EX2010: Transportregel zum Abfangen bestimmter Anhänge ... so machbar?

[monstermania 53]

Bei uns funktioniert es. Nutzen allerdings auch die Bedingung: 'wenn mindestens ein Dateiname von Anlagen Textmuster entspricht'

[RalphT 15]

Booa! Kaum macht mans richtig - funktioniert es!

[NorbertFe 2.035]

Ich bin erstaunt, dass ein Hinzufügen von Dateitypen im Antivirus nicht möglich ist. Höre ich zum ersten Mal, aber ich hab auch kein Avira im Einsatz.

[PowerShellAdmin 169]

Als Reaktion auf den derzeitgen Stand habe ich temporär die Blockierung im AV deutlich restriktiert.

Soweit ein Kunde oder Partner uns Office Docs zustellen möchte, muss er diese mit einen Passwort packen und uns zusenden. Das Ganze reduziert natürlich nochmals deutlich das Gefährdungspotential.

Mittelfristig werde ich wohl wieder Office Dateien - ausgenommen Makro Dateien zulassen. Möchte aber erstmal abwarten, wie sich das Ganze entwickelt.

Verschlüsselte Archive sind aber sicherlich auch nicht die beste Lösung.

 

Locky ist ja ein ziemlicher Badass, da er eben Netzwerkweit (abhängig vom Zugriff) fungiert und es dieses mal eine enorme Professionalität aufweist.

 

=> Hatte eine der besagten Emails diese Woche im Postfach - Die Email lag im Rechnungspostfach, die Email und Absenderfirma waren absolut authentisch, die Rechnung und das Dateiformat (docm) als solche in diesem Zusammenhang natürlich direkt auffällig, vor der Löschung wurde noch der Absender gegooglet => 10 Punkte... Locky

Weder mein Clientschutz, noch der Exchange Serverschutz hatte zu dem Zeitpunkt reagiert.

So eine Sensibilisierung kann man vom Anwender einfach nicht mehr erwarten.

 

Der Trend geht halt klar Richtung "Whitelisting" und möglichst viel restriktieren bzw. via Prüfverfahren bereitstellen.

Aber in großen ITs - führenden Banken, läuft es ja nicht anders (auch wenn hier selbst noch diverse Schwachstellen sind).

 

Ich warte jetzt erstmal gespannt, auf die kommenden Ableger und werde dies auch zum Anlass nehmen, die internen Policies zu überarbeiten.

bearbeitet 19. Februar 2016 von PowerShellAdmin

[Cybquest 36]

was ist daran "enorme Professionalität", wenn das Ding "nur" im Benutzerkontext erreichbares verschlüsseln kann? Dass er Netzlaufwerke finden kann? ;-) ;-)

 

was spricht gegen "nur signierte Makros zulassen"?

[PowerShellAdmin 169]

A) Dass er Netzwerkressourcen mit Zugriff selbstständig findet

 

B)Ganz klar die Umsetzung der Emails - die weicht erheblich von bisherigen Angriffen ab.

Aufmachung und Absender ( Server von echten Firmen genutzt )

 

C) wer weiß was es für Schwachstellen in Docx und Office gibt ... Warte erstmal die nächsten Tage ab. Zielführend werden nur noch Makro Dateien blockiert...

bearbeitet 19. Februar 2016 von PowerShellAdmin

[Cybquest 36]

Aufmachung und Absender von z.B. Phishing-Mails sind schon länger sehr authentisch...

 

wie genau werden "nur noch" Makrodateien blockiert? Locky kommt m.w. per .doc nicht .docm

Also einfach alle Word-Anhänge blockieren?

[PowerShellAdmin 169]

Aufmachung und Absender von z.B. Phishing-Mails sind schon länger sehr authentisch...

 

wie genau werden "nur noch" Makrodateien blockiert? Locky kommt m.w. per .doc nicht .docm

Also einfach malle Word-Anhänge blockieren?

office 2007 + Makro Officedocs blocken, Office 2003 blocken (da Makros dort nicht in eigene Dateiformate ausgelagert wurden).

Soweit das Sicherheitskonzept innerhalb Office 2007+ hier funktioniert, sollte man damit viel vomTisch haben.

 

EMSX bietet auch eine Inhaltsfilterung für Makro Dateien, wie gut die funktioniert werde ich nochmal die nächste Woche anschauen (sollte dann unabhängig von der Erweiterung funktionieren). Nachteilig ist, dass die Email dafür bereits eine Zustellungquittierung kriegt....

bearbeitet 21. Februar 2016 von PowerShellAdmin

[Claudius Pilzbart 0]

Also wir haben das aktuell aus mit einer Kombi aus AV, Firewall Filter und Reddoxx AV Filter am laufen. Wobei wir den gleichen Aufschrei wie bei tcpip, bei Kunden und Usern hatten, als Ihnen klar wurde das sie das "alte" Office Format nichtmehr nutzen sollen.

Ich denke bei den ständigen Bombardements zurZeit muss man sich einfach künftig damit auseinandersetzen, dass Sicherheitsvorfälle so normal sind wie Regen. Gerade im Hinblick auf Locky und Co. heißt es da wohl eher Backup Backup Backup und die User schärfen & schulen. Seht ihr das ähnlich?

[OliverHu 19]

Wir filtern über Symantec MailSecurity alle Anhänge mit *.doc, *.docm, *.docxm, *.xls, *.xlsm, *.xlsxm, *.js usw. in die Quarantäne weg.

Des Weiteren kann ich diesen Artikel empfehlen: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

 

Zusätzlich sollte man alle Mitarbeiter darauf aufmerksam machen und sensibilisieren, denn dort herrscht noch immer die größte Gefahr.

 

Aber über Transport Regeln halte ich auch für den falschen Weg.

bearbeitet 25. Februar 2016 von OliverHu

[st3ffl 11]

Kann denn Symantec MailSecurity zwischen internem und externem Mailverkehr unterscheiden??

Unser TrendMicro SMEX kann dies leider nicht. Entweder alles oder garnichts.

 

Wir sind aktuell auch mit dieser Problematik (wie wahrscheinlich alle) konfrontiert und überlegen, was wir am besten machen.

[OliverHu 19]

Kann denn Symantec MailSecurity zwischen internem und externem Mailverkehr unterscheiden??

 

Nein, das kann SMSME auch nicht. Ich frage mich ja immer noch, warum sich interne MA Office-Dokumente per E-Mail schicken müssen (dann auch noch an 15 Empfänger), wenn es doch SharePoint oder wenigstens einen FileServer gibt. :rolleyes:

[Sunny61 806]

Ich frage mich ja immer noch, warum sich interne MA Office-Dokumente per E-Mail schicken müssen (dann auch noch an 15 Empfänger), wenn es doch SharePoint oder wenigstens einen FileServer gibt. :rolleyes:

Damit es später mindestens 15 Versionen der Datei gibt. ;)

[st3ffl 11]

Naja, ganz verhindern können wir das leider nicht.

Diverse Queries aus unserem ERP System kommen im Excel Format und Innendienst schickt an den Außendienst auch Dokumente, die dort wieder bearbeitet werden müssen usw.