Wenn alle laufenden DCs gehackt würden - Ransomware

[NorbertFe 2.034]

Gerade eben schrieb Täglichlerner:

Und was ist, wenn eine ERP Datenbank gehackt

Dann wird sicherlich nicht die Datenbank einfach weiterhacken, denn das System wirst du ja wohl in einem neuen AD nicht wiederherstellen, sondern nur die Daten. (ohne ;-

[Täglichlerner 12]

@NorberFe :- .. ich wollte mit dem DB-Beispiel sagen, dass eben alle Altdaten aus Sicherungen - wenn dann schon seit Monaten oder Jahren "unbemerkt" gehackt - sleeper - immer korrupt sein könnten. WO soll man da ein Zeit-Limit für "saubere" Daten setzen.

 

Ja, selbst, wenn ich die letzte DCvm nähme und händisch in einen neu aufgesetzten DC das AD vom DCvm "abschreiben" würde - ich hätte also ein sauberes AD/DC - dann kämen ja irgendwann auch wieder die Übernahme von bis zum Hack-Screen gesicherten Unternehmensdaten wieder rein und so ein Schläfer schaut aus einem Client aus einem PDF-File raus und alles wäre wieder obsolet.

 

 

 

 

[NorbertFe 2.034]

Du missverstehst meinen "Einwurf" glaube ich. Ich rede von "Daten" und die führen sich nicht einfach aus, auch wenn die da rumliegen. WEnns natürlich ein Makro oder Skript ist, was hinterher durch irgendwelche User oder Prozesse ausgeführt wird ist schlecht. Passiert innerhalb einer ERP Datenbank eher selten, wäre meine Vermutung.

[Täglichlerner 12]

ok, die Terminologie könnte ich noch verbessern. Daher thx für die Klarstellung.

ERP mit SQL2016 und PowerShell-Script zum Export der DB alle 4 Std.

Muss ich da nachsehen, ob zum Original eine Änderung stattgefunden hat?

Sonst Makros kein Thema hier.

[NilsK 2.934]

Moin,

 

also, mit deinen Gedanken bist du absolut auf dem richtigen Weg. Nur, wie du ja selbst feststellst, gibt es da eben keine einfache Lösung. Das ist das, was wir ja schon mehrfach in diesem Thread betont haben.

 

Wenn der Fall eintritt, werden dir auch alle Vorbereitungen und Checklisten nur begrenzt was bringen. Dann braucht es strukturiertes Improvisieren - und ja, je nach Szenario und Unternehmenswert durchaus auch ein professionelles Emergency-Response-Team, das empfindlich hohe Tagessätze kostet. Selbst dann, wenn man noch so viel vorbereitet hat. Ist ärgerlich, aber so ist mittlerweile die Lage. Kannst du zurzeit fast täglich in den Nachrichten sehen.

 

Eine wichtige Grundregel nach Sicherheitsvorfällen: Wenn du es vermeiden kannst, ein System weiterzubetreiben oder "komplett" wiederherzustellen (VM- oder Image-Recovery), dann vermeide es.

 

Gruß, Nils

 

[Täglichlerner 12]

vor 29 Minuten schrieb NilsK:

Eine wichtige Grundregel nach Sicherheitsvorfällen: Wenn du es vermeiden kannst, ein System weiterzubetreiben oder "komplett" wiederherzustellen (VM- oder Image-Recovery), dann vermeide es.

 

Es sei denn, man ist masochistisch veranlagt :- 

Natürlich ist es besser, die Schotten antizipatorisch dicht zu machen und die Email-user zur Vorsicht aufzurufen. 

 

Aber da sitzen Menschen an den Kisten - unterschiedlichste Beweggründe zum Fehlgriff.

Realität ist eben alles zwischen "worst case" und "oh, Datei weg".

 

b***d wäre nur, wenn das "Emergency Response Team" einen auf Auslassungen aufmerksam macht, die man hätte bei Wissen vermeiden können.

[cj_berlin 1.315]

vor 11 Minuten schrieb Täglichlerner:

b***d wäre nur, wenn das "Emergency Response Team" einen auf Auslassungen aufmerksam macht, die man hätte bei Wissen vermeiden können.

...und vielleicht ahnst Du auch schon, wie man dieses Risiko minimieren könnte: Aufschreiben, was man im Notfall vorhat zu tun, und die Experten regelmäßig drüberschauen lassen. Kostet auch Geld, aber ist nicht mit Zeitdruck und Stress behaftet  

[Sunny61 806]

vor 59 Minuten schrieb cj_berlin:

Aufschreiben, was man im Notfall vorhat zu tun

Und sicherheitshalber auch ausdrucken, weil wenn alles down ist, fehlt mir der Zugang zum Word Dokument. ;)

[tesso 375]

Wenn du Pech hast ist das auch verschlüsselt. 

[Täglichlerner 12]

vor 2 Stunden schrieb cj_berlin:

und die Experten regelmäßig drüberschauen lassen. Kostet auch Geld, aber ist nicht mit Zeitdruck und Stress behaftet

Ja, ich hab´s kapiert.

Time is changing faster than i thought.

Danke für alle wohlgemeinten Ratschläge.

[daabm 1.354]

vor 6 Stunden schrieb Täglichlerner:

Dann kann man ja theoretisch ALLES vergessen. Selbst die Datenbanken von Wochen oder Monaten wären obsolet.

Genau das war ja der Ansatz von "Restore from _nothing_"... Alles, was Du in dem Fall wiederherstellen willst, muß entweder aus irgendeinem Code entstehen, den Du kontrollierst. Oder von USB-Datenträgern, die in einem Safe lagen. Und wie weit zurück, das weiß der Herr alleine Idealerweise stellst Du dabei auch keine Images (oder sonstwie "komplette Systeme") wieder her, sondern nur Nutzdaten. Damit schließt Du nahezu sicher aus, eine Infektion wieder einzuschleppen.

bearbeitet 16. Juli 2021 von daabm

[Sunny61 806]

vor 5 Stunden schrieb tesso:

Wenn du Pech hast ist das auch verschlüsselt. 

Ich druck das doch aus, wenn ich es erstellt habe. Nicht erst in 6 Monaten. ;)

[NorbertFe 2.034]

Kannst du ja gar nicht, weil überall der Printspooler deaktiviert ist. ;)