Test: CrowdStrike Falcon Prevent
Bodyguard per Cloud
Mit CrowdStrikes Cloud-basierter Lösung Falcon Prevent benötigen Unternehmen keine eigene Antivirus-Infrastruktur mehr. Durch den Einsatz von ML-Technik (Machine Learning) kommt der schlanke Falcon-Agent ohne Signaturdatenbanken aus. Die Schutzfunktionen stehen damit auch im Offline-Betrieb zur Verfügung. LANline hat die Lösung in einem Praxistest unter die Lupe genommen.
Immer mehr Unternehmen haben Probleme damit, ihre IT-Systeme vor den vielfältigen Bedrohungen und immer raffinierteren Angriffstechniken zu schützen. Abhilfe versprechen Cloud-basierte Sicherheitslösungen, die den Unternehmen einen Großteil der Arbeit abnehmen.
AV der nächsten Generation
CrowdStrike bezeichnet seine Endpoint-Security-Lösung Falcon Prevent als ein AVNG-Produkt (Antivirus Next-Generation). Es handelt sich um eine SaaS-Lösung, für die Unternehmen keine eigene AV-Infrastruktur mehr benötigen. Auf den zu schützenden Rechnern läuft lediglich ein schlanker Agent, der sich permanent mit der von CrowdStrike in der Cloud betriebenen Sicherheitsplattform abgleicht.
Per Cloud-Anbindung kann jeder Agent die ML- und KI-Funktionen (künstliche Intelligenz) der CrowdStrike-Infrastruktur nutzen. Dies ermöglicht es unter anderem, bislang unbekannte Zero-Day-Schädlinge zu erkennen und abzuwehren. Mittels Verhaltensanalyse kann Falcon Prevent zudem Indicators of Attack (IoA) identifizieren und so Angriffsversuche blockieren. Zu den weiteren Funktionen zählen der Schutz vor Malware inklusive Quarantänemechanismen, das Blockieren von Skript- oder Macro-basierten Angriffen sowie die Abwehr von Ransomware und Command-and-Control-Attacken. Die Schutztechniken sind im Falcon-Agent implementiert und schützen mobile Geräte auch dann, wenn sie vorübergehend offline im Einsatz sind.
Im Rahmen der für den LANline-Test genutzten 14-Tage-Testversion ist es möglich, zusätzliche Schutzkomponenten zu aktivieren. Standardmäßig aktiv sind Falcon Prevent für AVNG-Schutz, Intelligence für Threat Detection, Device Control und Firewall-Management. Zu den optionalen Modulen zählen Falcon for Mobile (Android und iOS), Insight XDR (Extended Detection and Response), Spotlight für das Echtzeit-Schwachstellen-Management, eine Sandbox-Lösung sowie Forensikfunktionen. CrowdStrike bietet zudem einen MDR-Service (Managed Detection and Response) an. Hier überwacht der Security-Provider die Systeme über und führt bei Angriffen automatisch die mit dem jeweiligen Unternehmen vereinbarten Abwehrmaßnahmen aus.
Installation und Verwaltung
Der Startpunkt für einen Einsatz von Falcon Prevent ist die Registrierung bei CrowdStrike. Jedes Unternehmen erhält eine Customer-ID, damit sich alle Systeme und Datenübertragungen dem richtigen Mandanten zuordnen lassen. Für einen sicheren Zugriff auf die zentrale Management-Konsole unterstützt CrowdStrike eine Zwei-Faktor-Authentifizierung. Dann erfolgt die Installation der Falcon-Agenten auf den zu schützenden Rechnern. Handelt es sich nur um wenige Systeme, kann der Administrator sich auf dem jeweiligen Endgerät per Web-Browser an der Cloud-Konsole anmelden und den Agent herunterladen. Er ist für Windows, macOS sowie verschiedene Linux-Varianten erhältlich und unterstützt zudem Container- und Kubernetes-Umgebungen. Es ist auch möglich, die Agenten von zentraler Stelle aus auf die Endgeräte zu verteilen oder sie direkt in Installations-Images und VM-Templates zu integrieren.
Auf den LANline-Testrechnern war die Installation nach jeweils etwa eineinhalb Minuten abgeschlossen. Für den Test verwendeten wir einen Windows-2022-Hardware-Server, eine Windows-2019-VM und ein Windows-11-Notebook. Wichtig ist, bereits vorhandene AV-Programme vor dem Start des Falcon-Setups zu deinstallieren. Der Falcon-Agent richtet sich bei Windows-Systemen als gehärteter Windows-Dienst ein, der sich nicht stoppen oder deaktivieren lässt. Eine Deinstallation des Agenten ist nur von der Cloud-Konsole aus mittels One-Time-Tokens möglich. Standardmäßig aktivierte Updates sorgen dafür, dass auf allen Rechnern die neueste Agentenversion installiert ist. Die Updates erfordern keinen Reboot.
Durch die Cloud-Architektur benötigt der Falcon-Agent für die AV-/Malware-Erkennung keine lokal gespeicherten Signaturdatenbanken. Stattdessen nutzt Crowd-Strike ML-Techniken, um Malware zu identifizieren. So kann die Software auch neue oder abgeänderte Malware-Versionen erkennen, die in klassischen Signaturdatenbanken noch nicht gelistet sind. Der Falcon-Agent erkennt zudem Angriffe ohne dedizierte Malware-Dateien, bei denen der Schadcode zum Beispiel in ein auf dem Rechner zugelassenes Programm eingeschleust und von dort direkt in den Arbeitsspeicher geladen wird.
- Bodyguard per Cloud
- Schnelle Inbetriebnahme
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
