Bitdefenders Web-Konsole zeigt den Sicherheitszustand der IT-Umgebung an.

Für Unternehmen mit nur kleinem IT-Team bieten Security-Services aus der Cloud eine interessante Option, die eigene IT-Umgebung zu schützen. Eine Option ist Bitdefenders Cloud-basierender MDR-Service (Managed Detection and Response).

Immer mehr Unternehmen sehen sich in Anbetracht ständig neuer Bedrohungen damit überfordert, selbst wirkungsvolle Schutzmechanismen aufzubauen und ihre Systeme rund um die Uhr zu überwachen. Einen Ausweg versprechen MDR-Lösungen, bei denen die Sicherheitsspezialisten eines MSSPs (Managed Security Service Providers) die IT-Systeme und den Netzwerkdatenverkehr eines Unternehmens fortlaufend überwachen.

Sobald eine Bedrohung erkannt wird, erfolgt die mit dem jeweiligen Anwender vereinbarte Reaktion. Dies können automatische Aktionen wie eine Quarantäne für Malware-Dateien oder das Blockieren von IP-Adressen sein. Es sind auch abgestimmte Aktionen möglich, bei denen Provider und Unternehmen gemeinsam über die Reaktion entscheiden. Ein umfassender MDR-Service deckt EDR ebenso ab wie NDR oder XDR (Endpoint/Network/Extended Detection and Response).

Für den Test von Bitdefenders MDR-Lösung ließen wir acht Systeme des Testlabors drei Wochen lang überwachen. Bitdefender betreibt dafür ein eigenes Security Operations Center (SOC). Die Lösung ist zudem über mehrere MSSPs erhältlich. Die Implementierung erfolgt in drei Schritten. Zunächst installiert der Administrator im RZ die EDR-Agenten und weitere Überwachungssensoren, zum Beispiel für Netzwerkdatenverkehr, Active Directory (AD), Office 365 oder Cloud-Systeme. Im zweiten Schritt erfolgt ein Onboarding durch das SOC des Service-Providers. Die Sicherheitsspezialisten passen die Konfiguration der Agenten und Sensoren an die jeweiligen Unternehmensanforderungen an, richten die gewünschten Überwachungs-, Alarmierungs- und Response-Regelwerke ein und prüfen, ob alle Komponenten korrekt funktionieren.

Als dritter Schritt erfolgt eine Einschwingphase, in der die Software über zwei bis vier Wochen hinweg Agenten- und Netzwerkinformationen erfasst und analysiert, um die Baselines für den Normalbetrieb zu definieren. Dies ist unter anderem nötig, damit Bitdefender Anomalien in den Datenströmen sowie ungewöhnliche Verhaltensmuster entdecken und darauf reagieren kann.

Unternehmen, die den MDR-Service nutzen, erhalten Zugriff auf Bitdefenders Gravityzone-Management-Konsole, mit der sich alle Funktionen konfigurieren lassen. Unter anderem lassen sich von dort aus die MDR-Agenten auf den Zielsystemen installieren. Es ist auch möglich, sich vom jeweiligen Endgerät aus mit der Web-Konsole zu verbinden und die Software direkt herunterzuladen. Für den Test wählten wir den Weg, einen Windows-Rechner als Relais-Agent mit AD-Anbindung zu konfigurieren, der die Agenten für alle anderen Clients im lokalen Netz bereitstellt. Dafür erzeugten wir per Konsole ein Installationspaket mit dem Agenten, den wir dann über das Relais-System auf allen Endgeräten installieren konnten.

Um die NDR-Funktionen zu testen, installierten wir auf unserer VMware-vSphere-Plattform eine Netzwerk-Sensor-VM, die im OVA-Format erhältlich ist. Bitdefender empfiehlt für VMware-Umgebungen die Nutzung von Distributed Switches, da ein Netzwerksensor so den Datenverkehr von allen ESXi-Servern erfassen kann. Verwendet jeder ESXi-Host einen lokalen vSwitch, muss die Netzwerksensor-VM dagegen auf jedem physischen ESXi-Server installiert sein. Die Sensor-VM verfügt über eine zweite Netzwerkkarte, konfiguriert als Mirror-Port, um den Traffic zu erfassen. Den Test führten wir mit den vorhandenen Standard-vSwitches durch und installierten die Netzwerksensor-VM auf dem ESXi-Host, auf dem die Test-VMs liefen. Dann fügten wir den Sensor in der Bitdefender-Konsole hinzu, sodass der Datenverkehr unseres Testnetzes aktiv überwacht wurde.

Auf den Endgeräten führt Bitdefender automatisch Scans durch, die der Administrator individuell konfigurieren kann. In größeren Umgebungen lassen sich Scan-Appliances einsetzen, um die Scans in den VMs zu optimieren und die Host-CPU zu entlasten. Bitdefender bietet zahlreiche weitere Funktionen. Im Menü für Device Control finden sich mehrere Gerätekategorien, für die sich der Zugriff komplett sperren oder auf read-only beschränken lässt. Auch Antivirus-, SIEM- und Firewall-Lösungen anderer Hersteller kann man in Bitdefender MDR einbinden. Sobald der MDR-Service für ein Unternehmen aktiviert ist, können die Administratoren auch auf das MDR-Portal zugreifen. Es zeigt unter anderem den aktuellen Sicherheitsstatus der überwachten IT-Systeme an und welche Aktionen das SOC als Reaktion auf Sicherheitsvorfälle durchgeführt hat.

Bitdefender unterstützt ein breites Arsenal an Techniken, um IT-Umgebungen vor Angriffen zu schützen. So sind die Agenten beispielsweise in der Lage, Ransomware-Attacken zu erkennen und zu unterbinden. Die Funktionen Web Access and Content Control nutzen Ausschlusslisten, um unerwünschte Anwendungen wie das Remote-Kommandozeilen-Tool Psexec.exe zu blockieren. Ein Sandbox-Analyzer ermöglicht die Untersuchung verdächtiger Dateien, die sich in Quarantäne befinden.

Um die Schutzfunktionen zu testen, kopierten wir eine Eicar-Testdatei auf einen Rechner. Der Bitdefender-Agent nahm sie in Quarantäne, wie die Web-Konsole im Quarantäne-Menü zeigte. In der Übersicht zu aktuellen Incidents war dagegen zunächst kein Malware-Vorfall zu sehen. Wie sich herausstellte, erkannte der Bitdefender-Agent, dass es sich lediglich um eine Testdatei handelt und nicht um echte Malware. Standardmäßig zeigt die Konsole nur Incidents mit einem Severity Score von 30 oder höher an. Nachdem wir die Score-Schwelle auf zehn gesenkt hatten, zeigte sich die Eicar-Datei auch in diesem Menü.

Angreifer benennen Dateien häufig um, zum Beispiel indem sie eine zusätzliche Extension anhängen. Für den Test fügten wir bei zwei Dateien eine zusätzliche Endung an und kopierten sie über das Netz auf einen anderen Rechner. Bitdefenders Netzwerksensor erkannte diese potenziell bedrohliche Umbenennung und schlug automatisch Alarm. Bei den Tests zeigte sich, dass es sinnvoll ist, die Ansicht in der Web-Konsole regelmäßig manuell zu aktualisieren, damit sie den aktuellen Stand der überwachten Systeme anzeigt.

Als weiteren Test führten wir von einem Kali-Linux-Notebook aus remote auf mehreren Windows-Servern einen Schwachstellen-Portscan durch, um zu sehen, ob Bitdefender diese Aktivitäten zur Angriffsvorbereitung mitbekommt. Die MDR-Lösung erkannte alle Portscans und zeigte in der Web-Konsole die betroffenen Systeme an. Zudem reagierte Bitdefenders SOC auf die verdächtigen Vorgänge, unter anderem per E-Mail.

Bitdefender erstellt fortlaufend Berichte zu Risikofaktoren wie fehlenden Sicherheits-Updates, veralteten Anwendungen oder unsicheren Dienstkonfigurationen. Die Software kann auch überwachen, ob angemeldete Benutzer ungewöhnliche oder gefährliche Aktionen durchführen. Das SOC-Team führt zudem regelmäßig Threat Hunts durch, bei denen es die IT-Systeme und das Netzwerk auf Schwachstellen und mögliche Bedrohungen untersucht. Die Häufigkeit dieser Überprüfungen hängt vom vereinbarten Service-Level ab. Im Testzeitraum fand ein Hunt-Vorgang statt, bei dem keine Probleme auftauchten.

Fazit

Bitdefenders MDR-Angebot stellt Unternehmen eine umfassende Security-Lösung inklusive Rund-um-die-Uhr-Überwachung zur Verfügung. Im Test ließen sich die benötigten Sofwareagenten und Appliances schnell installieren und in Betrieb nehmen. Bei den simulierten Angriffsversuchen reagierte die Schutzsoftware prompt, und auch das SOC trat in Aktion und blockierte die IP-Adressen des Angriffs.