Gulp 226 Geschrieben 7. Juli 2023 Melden Teilen Geschrieben 7. Juli 2023 (bearbeitet) vor 51 Minuten schrieb wznutzer: Das ist mal konsequent. Evtl. hat da auch die Überlegung mitgespielt, dass man es nicht mit Wald und Wiesen Malware zu tun hat. Es kommt auf die Sichtweise an, wer genau garantiert denn wirklich am Ende ob etwas "clean" ist und was bedeutet "clean" genau? Ich stehe auf dem Standpunkt, wenn etwas mutmaßlich kompromittiert ist, egal mit was ..... dann neu! Die Versicherung freut sich wenn man sagt: "der Dienstleister hat gesagt das Notebook ist clean" ....... Grüsse Gulp bearbeitet 7. Juli 2023 von Gulp Typo - *sigh* wie immer Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 7. Juli 2023 Autor Melden Teilen Geschrieben 7. Juli 2023 vor 32 Minuten schrieb Gulp: Es kommt auf die Sichtweise an, wer genau garantiert denn wirklich am Ende ob etwas "clean" ist und was bedeutet "clean" genau? Ich würde etwas als "clean" bezeichnen, wenn keine andere Software drauf läuft als diejenige die vorgesehen ist. vor 33 Minuten schrieb Gulp: Ich stehe auf dem Standpunkt, wenn etwas mutmaßlich kompromittiert ist, egal mit was ..... dann neu! Dem stimme ich zu und handle auch so. Aber wann ist etwas mutmaßlich kompromittiert? Klar wenn das Monitoring dubiose Verbindungen protokolliert, auf eine Rechnung.pdf.exe geklickt wurde, all diese Sachen, keine Frage, das Teil wird neu gemacht. Aber wenn der User bei einer Internetrecherche irgendwo draufgeklickt hat und der AV meldet einen Zugriff auf eine URL, irgendwas im Browsercache oder er hat den Link in der Email angewählt eine blöde Internetseite geöffnet, die Logindaten abgreifen will und wieder zugemacht. Ist so etwas schon ein "Sicherheitsfall"? Dass ich überhaupt etwas merke, muss mir der Nutzer ja berichten oder irgendein Monitoring muss anschlagen. Aber wenn der User 1 Tag bevor etwas erkannt werden kann schon draufklickt? Dann würde ich das gerne bei "regelmäßigen Wartungsarbeiten" feststellen. Und genau um diese möglichen Prüfungen geht es mir. Ich habe das wahrscheinlich falsch formuliert. Oft heißt es ja, dass ein Netz manchmal schon Wochen/Monate kompromittiert ist, bevor man das merkt. Was hätte man in den Wochen/Monate machen müssen um zu bemerken, dass etwas nicht stimmt? Hätte man das mit etwas Übung, Autoruns, ProcessExplorer, Thor, Offline-Scan bemerken können? Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 8. Juli 2023 Melden Teilen Geschrieben 8. Juli 2023 vor 17 Stunden schrieb wznutzer: Darf ich etwas OT werden? Meinst Du Puppet, Ansible und Co? Oder den Weg alles einzeln zu recherchieren (Powershell, Registrykeys usw.). Bis alle Schrauben dran sind, komme ich immer auf 3-4 Stunden. Das hat er bestimmt irgendwo verbloggt oder so. Ich kenn hier kaum jemand drum kann ich keine Adresse liefern. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 8. Juli 2023 Melden Teilen Geschrieben 8. Juli 2023 3-4h vs. x Millionen € Schaden, wenn man etwas übersieht und dann im Nachgang ausbricht. Für einen einfachen Admin, der sich um _alles_ kümmern darf, wird es nicht möglich sein a. das eigene Netz so sicher zu machen, dass man sich nichts einfängt und b. zu beurteilen, wie man reagieren soll, wenn was passiert. Bei einem Kunden kam ein Befall über einen SIEM Dienstleiter heraus. D.h. ein DL mit einem SOC (Security Operating Center) überwachte deren Umgebung und hat den Angriff gemerkt. Ein kleineres oder Mittleres Unternehmen kann so was nicht inhouse erledigen. Zur Frage wann ist die Umgebung Clean: Das kann aus meiner Sicht auch nur mit einem entsprechenden Dienstleister passieren, der eine entsprechende Analyse und einen Penetration Test durchführt. Zitieren Link zu diesem Kommentar
q617 1 Geschrieben 8. Juli 2023 Melden Teilen Geschrieben 8. Juli 2023 Wobei immer noch die Frage bleibt, ob frisch installierter Client nicht genau dieselbe Lücke aufweist,. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 10. Juli 2023 Autor Melden Teilen Geschrieben 10. Juli 2023 Am 8.7.2023 um 12:58 schrieb Dukel: 3-4h vs. x Millionen € Schaden, wenn man etwas übersieht und dann im Nachgang ausbricht. Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Am 8.7.2023 um 12:58 schrieb Dukel: Für einen einfachen Admin, der sich um _alles_ kümmern darf, wird es nicht möglich sein a. das eigene Netz so sicher zu machen, dass man sich nichts einfängt und b. zu beurteilen, wie man reagieren soll, wenn was passiert. Wahrscheinlich ist das so. Aber trotzdem versuchen wir doch ständig irgendwas besser zu machen und dazu zu lernen. Andere Meinungen zu kennen, finde ich schon sehr hilfreich. Am 8.7.2023 um 15:49 schrieb q617: Wobei immer noch die Frage bleibt, ob frisch installierter Client nicht genau dieselbe Lücke aufweist,. Der Mensch davor bleibt. Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 10. Juli 2023 Melden Teilen Geschrieben 10. Juli 2023 vor 8 Minuten schrieb wznutzer: Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Die geblockten URLs sind nicht das Problem, das Problem sind die nicht geblockten. Oder anders: Wenn jemand klickt, der Aufruf blockiert wird und nichts weiter passiert, würde ich nichts unternehmen. Wenn von dem Client aus aber mehrere Anfragen blockiert werden, insbesondere zu ungewöhnlichen Zeiten, ist die Gefahr gross, dass etwas läuft, was nicht laufen sollte und eine Neuinstallation ist angesagt. 20 Minuten für eine Neuinstallation sind machbar übers Netzwerk. Wobei sich solche Beispiele auf ideale Umgebungen beziehen, in denen alle Software paketiert ist oder ausser Office keine Anwendungen benötigt werden. Es gibt da ganz andere Fälle, zum Beispiel bei Ingenieuren. Dort hat jeder fünf Versionen von drei CAD- und Berechnungs-Anwendungen installiert, die teilweise telefonisch aktiviert werden müssen, den Grafikkartentreiber genau in Version X benötigen und gewisse Daten lokal speichern. Aber das soll kein Hindernis sein für eine Neuinstallation bei Verdachtsfällen. In solchen Umgebungen sichere ich die Clients täglich über Mittag und das Zurückspielen der Sicherung dauert auch ziemlich genau 20 Minuten. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 10. Juli 2023 Autor Melden Teilen Geschrieben 10. Juli 2023 vor 22 Minuten schrieb mwiederkehr: Wenn von dem Client aus aber mehrere Anfragen blockiert werden, insbesondere zu ungewöhnlichen Zeiten, ist die Gefahr gross, dass etwas läuft, was nicht laufen sollte und eine Neuinstallation ist angesagt. Danke, das handhabe ich genau so. Ich versuche das noch etwas zu verbessern in dem ich auf RDS-Hosts oder auch hin und wieder bei einen der anderen Server noch sozusagen anlasslose Kontrollen vornehme. Aber ich habe nun gelernt, dass ich da wohl ziemlich alleine mit dastehe . vor 30 Minuten schrieb mwiederkehr: Aber das soll kein Hindernis sein für eine Neuinstallation bei Verdachtsfällen. In solchen Umgebungen sichere ich die Clients täglich über Mittag und das Zurückspielen der Sicherung dauert auch ziemlich genau 20 Minuten. Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt? Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 10. Juli 2023 Melden Teilen Geschrieben 10. Juli 2023 vor 25 Minuten schrieb wznutzer: Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt? Ich nutze ebenfalls Veeam, die kostenpflichtige Version. Damit lassen sich die Sicherungen zentral verwalten und überwachen. Da es nur geänderte Daten sichert, ist die Sicherung innerhalb weniger Minuten erledigt und der Benutzer merkt nichts, da sie über Mittag läuft. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 10. Juli 2023 Melden Teilen Geschrieben 10. Juli 2023 (bearbeitet) vor 8 Stunden schrieb wznutzer: Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick. Wir haben ein Image erstellt mit der Standardsoftware, anschließend SYSPREP mit shutdown ausgeführt, mit DISM Offline ein *.WIM erstellt. Die WIM wird mit dem MDT und dem WDS auf die Clients gebracht, dauert ~20 Minuten. Die WIM muss natürlich gepflegt werden, monatlich neue Updates rein, aber das ist ein Job für den Azubi. Weitere benötigte Software wird dann über Baramundi installiert. bearbeitet 10. Juli 2023 von Sunny61 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.