Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 10 Min.

McAfee Total Protection for Data Loss Prevention Kontrollierter Datenfluss


IT Administrator - epaper ⋅ Ausgabe 3/2020 vom 28.02.2020

Kein Unternehmen kann es sich leisten, vertrauliche Daten zu verlieren. Doch es existieren viele Wege, wie wertvolle Informationen ihren Weg aus dem Firmennetz herausfinden. Wir haben uns das Konzept und die Produkte angeschaut, die McAfee unter dem Namen "Total Protection for Data Loss Prevention" zum Schutz vor diesem Problem anbietet. Angesichts der umfangreichen Suite kein leichtes Unterfangen.


Artikelbild für den Artikel "McAfee Total Protection for Data Loss Prevention Kontrollierter Datenfluss" aus der Ausgabe 3/2020 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 3/2020

Quelle: chriswphoto - 123RF

Wenn IT-Verantwortliche unruhige Nächte haben wollen, brauchen sie bloß über die vielfältigen Wege und Möglichkeiten nachzudenken, auf denen Daten bemerkt und - noch schlimmer - ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 3/2020 von News: Kritische Azure-Schwachstellen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News: Kritische Azure-Schwachstellen
Titelbild der Ausgabe 3/2020 von Zwiebelprinzip. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zwiebelprinzip
Titelbild der Ausgabe 3/2020 von Filter für den Webverkehr. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Filter für den Webverkehr
Titelbild der Ausgabe 3/2020 von Red Hat Forum 2020, Darmstadt, 14. Januar Offene Wege. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Red Hat Forum 2020, Darmstadt, 14. Januar Offene Wege
Titelbild der Ausgabe 3/2020 von Interview: »Im Leben ist Vertrauen unabdingbar, im digitalen Umfeld Risiko Nummer eins«. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Interview: »Im Leben ist Vertrauen unabdingbar, im digitalen Umfeld Risiko Nummer eins«
Titelbild der Ausgabe 3/2020 von Hornetsecurity E-Mail Encryption Mit Brief und Siegel. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hornetsecurity E-Mail Encryption Mit Brief und Siegel
Vorheriger Artikel
Interview: »Im Leben ist Vertrauen unabdingbar, im digitale…
aus dieser Ausgabe
Nächster Artikel Hornetsecurity E-Mail Encryption Mit Brief und Siegel
aus dieser Ausgabe

... unbemerkt das Unternehmensnetzwerk verlassen können. So war der Verlust von Daten schon immer ein Problem, dem gerade in den Enterprise-Netzwerken große Aufmerksamkeit geschenkt wurde. Dadurch, dass die Daten heute mehr denn je auf mobilen Endgeräten wie Notebooks, unterschiedlichsten Flash-Medien oder auch durch die stete Agilität in virtuellen und Cloudinfrastrukturen ständig unterwegs sind, hat sich diese Problematik noch einmal deutlich verschärft. Die sich immer schneller entwickelnden Compliance-Vorschriften tun ein Übriges dazu, die Dringlichkeit dieses Themas zu verdeutlichen. Security-Anbieter wollen diesem Thema mit DLP-Programmen begegnen, was in der Regel mit "Data Loss Prevention", in einigen Fällen aber auch mit "Data Leak Prevention" übersetzt wird.

Wie komplex das sein kann, zeigt die Unterteilung des Problems zur Verhinderung von Datenverlust in drei "Verlustkategorien", die viele Experten vornehmen: Daten in Bewegung (Data-in-Motion), ruhende Daten (Data-at-Rest) und Daten in Benutzung (Data-in-Use). Zu den Daten in Bewegung zählen dabei beispielsweise die Datenpakete der E-Mail, die Netzwerkübertragungen oder auch Zugriffe auf Cloudspeicher. Solche Daten werden in der Regel von Monitoringprodukten erfasst und aufgezeichnet. Anders verhält es sich mit den ruhenden Daten: Wie können Administratoren feststellen, welche Datentypen sich wo innerhalb ihres Netzwerks befinden? Sie lagern meist nicht wohlgeordnet nur auf den Dateifreigaben in Rechenzentren, sondern auch auf lokalen Festplatten der Nutzer oder gar Cloudlaufwerken.

Eine DLP-Lösung muss also in der Lage sein, alle diese Speicherplätze zu untersuchen und die dort abgelegten Daten im Hinblick auf die Richtlinien zu beurteilen und bei Verstoß auch entsprechende Aktionen einzuleiten. Und schließlich existieren noch die Daten, die ein Nutzer gerade aktiv anlegt, verändert oder anderweitig verwendet. Dazu zählen beispielsweise Files, die von den Anwendern auf Geräte wie USB-Sticks kopiert, in eine E-Mail oder ein Messenger-Fenster geschrieben werden beziehungsweise mittels Synchronisation auf einen Cloudspeicher wandern. All diese Ereignisse finden in Echtzeit direkt am Endpunkt statt, weshalb eine DLP-Lösung dort ebenfalls präsent sein muss.

Modular aufgebaute Suite

Der Security-Anbieter McAfee bietet mit "Total Protection for Data Loss Prevention" eine umfangreiche Suite an, die in der Lage sein soll, sensible Daten sowohl lokal im eigenen Netzwerk als auch in der Cloud und auf den Endgeräten sowie in den zuvor geschilderten Kategorien wirkungsvoll zu schützen. Um diesen weit- gefassten Anspruch zu erfüllen, setzt sich diese Suite aus einer Reihe von Komponenten zusammen:

Bild 1: Die zentrale Komponente der "Total Protection for DLP" ist die Konsole des ePolicy Orchestrator (ePO).


- ePolicy Orchestrator (ePO) ist die zentrale, webbasierte Konsole für alle Produkte der Suite.

- DLP Discover spürt sensible Daten auf.

- DLP Prevent setzt die DLP-Richtlinien durch.

- DLP Monitor dient dazu, das Netzwerk in Echtzeit zu scannen.

- DLP Endpoint dient der Überwachung vertraulicher Daten auf den Endpoint- Systemen (Windows, Mac) und soll deren Kompromittierung verhindern.

- DLP Device Control schützt Wechseldatenträger und die entsprechenden Medien.

-Mvision Cloud Integration weitet erstellte DLP-Richtlinien auf die Cloud aus.

Bei DLP Prevent und DLP Monitor handelt es sich jeweils um Unix-basierte Netzwerkappliances, die als Hardware oder virtuelle Maschine laufen. DLP Discover ist ein softwarebasierter Server, der mit Hilfe des ePolicy Orchestrator auf einem Windows-Server-System (physisch oder virtuell) ausgerollt wird. Administratoren können davon einen oder auch mehrere im Netzwerk installieren. Das ist sowohl manuell als auch über die ePO-Konsole möglich, was die von McAfee vorgeschlagene Vorgehensweise ist.

DLP-Endpoint- und -Device-Control-Erweiterungen können ebenfalls sowohl auf physischen als auch auf virtuellen Servern zum Einsatz kommen. All diese Produkte sind in der Lage, vertrauliche Daten ebenso wie unerwünschte Benutzeraktivitäten zu erkennen. Bei Verletzung von zuvor aufgestellten Richtlinien führen die Produkte dann Aktionen aus und erstellen bei Verstößen entsprechende Vorfälle.

Die grundsätzliche Architektur der Suite ist um die Konsole des sogenannten ePolicy Orchestrator herum aufgebaut. Administratoren haben dort unter anderem die Möglichkeit, rollenbasierte Zugriffe zu kontrollieren beziehungsweise die entsprechenden Regeln zu definieren. Sie können mithilfe der Konsole unterschiedliche Richtlinien verschiedenen Gruppen zuweisen. So lässt sich dann die Berichterstattung nach Gruppe einrichten oder eine Aufgabe kann die Daten von verschiedenen Servern ziehen, um einen übergreifenden Bericht zu erstellen. Die Richtlinien lassen sich dann auf die verschiedenen Endpunkte der Lösung verteilen. Die Ereignisse (Incidents) werden gesammelt und dann in der Konsole aggregiert - so bekommen Administratoren einen Gesamtüberblick über alle Vorfälle in ihrem Netzwerk. Dazu stehen auch konfigurierbare Dashboards und Report- Möglichkeiten bereit.

ePolicy Orchestrator als zentrale Anlaufstelle

Ein derart umfangreiche Suite kann dann weder als Software von der Stange verkauft werden noch lässt sie sich mal eben in einer Testumgebung installieren. Mc - Afee hat uns deshalb für diesen Beitrag Zugang zu einer internen Testumgebung gewährt, in der nicht nur alle Komponenten von "Total Protection" installiert sind, sondern die es auch erlaubt, einzelne Szenarien durchzuspielen. Diese Umgebung besteht aus insgesamt 20 virtuellen Maschinen, die auf einer Cloudplattform laufen und so ein Enterprise-Netzwerk mit der entsprechenden Hardware und den verschiedenen Komponenten darstellen und für Tests nutzbar machen.

Auf einem Windows Server 2016 meldeten wir uns mittels des Firefox-Browsers dann bei der ePO-Konsole an. Der ePolicy Orchestrator stand bei dieser Testumgebung in der aktuellen Version 5.10.0 zur Verfügung. Der Aufbau der Konsole ist übersichtlich: Am oberen Rand findet sich ein Menüband, mit dessen Hilfe der Nutzer die einzelnen Komponenten auswählen und aufrufen kann.

Am ganz linken Rand findet sich ein durch drei Striche symbolisiertes Hauptmenü. Wer darauf klickt, bekommt einen weiteren Überblick über die Vielfalt an Optionen und Einstellungen, die diese Sicherheitssuite anzubieten hat. Dort finden sich dann alle Bestandteile geordnet nach Gruppen, wie unter anderem "Berichterstellung", "Systeme" bis hin zur "Konfiguration".

Alle wichtigen Informationen, die von den einzelnen Komponenten - sowohl von der Endpoint-Software als auch von den Appliances - entdeckt beziehungsweise generiert werden, landen in der ePO-Datenbank. Administratoren steht dabei eine große Auswahl an vorkonfigurierten Dashboards bereit, die McAfee mit ausliefert. Diese bieten einen guten Einstieg und lassen sich nach den eigenen Vorstellungen und Bedürfnissen konfigurieren und ergänzen.

Über ein Pulldown-Menü fügen die Nutzer dann der Übersicht weitere Monitore hinzu. Besonders gut hat uns dabei gefallen, dass Administratoren mit Hilfe dieser Übersichten die Möglichkeit haben, die Bereiche, die sie im Hinblick auf das Abfließen von Daten in ihrem Netzwerk für besonders kritisch halten, immer live im Blick zu behalten. Sie können diese Ergebnisse auch in Reports überführen, die sich dann beispielsweise als PDF-Dateien exportieren lassen. Reports sind auch derart automatisierbar, dass ein Server- Task diese automatisch an ein zuvor definiertes E-Mail-Konto verschickt.

Sehr praktisch ist die als "Schnellsuche" bezeichnete Eingabezeile, mit der ein Administrator beispielsweise in der Form "DLP: Incident Summary - Custom" direkt zu einer Abfrage (query) gelangt, ohne sich zuvor lange durch Menüs klicken zu müssen. Diese Ansichten passen sich dynamisch an, sodass jeweils die aktuelle Situation dargestellt wird. Unter dem Menüpunkt "Abfragen und Berichte" fanden wir zudem vorkonfigurierte Abfragen. Beispiele sind hier unter anderem die "10 häufigsten Anwendungsanbieter", "Aktivierungsfehler" oder auch "Zusammenfassung Agentenkommunikation". Wählt der Admin im linken Menü-Baum unter den "McAfee- Gruppen" explizit den Eintrag "Data Loss Prevention", erhalten Nutzer nur die vorkonfigurierten Abfragen präsentiert, die diesen Bereich betreffen.

Agenten für zahlreiche Betriebssysteme

Geht es nun darum, die sensiblen Firmendaten entsprechend zu schützen, sind die Endpoint-Agenten sicher der erste wichtige Aspekt in einer DLP-Strategie. Solche Agenten bietet McAfee sowohl für Win - dows-Systeme als auch für macOS und verschiedene Unix- und Linux-Derivate an. Administratoren entwickeln und setzen Richtlinien in der ePO-Konsole um. Diese werden dann auf die Endpunkte ausgerollt und bleiben auf dem Gerät aktiv, auch wenn dieses nicht mit dem Unternehmensnetzwerk verbunden ist. Vorfälle und Richtlinienverletzungen, die in dieser Zeit auftreten, bleiben lokal gespeichert und finden ihren Weg zur ePO-Datenbank, wenn das System sich wieder im Unternehmensnetzwerk befindet.

Die Endpoint-Agenten überwachen dabei unter anderem kritische Bereiche wie EMail, Webzugriffe, Kopien auf externe Datenträger oder auch solche Aktionen wie Kopien in die Zwischenablage und Screenshots. Als einen besonderen Vorteil hebt der Anbieter dabei hervor, dass die Endpoint-Agenten auch in der Lage sind, SSL-Sitzungen im Browser zu überwachen, bevor sie das System verschlüsselt verlassen. Auch lokale Speicherbereiche auf den Festplatten oder in lokal abgespeicherten E-Mail-Konten kann der Agent überwachen.

Die Unix-basierte Netzwerk-Appliance, die in unserer Testumgebung als virtuelle Maschine zum Einsatz kam, untersucht den ausgehenden Web- und Mail-Datenverkehr und gleicht diesen dann mit den Richtlinien ab, die der Administrator gesetzt hat.

Dabei kann er ausgehende Nachrichten, die beispielsweise über den Exchange- Server des Unternehmens, aber auch über Web-Gateways geschickt werden, entsprechend erlauben oder verbieten. Auf zwei Clients in der Testumgebung waren auch Outlook-Clients installiert. Dabei zeigte es sich, dass jedweder Versuch, eine EMail herauszuschicken, deren Inhalt gegen die Richtlinien verstieß, einen entsprechenden Eintrag erzeugte und den Nutzer direkt auf dem Client über das Problem unterrichtete.

Bild 2: In der ePO-Konsole lassen sich individuelle Dashboards bereitstellen und abfragen. Hier sind die Vorfälle (sowohl für "bewegte" als auch "aktive" Daten) in der Übersicht zu sehen.


McAfee Total Protection for Data Loss Prevention Bild 2: In der ePO-Konsole lassen sich individuelle Dashboards bereitstellen und abfragen. Hier sind die Vorfälle (sowohl für "bewegte" als auch "aktive" Daten) in der Übersicht zu sehen.

Produkt Software-Suite zur Verhinderung von Datenabflüssen.

Hersteller McAfee www.mcafee.com/enterprise/de-de/ products/total-protection-for-dataloss- prevention.html

Preis Die Preise sind projektspezifisch und der Hersteller nannte auf Anfrage keine Preisbeispiele. Im Internet ist die Appliance-Software für McAfee Total Protection for Data Loss Prevention in Umgebungen mit 51 bis 100 Endpunkten für rund 55 US-Dollar je Node und Jahr inklusive einem Jahr Gold-Support erhältlich.

Systemvoraussetzungen Endpoint Agent 5.6.3: - Windows 10, 8.1,8,7 und Vista (jeweils 32 und 64 Bit) - macOS 10.15.x, 10.14 bis 10.14.6, 10.13 bis 10.13.6 - verschiedene Linux-Systeme, unter anderem CentOS, Debian, Fedora, openSuse, Red Hat - HP-UX, IBM AIX und Oracle Solaris DLP Discover ab 11.3: Windows Server 2019 (1903), 2016 (64 Bit), 2012/2012 R2 (64 Bit) Hypervisor: VMware vSphere und Server 6.7/6.5, ESXi 5.0 und vCenter Server Update

Technische Daten www.it-administrator.de/downloads/ datenblaetter

Damit das funktionieren kann, müssen Administratoren auf ihrem E-Mail-Gateway für den ausgehenden Verkehr (MTA, Message Transfer Agent) eine Richtlinie einrichten, dass die ausgehenden Nachrichten, die nicht an eine interne Domäne gerichtet sind, zunächst an die Prevent- Komponente geleitet werden, was via SMTP geschieht. Dort wird eine Nachricht mit den eingerichteten DLP-Richtlinien verglichen. Prevent schickt die Nachricht dann mit den entsprechenden Anweisungen in Form des X-Headers zurück zum Gateway. Dort findet eine Untersuchung der X-Header statt und der MTA kann die notwendige Aktion, wie beispielsweise ein Blockieren, direkt ausführen.

Beim Web-Browsing arbeitet Prevent direkt mit einem Proxy-Server für die ausgehenden Webanfragen. Der Proxy-Server führt eine SSL-Entschlüsselung durch, falls das notwendig ist, und schickt dann eine Kopie des Datenverkehrs an Prevent, was in diesem Fall mittels ICAP-Anfrage (Internet Content Adaptation Protocol) weitergeleitet wird. Auch hier ist der Administrator zunächst gefordert, da er die notwendigen Einstellungen auf dem Web- Proxy für den auswärts gerichteten Datenverkehr vornehmen muss, sodass Aktivitäten der Nutzer wie HTTP Post oder FTP Put an Prevent geleitet werden.

Datenflüsse aufklären und überwachen

Im Gegensatz zu der sehr aktiven Rolle der Prevent-Komponente macht die zweite Unix-basierte Appliance mit der Bezeichnung "DLP Monitor" genau das, was ihr Namen andeutet: Sie überwacht den Datenverkehr und kann sogenannte Incidents erzeugen, ist aber nicht in der Lage, Datenverkehr aktiv zu blockieren. Sie erhält vielmehr Kopien des ausgehenden Datenverkehrs von Switches via SPAN (Switched Port Analyzer, Port Mirroring) oder TAP (Test Anything Protocol). Auf diese Weise lassen sich nicht nur Web und E-Mail, sondern auch weitere Protokolle überwachen. Unsere Frage, wie wichtig eine solche weitere Überprüfung noch ist, wenn schon die Prevent-Komponente im Einsatz ist, beantworteten die Experten von McAfee. So sähen die Administratoren zwar im Regelbetrieb nur wenige Ereignisse, die dieser Monitor zusätzlich entdecke, doch wenn hier irgendetwas nicht Blockiertes auftauche, könne das ein Hinweis auf Lücken im Netzwerk sein, über die noch Daten abflössen.

Während die bis jetzt erläuterten Komponenten für "Daten in Bewegung" und "Daten in Benutzung" zuständig sind, ist der Teil "DLP Discover" für die "Daten in Ruhe" zuständig. Bei dieser Software handelt es sich um einen softwarebasierten Server, der seinen Weg via ePO auf einen Windows-Server findet. Mit seiner Hilfe lassen sich auch umfangreiche Daten-Repositories auf Dateien untersuchen, die gegen zuvor aufgestellte Richtlinien verstoßen. Der Server kann dabei nicht nur CIFS-Dateifreigaben auf den Windowsund SharePoint-Servern, sondern auch Datenbanken einschließlich Oracle, Microsoft SQL, MySQL und Cloud-Repositories durchsuchen. Dabei finden die Scans über das Netzwerk hinweg statt, sodass keine Software auf diesen Servern zu installieren ist. Tauchen Dateien auf, auf die die DLP-Richtlinien zutreffen, sammelt DLP Discover die Metadaten der Dateien ein und schickt sie zur Überprüfung an den DLP Incident.

Uns hat es beim Ausprobieren mit den verschiedenen Freigaben in der Testumgebung besonders beeindruckt, wie genau Administratoren hier festlegen können, was die Nutzer mit welchen Daten machen dürfen. So ist es nicht nur möglich zu verhindern, dass sie bestimmte Anwendungen zur Bearbeitung verwenden. Administratoren haben zudem die Möglichkeit zu bestimmen, dass Dateien auf bestimmten Freigaben wie der Entwicklungsabteilung nicht an einen anderen Ort kopiert werden oder gar das Firmennetzwerk verlassen dürfen. Dabei kann diese Restriktion völlig unabhängig vom Inhalt der Datei greifen - wie wir anhand einer ansonsten leeren Textdatei testeten.

Fazit

Natürlich wird es nie einen absoluten, totalen Schutz vor Datenverlust geben. Die Entwickler bei McAfee stellen aber mit ihrer Suite eine Lösung bereit, die viele kritische Bereiche abdecken kann. Der Umfang und die Vielfalt der Features und Optionen sind beeindruckend. Was uns nicht zuletzt dadurch bei der Betrachtung schnell klar wurde und von den McAfee- Experten bestätigt wurde: Ohne unterstützendes Consulting durch den Hersteller oder entsprechende Partner werden die wenigsten Unternehmen ein derartiges Produkt einführen und entsprechend ihrer Vorstellungen nutzen können.

Unternehmen, die derartige Systeme einsetzen, benötigen entsprechend geschultes IT-Personal, das unter anderem die entsprechenden Richtlinien und Workflows definiert und so die DLP-Lösungen in den IT-Betrieb integrieren kann. Die zwar sehr umfangreiche, aber mit dem nötigen Hintergrundwissen gut zu überblickende zentrale Konsole des ePolicy Orchestrator hilft dabei sehr. Auch die Tatsache, dass der Hersteller eine Reihe vorkonfigurierter Dashboards bereitstellt, erleichtert ebenso wie die weitgehende Lokalisierung der Konsole (gerade bei den vorkonfigurierten Dashboards findet sich manchmal allerdings noch eine Mischung aus englischen und deutschen Bezeichnungen) den Einstieg in diese komplexe Materie. (dr)

So urteilt IT-Administrator

Systemunterstützung 7

Gerätesicherheit 7

Richtlinienunterstützung 8

Schutz vor Datenverlust 8

Dashboards und Berichte 8

Die Details unserer Testmethodik finden Sie unter www.it-administrator.de/testmethodik

Dieses Produkt eignet sich

optimal für große und sehr große Organisationen, die ihre Daten in einem großen weitverzweigten Netzwerk überwachen und sichern müssen.

bedingt für mittelgroße Unternehmen ab 250 Endpunkten. Allerdings müssen entsprechend geschultes IT-Personal und Unternehmensrichtlinien vorhanden sein.

nicht für kleinere und Kleinstbetriebe aufgrund der Komplexität und hohen Anforderungen.