Carbon Black stellte kürzlich in München gemeinsam mit dem Distributor Arrow sein aktuelles Portfolio für den Schutz von Clients und Servern vor. Der Spezialist für Endpunktsicherheit nutzt eine kontinuierliche Geräteüberwachung inklusive Auswertung mittels künstlicher Intelligenz (KI), um die Abwehr von Angriffen und Malware möglichst weitgehend zu automatisieren.

Carbon Blacks Cb Endpoint Security Platform umfasst die Lösungen Cb Defense (Viren- und Malware-Erkennung), Cb Response (Incident Response, also Angriffserkennung und -abwehr) sowie Cb Protection (Härtung kritischer Server). Cb Protection gibt es seit Monatsanfang in Version 8.0, die per Application Whitelisting den automatisierten Server-Lockdown ermöglichen soll.

Cb Defense platziert einen Agent auf dem Endgerät, der sämtliche Aktionen auf dem Gerät protokolliert und für die Bedrohungserkennung bereitstellt. Carbon Black betont, dieser Lösungsbaustein zeichne lediglich alles auf, sei aber nicht für die Unterbrechung von Prozessen oder Aktionen konzipiert. Cb-Defense-Agents sind verfügbar für Windows, Mac OS und Linux, die Verwaltung und Überwachung der Agents erfolge über die Cloud von einer zentralen Konsole aus.

Cb Response wiederum nutze die laufenden, zentral gespeicherten Aufzeichnungen aller Aktivitäten auf Endpunkten für Incident-Response-Prozesse. Die Software erlaube es, Malware und Angriffe zu erkennen, für eine tiefere Analyse herauszufiltern sowie das Ausmaß und die Kritikalität eines Angriffs zu ermitteln, um Gegenmaßnahmen einleiten zu können. Für die Reaktion auf Vorfälle biete Carbon Black über 50 Integrationen mit Sicherheitslösungen wie zum Beispiel SIEM-Systemen (Security-Information- und Event-Management), auch unterhalte man über 70 Partnerschaften.

Die Besonderheit, so Carbon Black: Dank der umfassenden Aufzeichnungen könne man den vollständigen Angriffsablauf visuell darstellen und zum Beispiel zügig das Endgerät ermitteln, über das ein Angreifer ins Netz gelangt ist. Auch die Ursache der Angreifbarkeit, zum Beispiel eine veraltete Java-Version, lasse sich so schnell erkennen. Da Carbon Black Aktivitäten auf den Endpunkten überwache und nicht bloß Dateien auf der Festplatte scanne, könne man auch moderne Angriffsarten aufspüren, die zum Beispiel nur ein bösartiges Shockwave-Flash-File in den Arbeitsspeicher laden, also gar nichts auf die Festplatte schreiben.

Die Sammlung von Bedrohungsinformationen und deren Aggregation mittels KI erlaubten damit eine Optimierung der Bedrohungsabwehr, so der Hersteller. Um den Überblick über die Bedrohungslage aktuell zu halten, bestünden Integrationen mit Threat-Intelligence-Services einschlägiger Anbieter. Die Lösung eigne sich als Ergänzung zu SIEM-Systemen und NGFWs (Next-Generation Firewalls), solle diese aber nicht ersetzen.

Mit Cb Protection schließlich verspricht Carbon Black „unüberwindbaren“ Schutz für kritische Systeme mittels eines präventiven und aufwandsarmen Whitelisting-Ansatzes. Dieses „Low-Touch Whitelisting“ arbeitet laut Hersteller vertrauensbasiert: Erlaubt sind Applikationen, die die IT-Abteilung ausbringt (per Softwareverteilung, Patch-Management, Auto-Updates oder Helpdesk-Eingriffe), zudem auf Wunsch von Endanwendern geladene Software aus vertrauenswürdigen Quellen. Ergänzend gibt es Funktionen für die Endgerätekontrolle, um zum Beispiel den Einsatz von USB-Sticks zu unterbinden.

Cb Protection 8.0 bietet sogenannte „Rapid Configs“ (Schnellkonfigurationen). Dies sind „out of the Box“ verfügbare und über Carbon Blacks Online-Service namens „Collective Defense Cloud“ bereitgestellte Sicherheitsrichtlinien, die für schnell umsetzbaren Schutz selbst vor gezielten Angriffen sorgen sollen.

Zu den Rapid Configs zählen Bausteine für die Härtung von Betriebssystem und Anwendungen wie OS Hardening, Browser Protection und Microsoft Office Protection. Mit diesem Whitelisting-basierten Ansatz, so der Hersteller, erziele man den höchstmöglichen Schutz für Server und die datauf laufenden Applikationen.

Ebenfalls neu in Cb Protection 8.0 sind verbesserte Schutzmechanismen für PowerShell und Scripting. Denn Malware oder gar Zero-Days kommen laut Carbon Black nur in 47 Prozent der Angriffe zum Einsatz: Häufig nutzten Angreifer schlicht handelsübliche Administrationswerkzeuge, deren Zugriff auf Systeme man eben deshalb nicht generell sperren könne. Cb Protection ermögliche es Administratoren vor diesem Hintergrund, den Einsatz von Command-Line und Skripten im Datacenter zu limitieren, um Server und Applikationen vor böswilligem Zugriff zu schützen.

Dafür habe man die rollenbasierte Zugangskontrolle um neue Restriktionen ergänzt. So könne man nun genau festlegen, welche Benutzer oder Benutzergruppe auf welchen Geräten oder Gerätegruppen Policy-Änderungen vornehmen dürfen. Dadurch könne man die Zugriffsrechte auf bestimmte vertrauenswürdige Nutzer einschränken. Des Weiteren biete Cb Protection 8.0 eine neue, moderne GUI und die Möglichkeit, alle Server standortübergreifend von einer zentralen Konsole aus zu überwachen.

Die False-Positive-Rate ist laut Angaben seitens Carbon Black „minimal“. Denn Cb Response und Cb Protection blockierten schließlich ausschließlich schädliche Aktivitäten, ohne sich dabei um einzelne Angriffsvektoren kümmern zu müssen. Eine Überwachung der Netzwerkkomponenten ist hierbei laut Carbon Black nicht erforderlich, da die hauseigenen Tools sowieso jeden Verbindungsaufbau Client-seitig überwachen. Damit biete man im Prinzip eine „Defense in Depth“ (Koordination mehrstufiger Verteidigungsmaßnahmen) für Endpunkte, statt wie sonst üblich für ganze Netzwerkinfrastrukturen.

Carbon Black unterhält seit Anfang April ein Team in Frankfurt am Main unter der Leitung von Volker Sommer, der Vertrieb der Lösungen läuft über den Value-Added Distributor Arrow. Die Lizenzierung der Lösungen erfolgt pro Endpunkt. Die Preise beginnen bei 55 Euro pro Gerät für Cb Defense, es gibt eine Mengenstaffel.

Weitere Informationen finden sich unter www.carbonblack.com.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.