Crowdstrike in der Praxis

Der Schutz des Endpoints ist wichtiger denn je. Die Gefährdungslage durch die geopolitische Lage und die Bedrohung durch Cyber Kriminelle, sowie die immer komplexere Software und auch Infrastruktur erhöht das Risiko Opfer eines Cyber Angriffs zu werden und dieses steigt stetig. Um die Resilienz der Gefahrenlage anzupassen, wird auf dem Endpoint eine andere Strategie bei der Schutzsoftware nötig. Nun ist es an der Zeit diesen Strategiewechsel zu bewerten und ein erstes Fazit zu ziehen.

In den letzten Jahren kristallisierte sich immer mehr heraus, dass herkömmliche AV-Schutzsoftware und diese herstellerübergreifend keinen ausreichenden Schutz mehr auf dem Endpoint bieten konnten. Nicht zuletzt durch die COVID 19 Pandemie und den vielen Veränderungen in der Arbeitswelt, wie durch Homeoffice, musste ein Endpoint in die Lage versetzt werden sich selbst zu schützen. Den klassischen Perimeter mit seinen Schutzfunktionen, wie solche, die durch moderne Firewall Systeme bereitgestellt werden, gibt es nur für die Endpoints im Firmennetzwerk, aber nicht mehr für die im Homeoffice bzw. überall außerhalb des eigenen Campus. Sicherlich gibt es hier verschiedene Ansätze, unterm Strich bleibt aber die Anforderung, dass sich ein Endpoint selbst schützen muss. Dies gilt aber grundsätzlich, egal im Homeoffice oder im Firmennetzwerk selbst. Nur weil ein Endpoint sich im eigenen Netzwerk befindet, ist dieser ja dadurch nicht automatisch vertrauenswürdig, vor allem schon durch die Tatsache, dass sich Schadcode lateral ausbreiten möchte und somit jeder Endpoint eine potentielle Gefahr für die anderen darstellt. Meine Einstellung zu klassischen AV-Produkten dürfte vielen bekannt sein, um es mal vorsichtig auszudrücken, man hat die Wahl zwischen Not und Elend. Es braucht also eine andere und vor allem funktionierende Lösung des Problems, wie der Endpoint sinnvoll zu schützen ist. Das der klassische AV nicht mehr funktioniert zeigen allein die vielen Berichte in den Nachrichten über erfolgreiche Cyber Angriffe und das all diese Unternehmen keinen AV-Schutz hatten ist kaum vorstellbar, wenn nicht sogar ausgeschlossen, da das eine oder andere Unternehmen mit Sicherheit eine entsprechen Zertifizierung hatte, die es ohne einen AV-Schutz nicht bekommen hätte. Dies deckt sich auch mit unseren Erfahrungen, dass trotz einem aktuellen Schutz von namehaften Herstellern es immer wieder zu Vorfällen kam. Dieser Zustand war aus unserer Sicht unhaltbar, für unsere Kunden und nicht weniger für uns selbst, da wir bei klassischen Produkten keine Empfehlung mehr aussprechen konnten, um einen entsprechenden Schutz zu ermöglichen. Einer unsere Grundsätze bei salutec ist es keine Produkte zu verwenden oder empfehlen, von denen wir nicht selbst überzeugt sind. Natürlich gibt es nicht die perfekte Welt, genauso wenig gibt es das perfekte und absolut fehlerfreie Produkt. Es gibt aber einen unterschied darin, zu wissen, dass ein Produkt den Schaden mit sehr hoher Wahrscheinlichkeit nicht abwenden kann oder ein Produkt zu nutzen, welches mit hoher Wahrscheinlichkeit das System schützen kann. Nach vielen Gesprächen mit Herstellern und Kunden, die Crowdstrike schon im Einsatz haben, sowie entsprechenden Tests bei uns im Technikteam ist die Wahl damals auf Crowdstrike gefallen. Unabhängig unsere Wahl ist es interessant, dass zum Beispiel McAfee die Enterprise Sparte abgestoßen hat, die sich jetzt Trellix nennt. An dieser Stelle drängt sich nun die Frage auf, warum ein Unternehmen gerade den Enterprise-Bereich nicht mehr bedienen will. Wie auch immer, in diesem Beitrag soll es um unser erstes Fazit zu Crowdstrike gehen.

Direkt vorweg, wir können ein sehr positives Fazit ziehen und sind sehr zufrieden was alle Belange des Produkts angeht. Was aber noch wesentlich wichtiger ist, unsere Kunden, die Crowdstrike nutzen sind es ebenfalls und dies zählt viel mehr als unsere Zufriedenheit. Was uns von den ersten Installationen aus überrascht hat, war das Auffinden von Angriffen oder auch gefundener Backdoors bzw. anderer aktiver Schadcode, ohne dass die abgelöste Schutzsoftware diesen erkannt hat. Wir waren auch deshalb überrascht, da der gefundene Code nicht neu war und man es mit einem noch nicht aktuellen Stand der Schutzsoftware hätte erklären können. Alle Installationen finden und verhindern regelmäßig Angriffe, bei denen die Zahl deutlich die der Vorgängerprodukte übersteigt. Auch wenn man die gestiegene Gefahrenlage berücksichtigt, erkennt und verhindert Crowdstrike signifikant mehr Angriffe. Dies spiegelt sich auch darin wider, dass bis jetzt keines der Systeme, die durch Crowdstrike geschützt werden, kompromittiert worden sind.

Ein weitere wichtiger Punkt ist die Bedienbarkeit und die geringe Systemlast, was beides für die IT ja nicht ganz unerheblich ist. Dazu kommt noch die API, die Crowdstrike zur Verfügung stellt, welche eine tiefe Integration in vorhandene Systeme ermöglicht. Ob Monitoring, Integration in eigene Prozesse oder aktive Handlungen, wie zum Beispiel mit Fortinet Produkten und deren (Security) FortiFabric bzw. deren API zur Interaktion. Für die Administratoren ist die optische Aufbereitung eines Vorfalls sehr gut, es lässt sich genau nachvollziehen was passiert ist und vor allem hat man als IT nicht das Gefühl keine Kontrolle zu haben, ganz im Gegenteil dies Visibilität die man durch Crowdstrike erhält lässt einen deutlich sicheren Betrieb der Systeme zu, was ein großer Pluspunkt bei der heutigen Komplexität der Umgebungen ist.

[Update] 02.09.2022
Wie wichtig ein geeigneter Schutz ist, zeigt dieser Beitrag auf Heise zu einer Studie zum Thema Cyber Attacken und Kosten.

Wie immer stehen wir über die üblichen Kanäle bei Fragen zur Verfügung.