mcdaniels 33 Geschrieben 22. Dezember 2018 Melden Teilen Geschrieben 22. Dezember 2018 (bearbeitet) Hallo zusammen, angesichts der Entwicklung von immer gefährlicheren Trojanern, die mittlerweile auf zig hochtechnisierte Mittel zur "Systempenetration" setzen, wollte ich hier mal eine Diskussion starten, wie das bei euch (auch im Firmenumfeld) gehandhabt wird. Wundert mich etwas, dass es hier noch keine Diskussion darüber gibt. (vielleicht habe ich sie aber auch einfach bislang nicht gefunden / nicht gut genug gesucht) Aktuell ist der Hauptangriffsvektor das altbekannte Email. Entweder mit Anhang, oder mit einem Link. Das ist ja an sich überhaupt nichts Neues mehr. Was mich (fast) schockiert ist, wie ausgekocht die Ganoven mittlerweile sind. "Belauschen" von Opfern, analysieren des Emailverkehrs, analysieren wer mit wem kommuniziert. Darauf aufsetzend dann exakt auf die "Zielperson" zugeschnittene Emails, in perfektem Deutsch und mit Inhalten die den tatsächlichen laufenden Geschäften des Betriebes entsprechen. Was alle gemeinsam haben: Die Hartnäckigkeit. Irgendwann klickt ein User den Link an, oder öffnet einen Anhang / aktiviert das Makro etc.. Das Schlimme dabei ist, dass viele der User dann ja mal nichts sagen... Unsicherheitsfaktor: Benutzer Das war schon immer so und wird auch weiterhin so sein. Somit kann man logischerweise nur versuchen proaktiv gegen diese Bedrohungen vorzugehen. Ich denke hier an: Benutzerschulungen, Benutzer fortlaufend informieren. Systeme immer auf dem aktuellen Stand halten. Virenscanner aktuell halten. Scan des incoming und outgoing Traffic. Unbedingt SSL-Inspektion (SSL Deep Inspection) des Traffic. Bei nicht vorhanden sein eines SSL Scans, reißt man meines Erachtens ein gravierendes "Loch" auf. Blocken von div. Inhalten, die per Mail kommen / User dürfen so gut wie nichts herunterladen. (schon gar keine ausführbaren Dateien und Scripts). Nie mit Adminrechten / oder gar Domainadminrechten auf einer Workstation arbeiten. Makrosicherheit so hoch wie möglich einstellen. Bestenfalls Makros abdrehen (geht aber nicht immer). Was machen wenn der Trojaner bereits aktiviert wurde Hier bin ich mir, angesichts der letzten Informationen, nicht mehr sicher. Dass der PC, von dem die Verseuchung ausging, von Netz genommen wird, ist klar. Damit ist es aber bei Weitem noch nicht getan. Man liest, dass zb der Emotet-Trojaner zuerst mal im Hintergrund wartet und versucht, möglichst viel über das System zu "lernen". Hierbei zielt er u.a. darauf ab, Domänenadminrechte zu erhalten und quasi die Domäne zu "übernehmen". Was heißt das für den Admin? -> Bei Infektion -> Am Besten die Domäne neu aufziehen? Sofern eine Infektion stattgefunden hat, kann man sich ja nie mehr sicher sein, dass alles mit rechten Dingen zugeht. Wie seht ihr das bzw. was ist eure Meinung dazu? bearbeitet 22. Dezember 2018 von mcdaniels Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 22. Dezember 2018 Autor Melden Teilen Geschrieben 22. Dezember 2018 @multikulti an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren. Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren? Wird vorhandene Antivirussoftware einen Befall identifizieren? und und und... Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Dezember 2018 Melden Teilen Geschrieben 23. Dezember 2018 Datensicherung, Datensicherung und nochmals Datensicherung. Und mal testen, ob die Rücksicherung funktioniert. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Dezember 2018 Autor Melden Teilen Geschrieben 24. Dezember 2018 @zahni: klar! die Details zu den anderen Umständen (Verbreitung, Auswirkungen auf das Netzwerk, die Domäne) und eure Sicht dazu würd mich dennoch auch interessieren. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Am 22.12.2018 um 17:23 schrieb mcdaniels: @multikulti an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren. Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren? Wird vorhandene Antivirussoftware einen Befall identifizieren? und und und... Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen? Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire. Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig. Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen. Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt. Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 vor 58 Minuten schrieb magheinz: Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen. Aber die wollen nur arbeiten und benötigen Freiheit für Forschung und Leere? ;) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Treffer... Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 vor 13 Minuten schrieb magheinz: insoweit erwünscht wie klar ist, wie man sie umgehen kann. Bzw, dass sie nur für alle anderen als einen selbst gelten. ;) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 genau. Ich sehe, du kennst das. Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht. Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen... Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Naja ob das aktuell ein Qualitätsmerkmal darstellt, sei mal dahingestellt ;) 2 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 hehe Das wirklich gute daran bei einer Behörde zu arbeiten ist, das man die ganzen Katastrophen in Deutschland ziemlich genau verstehen kann. 1 Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Wie sind denn deren Argumente, wenn deren Rechner immer wieder befallen werden, sie aber sinvolle Maßnahmen zur Grundsichjerung ablehnen? Warum ist ein Grundschutz unerwünscht? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Argumente? Wer hat was von Argumenten gesagt? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 24. Dezember 2018 Melden Teilen Geschrieben 24. Dezember 2018 Ich wollte auch grad sagen: ich habe keine Zeit für das Geschwätz der it. Ich muss hier arbeiten! ;) Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 25. Dezember 2018 Autor Melden Teilen Geschrieben 25. Dezember 2018 All das von euch Erwähnte kenn ich sehr gut. ;) @magheinz habt ihr incoming / outgoing ssl deep inspection aktiv, was den Traffic angeht? Scannt ihr den Datenstrom in das bzw. aus dem Internet. Fortigate zB macht das ganz gut. (DNS Blacklists, Antivirus etc). Bei mir wurde auf diesem Wege mehrfach verhindert, dass die Schadsoftware nachgeladen wurde, nachdem ein User auf einen Link geklickt bzw. ein Makro aktiviert hat. Wie bei dir, fehlt aber jegliches Bewusstsein für die Gefahr, die von derartigen Bedrohungen ausgeht. Selbst wenn man es 100x erwähnt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.