teelittle
Goto Top

AV+Endpoint Security: Wie kann der Crowdstrike Sensor so kompakt sein?

Hallo,
nachdem der Win 10 Defender in den letzten Jahren gute Noten bekommen hat, haben wir (KMU, ein Dutzend Rechner) unsere AntiVir-Umgebung aufgegeben und dem Defender das Feld überlassen.
Kürzlich hat er aber einen Makrovirus verpasst, den ein relativ neuer Mitarbeiter (durch Klick auf "ja, ich will..." in WORD) zur Ausführung gebracht hat.
Glück im Unglück: der MA hat sofort den LAN-Stecker gezogen, und die Malware er konnte mit den eingeschränkten Benutzerrechten nichts anfangen.

Jetzt habe ich mir nochmal verschiedene Drittlösungen angeschaut und bin über Crowdstrike Falcon gestolpert - möglicherweise eine Nummer zu groß für uns, aber es macht einen guten Eindruck: die Entwickler konnten ein zu dem Zeitpunkt innovatives Konzept (ich spare mir diverse Buzzwords) ohne Altlasten starten, und das Ding ist wirklich anders:

1. ziemlich unsichtbar auf dem Client:
Kein Eintrag im Startmenü, kein Icon im Infobereich der Taskleiste, kein "Security Center"-Gedöhns). Nur im Falle eines Eingriffs gibt es eine kurze lapidare Mitteilung, dass ein Zugriff unterbunden wurde

2. Der User darf alles bis kurz vor der "Explosion":
verseuchtes ZIP-Archiv öffnen? - kein Problem. Malware-exe entpacken? Geht auch noch. Erst bei Ausführung des Schadcodes greift der Falcon ein

3. Der Sensor ist wirklich kompakt:
Soweit ich sehe, gibt es drei Prozesse im Task-Manager, und die haben eine Größe von 8..45 MB. Das scheint es gewesen zu sein...?
Jede andere AV-Lösung, die ich kenne (Avira, Bitdefender, MS Defender), hat mindestens einen Kernprozesse, der hunderte MB groß ist.

Jetzt frage ich mich: hab ich da was übersehen, oder ist das Konzept von Crowdstrike wirklich so komplett anders?
Bislang dachte ich, alle kochen mit Wasser... aber vielleicht kocht CS in anderer Höhenlage, so dass deren Wasser schon bei 80°C siedet?

Gibt es jemanden, die/der dazu etwas sagen kann (und ggf. eine Empfehlung für eine leichtgewichtige, gute AV-/EndpointSecurity-Lösung für KMU aussprechen kann)?

Danke für eure Einschätzungen!

Schönen Gruß,
TeeLittle

Content-ID: 1709678077

Url: https://administrator.de/contentid/1709678077

Ausgedruckt am: 04.12.2024 um 18:12 Uhr

mbehrens
mbehrens 10.01.2022 um 20:55:46 Uhr
Goto Top
Zitat von @TeeLittle:

nachdem der Win 10 Defender in den letzten Jahren gute Noten bekommen hat, haben wir (KMU, ein Dutzend Rechner) unsere AntiVir-Umgebung aufgegeben und dem Defender das Feld überlassen.
Kürzlich hat er aber einen Makrovirus verpasst, den ein relativ neuer Mitarbeiter (durch Klick auf "ja, ich will..." in WORD) zur Ausführung gebracht hat.

Da stellt sich doch erstmal die Frage, warum man solche Makros überhaupt ausführen kann.
keine-ahnung
keine-ahnung 10.01.2022 um 21:14:21 Uhr
Goto Top
Moin,

der Preis ist heiss ... > 100 Euro pro client und Jahr?

Ich fahre mit diesem Teil seit Jahren gut - den merkt man nicht. Die renewal-Lizenz kostet brutto round about 25 Ocken pro Jahr und der fischt Die auch email-Anhänge, die ausführbaren code enthalten können, aus dem mails raus.

Wie kommt man eigentlich zu einem infizierten wordfile??? Kommunikation nach aussen: ausser CD, PDF, PNG, JPEG lasse ich nichts an meinen Körper ...

LG, Thomas
surreal1
surreal1 10.01.2022 um 21:28:58 Uhr
Goto Top
Wir benutzen seit Jahren Bitdefender mit der Gravityzone. Super Management, sehr gute Erkennung, sehr wenige Falschmeldung und preislich voll akzeptabel.

Meiner Meinung nach reicht einem der Windows Defender vollkommen aus, aber auch nur dann wenn man eine allgemeine Zentrale Management Plattform hat. Ansonsten ist das Verhalten von Mitarbeitern nicht nach zu verfolgen, die man Schulen müsste, die alles im Netz anklicken und runterladen.
departure69
departure69 11.01.2022 um 07:58:31 Uhr
Goto Top
@mbehrens:

Da stellt sich doch erstmal die Frage, warum man solche Makros überhaupt ausführen kann.

Hhmmm, schwierig. Unsere Leute müssen auch Word-Makros ausführen können. Das liegt 1. an unserem Briefkopf -> ein Makro liest die Kopfdaten aus dem AD, und 2. an verschiedenen Word-Makros in Fachapplikationen der Hersteller (zumindest derer, die auf Word als Texteditor setzen, die brauchen tatsächlich zwingend eine "winword.exe"), VBA ist da halt immer noch sehr beliebt.

Aber: Wir lassen keine MS-Office-Dateien, ob nun mit Makro oder nicht, von außen rein, also gar keine. Am Exchange gesperrt, ein NDR teilt dem Absender mit, daß er gefälligst PDF einsenden soll.

Vielleicht gibt's beim TE ähnliche Gründe.

Viele Grüße

von

departure69
Looser27
Looser27 11.01.2022 um 09:43:01 Uhr
Goto Top
Hhmmm, schwierig. Unsere Leute müssen auch Word-Makros ausführen können.

Dafür signiert man dann das benötigte Makro und verbietet das Ausführen nicht-signierter-Makros.
TeeLittle
TeeLittle 11.01.2022 um 10:26:47 Uhr
Goto Top
Danke für die verständnisvollen Kommentare bzgl. Ausführung von Makros... face-smile
In der Tat kommt ein vollständiges Blocken bei uns (leider) nicht in Frage.

Danke auch für die Tipps und Hinweise zu KMU-geeigneten Lösungen, die ich mir auf jeden Fall anschaue.

Zu der zentralen Frage, warum der Falcon Sensor so kompakt ist, habe ich allerdings noch nichts gelesen.
Kann es sein, dass der Sensor rein verhaltensbasiert arbeitet und daher kein Signaturenpack mitführen muss (das würde auch erklären, warum er erst im letzten Schritt eingreift und die reine Existenz von infizierten Dateien erstmal nicht bemängelt)??

Gibt es andere Stellen, wo man genauere Informationen darüber kriegen könnte? - es interessiert mich wirklich, ob da jemand mit einer technisch völlig anderen Herangehensweise unterwegs ist!
TeeLittle
TeeLittle 11.01.2022 um 10:30:49 Uhr
Goto Top
Zitat von @keine-ahnung:
der Preis ist heiss ... > 100 Euro pro client und Jahr?

Das ist wohl nicht zwingend das letzte Wort... aber in der Tat ist das eine völlig andere Dimension als bei den üblichen SmallOffice-Suites.

Mir scheint es so, als würde man bei Crowdstrike für sein Geld tiefgehendere Informationen über Verhalten, Infektionswege usw. geboten bekommen - aber damit das ein Mehrwert wäre, müsste man natürlich auch Zeit haben, sich damit auseinanderzusetzen *g*
C.R.S.
C.R.S. 11.01.2022 um 11:47:52 Uhr
Goto Top
Zitat von @TeeLittle:

Kann es sein, dass der Sensor rein verhaltensbasiert arbeitet und daher kein Signaturenpack mitführen muss (das würde auch erklären, warum er erst im letzten Schritt eingreift und die reine Existenz von infizierten Dateien erstmal nicht bemängelt)??

Ja, Falcon ist kein Antivirus, sondern ein HIDS, ähnlich wie OSSEC oder Red Canary. Solche Produkte sind nicht dazu gedacht, AV gänzlich zu ersetzen, vor allem nicht auf Endgeräten. Wenn ein ISMS Antivirus z.B. auf (Linux-)Servern vorschreibt, kann ein HIDS einen Ersatz darstellen, der den typischen Angriffen auf Servern besser entgegen wirkt (Angriffe auf Server-Dienste über das Netzwerk, Post-Expoitation mit Bordmitteln) und die operativen Nachteile von AV in dem Kontext vermeidet.

Grüße
Richard
TeeLittle
TeeLittle 11.01.2022 um 13:28:04 Uhr
Goto Top
Hallo Richard,

danke für die Erklärung!
Was mich wundert ist Deine Einschätzung, dass Falcon kein Ersatz für einen AV sei - in der Doku schreibt Crowdstrike, dass andere Virenscanner deaktiviert sein sollten, sobald Falcon das Recht bekommt, Dateien in Quarantäne zu nehmen.
Oder meinst Du, dass man das etablierten AV-Produkten überlassen sollte und Falcon nur für die Verfolgung von Angriffen nutzen?

Gruß,
TeeLittle
C.R.S.
C.R.S. 11.01.2022 um 19:33:41 Uhr
Goto Top
Zitat von @TeeLittle:

Oder meinst Du, dass man das etablierten AV-Produkten überlassen sollte und Falcon nur für die Verfolgung von Angriffen nutzen?

Das würde ich vom bevorzugten Handling und Support-Modell abhängig machen (AV kann beim Operationsmanagement, Falcon bei der Security aufgehängt sein). Der Ansatz von Falcon spricht aber in der Tat dafür, zu diesem Zweck AV zu nutzen, wenn beides vorhanden ist.

Dass sich zwei Quarantänen von Security-Produkten ausschließen, ist ja erst mal nur funktionales Erfordernis. "Nicht dazu gedacht" war vielleicht etwas hart, weil in erster Linie natürlich CrowdStrike ihr Produkt durchdenken und im Marketing durchaus AV ins Visier nehmen. Da kommen sie aber nicht her und das war auch vor wenigen Jahren nicht so, als ich noch mit dem Produkt umging. Also scheint mir das eher ein Kampf um das eine Security-Budget der Kunden zu sein.
Man kann es auch ersetzend einführen, aber es bleiben halt grundverschiedene Ansätze (Application-Whitelisting könnte man hier auch noch nennen), die sich meines Erachtens auf Enduser-Devices ergänzen.
Das kann ja in der Umgebung konkret analysiert werden: Wenn ihr durch klassches AV-Scanning nenneswerte Funde habt, also Verbreitungswege von infizierten Dateien existieren und erfolgreich unterbrochen werden, würde ich das nicht aufgeben (aber genauer hinsehen, wo immer diese Dateien herkommen). Wenn Situationen wie die in der Fragestellung dominieren (derzeit oder nach Nachbesserung in der Netzwerk-Security/Wechselmedien/den Quellen besagter Dateien), also die Erkennung bei der Ausführung oder gar Ausführungen ohne Erkennung dominieren, spricht das für Falcon.