Zum Inhalt springen

Erfahrungsbericht mit Carbon Black

Da der Brötchengeber mittlerweile ein US-Konzern ist, bekommt man gelegentlich gewisse Produkte vorgeschrieben, mit denen man dann leben darf/ muss.
So wurden wir Ende 2020 mit der Anti-Malwarelösung Carbon Black von VMware beglückt.

Erster Probleme

Die Software brachte gleich zu Beginn große Freude, weil sie unter anderem ältere Rechner so weit in die Knie zwang, dass sie de facto unbrauchbar wurden. Eigentlich noch gute Rechner aus den Produktionshallen, die minimale Anforderungen hatten, wie ein klein wenig ERP-Zugriffe und E-Mail, mussten alle durch aktuelle Geräte ersetzt werden.

Noch ein negativer Punkt auf unserer Liste, der allerdings nicht der Software zuzurechnen war: wir hatten keinen Zugriff auf die Verwaltungskonsole.

Relativ schnell merkten wir, dass die Software seltsame Sachen macht.

Das übliche blaue CB-Icon in der Benachrichtigungsleiste war bei ca. 10-15% der Rechner irgendwann weg und tauchte auch nicht mehr auf. Die Dienste und Prozesse liefen allerdings weiter.

Die Probleme werden mehr

Die Rechner mit dem blauen Icon meldeten sich gelegentlich mit einem zusätzlichen orangenen Punkt, wenn irgendetwas Sicherheitsrelevantes vorgefallen war. Ein Doppelklick öffnete dann das Monitorfenster und man konnte sehen, welche Aktion Carbon Black bedenklich fand.

In mindestens 50% der Fälle war das Monitorfenster allerdings leer.

Da ist bei mir schon der Punkt erreicht, wo ich mich frage, ob eine gelegentlich funktionierende Sicherheitssoftware prinzipiell eine gute Idee ist.

Somit für mich an dieser Stelle schon unbrauchbar.

Ich kann noch verstehen, dass man die Software mit einem individuellen Code pro Gerät gegen die Deinstallation schützt und Prozesse und Dienste extra geschützt sind. Dann sollte aber auch der Support durch die Kollegen klappen, die Zugriff auf die Verwaltungskonsole haben. Spoiler: Der Support war so gut wie gar nicht vorhanden.

Über die Zeit fanden wir immer mal wieder Rechner, bei denen sich Carbon Black komplett von selbst verabschiedet hatte. Keine Dienste, keine Prozesse und die Verzeichnisse waren bis auf rudimentäre Reste auch leer.

Zwischenzeitlich hatten wir diverse Probleme. Zum Beispielfunktionierte von heute auf morgen die Software-Installationen von teurer CAM-Software nicht mehr.

Die Probleme waren stets alle weg, wenn man Carbon Black für den Zeitraum X, wie die Installation, anhalten liess.

Rückmeldungen an die Kollegen von der Sicherheit, dass irgendwas unrund läuft, wurden nie beantwortet. Auch eine Art von Strategie.

Das erinnert mich an den Plapperkäfer vom Planeten Traal. („Ein zum Verrücktwerden dämliches Vieh, es nimmt an, wenn du es nicht siehst, kann es dich auch nicht sehen – bescheuert wie eine Bürste, aber sehr, sehr gefräßig“. Siehe auch “Per Anhalter durch die Galaxis”)

Das Ende ist nah

Anfang 2022 wurde nun beschlossen, Carbon Black abzulösen.

Als Datenlage wurden die Rechner aus der Verwaltungskonsole herangezogen. Schon bei der ersten Liste konnten wir sehen, dass ca. 50% aller unserer Geräte nicht in der Liste standen.

Da wir einen ziemlich exaktes Wissen über alle Clients haben, begannen wir mit Deinstallation über das bereitgestellte PowerShell-Skript.

Was letztendlich nichts anderes beinhaltete, als den Kommandozeilen-Aufruf mit dem Deinstallationscode.

Das klappte erstaunlich gut. Bis auf die oben erwähnte 10-15%.

Nochmal Spaß zum Abschluß

Die Details erspare ich euch, aber die manuelle Lösung, die wir uns zu Entfernung erarbeitet haben, beinhaltet die Autoruns.exe aus der Sysinternals Suite, um die diversen Dienste zu deaktivieren, um hinterher Filesystem und Registry manuell zu reinigen. Alles zeitlich ziemlich aufwändig.

Fazit: Die Mischung aus unmotivierter Sicherheitsabteilung und Sicherheitssoftware, die – rein aus der Erfahrung heraus – diese Bezeichnung nicht verdient, ist Carbon Black definitiv eine Empfehlung für Leute, die ich nicht leiden kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.