7 |
Integration von Hosts | 8 |
Integration von Endpunkten | 8 |
Pentests per Hacktor | 8 |
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/
|
|