24
Ransomware-Reaction-Software Erfahrungen
Hallo allerseits.
Ein Kunde spricht uns auf folgendes an: Er ist von seiner Cyber-Versicherung informiert worden, dass es mehr und mehr Schäden durch Ransomware gibt. Soweit so bekannt. Nun schreibt ihm seine Versicherung:
"Hier soll es nunmehr eine sog. „Ransomware-Reaction-Software“ geben. Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen. Ein 24/7 Monitoring-Team kann dann umgehend eingreifen und mit hinterlegten Notfallmaßnahmen starten, um dadurch Schlimmeres zu vermeiden."
Habt ihr Erfahrung in Sachen "„Ransomware-Reaction-Software“? Was genau ist mit "Notfallmaßnahmen" gemeint? Ist es wirklich so, dass man z.B., wenn ein User eine Verschlüsselungs-Software startet, so schnell eine Reaktion erfolgen kann, dass z.B. gemountete Laufwerksverbindungen rechtzeitig gekappt werden? Was meint ihr dazu?
Auch wenn ein "Monitoring-Team" mich nach 2 Minuten anruft, dann ist das Kind doch normalerweise längtst in den Brunnen gefallen und bereits ein Teil der Daten verschlüsselt.. Ich persönlich halte das alles für sehr unwahrscheinlich und eher für neue Geldschneiderei. Gibt es Leute mit Erfahrungen zu dem Thema? Danke für euren Input.
LG puerto
Ein Kunde spricht uns auf folgendes an: Er ist von seiner Cyber-Versicherung informiert worden, dass es mehr und mehr Schäden durch Ransomware gibt. Soweit so bekannt. Nun schreibt ihm seine Versicherung:
"Hier soll es nunmehr eine sog. „Ransomware-Reaction-Software“ geben. Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen. Ein 24/7 Monitoring-Team kann dann umgehend eingreifen und mit hinterlegten Notfallmaßnahmen starten, um dadurch Schlimmeres zu vermeiden."
Habt ihr Erfahrung in Sachen "„Ransomware-Reaction-Software“? Was genau ist mit "Notfallmaßnahmen" gemeint? Ist es wirklich so, dass man z.B., wenn ein User eine Verschlüsselungs-Software startet, so schnell eine Reaktion erfolgen kann, dass z.B. gemountete Laufwerksverbindungen rechtzeitig gekappt werden? Was meint ihr dazu?
Auch wenn ein "Monitoring-Team" mich nach 2 Minuten anruft, dann ist das Kind doch normalerweise längtst in den Brunnen gefallen und bereits ein Teil der Daten verschlüsselt.. Ich persönlich halte das alles für sehr unwahrscheinlich und eher für neue Geldschneiderei. Gibt es Leute mit Erfahrungen zu dem Thema? Danke für euren Input.
LG puerto
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4814372824
Url: https://administrator.de/contentid/4814372824
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
24 Kommentare
Neuester Kommentar
Erstmal würde ich KEINER Versicherung oder sonstwem zugriff auf meine Daten geben. Wer sagt denn das DIE sicher sind? Und der beste Schutz sind halt regelmässige Backups...
Von daher würde ich sowas eher sinnbefreit sehen...
Von daher würde ich sowas eher sinnbefreit sehen...
1
Nabend.
Zumal es kaum IT-Forensiker gibt.
Fand das damals extrem suspekt, dass die Cyberversicherung damit warb, dass im Falle einer Attacke Experten zur Seite gestellt werden.
Wenn man bei einem willkürlichen Systemhaus der größeren Sorte nachfragt, ob die zu viele Forensiker beschäftigen, werden die alle geschlossen nen Vogel rausholen und den zeigen.
Es gibt solche Ransomware-Reaction-Software-Teams, welche sich 24/7 kümmern, vielleicht, aber es wird hier mit falschen Versprechungen um sich geschlagen.
Da würde ich ebenfalls die Finger von weglassen.
Und this:
Es sollte auch eine Offline Sicherung vorhanden sein.
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Gruß
Marc
Zumal es kaum IT-Forensiker gibt.
Fand das damals extrem suspekt, dass die Cyberversicherung damit warb, dass im Falle einer Attacke Experten zur Seite gestellt werden.
Wenn man bei einem willkürlichen Systemhaus der größeren Sorte nachfragt, ob die zu viele Forensiker beschäftigen, werden die alle geschlossen nen Vogel rausholen und den zeigen.
Es gibt solche Ransomware-Reaction-Software-Teams, welche sich 24/7 kümmern, vielleicht, aber es wird hier mit falschen Versprechungen um sich geschlagen.
Da würde ich ebenfalls die Finger von weglassen.
Und this:
Es sollte auch eine Offline Sicherung vorhanden sein.
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Gruß
Marc
Moin...
sicher das es die versicherung war, die da geschrieben hat?
"Hier soll es nunmehr eine sog. „Ransomware-Reaction-Software“ geben. Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen. Ein 24/7 Monitoring-Team kann dann umgehend eingreifen und mit hinterlegten Notfallmaßnahmen starten, um dadurch Schlimmeres zu vermeiden."
oha... "Ransomware-Reaction-Software“ 
Habt ihr Erfahrung in Sachen "„Ransomware-Reaction-Software“? Was genau ist mit "Notfallmaßnahmen" gemeint? Ist es wirklich so, dass man z.B., wenn ein User eine Verschlüsselungs-Software startet, so schnell eine Reaktion erfolgen kann, dass z.B. gemountete Laufwerksverbindungen rechtzeitig gekappt werden? Was meint ihr dazu?
also... die beste "Ransomware-Reaction-Software“ ist Kaspersky! Kaspersky trennt sofort die verbindung..
und das ist sicher!
die Beste Notfallmaßnahme ist eigentlich Gehirn einschalten, und eine gute Datensicherung! wenn diese auch noch regelmäßig geprüft wird, und dein Recover geübt wird, ist alles in butter!
selbstredend ist eine Datensicherungauch Offline vorhanden....
Auch wenn ein "Monitoring-Team" mich nach 2 Minuten anruft, dann ist das Kind doch normalerweise längtst in den Brunnen gefallen und bereits ein Teil der Daten verschlüsselt.. Ich persönlich halte das alles für sehr unwahrscheinlich und eher für neue Geldschneiderei. Gibt es Leute mit Erfahrungen zu dem Thema? Danke für euren Input.
nach 2 Minuten ist der drops eh gelutscht.....
LG puerto
Frank
Zitat von @puerto:
Hallo allerseits.
Ein Kunde spricht uns auf folgendes an: Er ist von seiner Cyber-Versicherung informiert worden, dass es mehr und mehr Schäden durch Ransomware gibt. Soweit so bekannt. Nun schreibt ihm seine Versicherung:
oha...Hallo allerseits.
Ein Kunde spricht uns auf folgendes an: Er ist von seiner Cyber-Versicherung informiert worden, dass es mehr und mehr Schäden durch Ransomware gibt. Soweit so bekannt. Nun schreibt ihm seine Versicherung:
sicher das es die versicherung war, die da geschrieben hat?
"Hier soll es nunmehr eine sog. „Ransomware-Reaction-Software“ geben. Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen. Ein 24/7 Monitoring-Team kann dann umgehend eingreifen und mit hinterlegten Notfallmaßnahmen starten, um dadurch Schlimmeres zu vermeiden."
Habt ihr Erfahrung in Sachen "„Ransomware-Reaction-Software“? Was genau ist mit "Notfallmaßnahmen" gemeint? Ist es wirklich so, dass man z.B., wenn ein User eine Verschlüsselungs-Software startet, so schnell eine Reaktion erfolgen kann, dass z.B. gemountete Laufwerksverbindungen rechtzeitig gekappt werden? Was meint ihr dazu?
und das ist sicher!
die Beste Notfallmaßnahme ist eigentlich Gehirn einschalten, und eine gute Datensicherung! wenn diese auch noch regelmäßig geprüft wird, und dein Recover geübt wird, ist alles in butter!
selbstredend ist eine Datensicherungauch Offline vorhanden....
Auch wenn ein "Monitoring-Team" mich nach 2 Minuten anruft, dann ist das Kind doch normalerweise längtst in den Brunnen gefallen und bereits ein Teil der Daten verschlüsselt.. Ich persönlich halte das alles für sehr unwahrscheinlich und eher für neue Geldschneiderei. Gibt es Leute mit Erfahrungen zu dem Thema? Danke für euren Input.
LG puerto
1
Hallo,
diese Lösungen werden meines Erachtens immer gebündelt verkauft mit präventiven Maßnahmen (irgendwas zwischen Inventar und Security-Baseline-Configuration-Management), da der Nutzen der reaktiven Möglichkeiten tatsächlich begrenzt ist. Eine Erwägung kann sein, dass sich Ransomware im Hintergrund hält, bis sie bestimmte Ziele erreicht hat. Mit der Kombination aus Erkennung und Dienstleistung kann der Nutzer benachrichtigt und instruiert werden, bevor er überhaupt weiß, dass etwas vorgefallen ist, und er sich seinerseits an die IT wenden könnte.
Die Produktkategorie ist dem Namen nach auf ein weithin bekanntes und leicht verständliches, aber sehr enges Bedrohungsphänomen zugeschnitten und spricht daher bewusst Entscheidungsträger an, welche die Bedrohung nicht in ihrem technischen Zusammenhang sehen. Das ist nochmal eine verengte Sichtweise gegenüber den zunehmenden branchenspezifischen Lösungen mit ähnlicher Problematik.
Auch wenn sie nicht per se nutzlos sind, fährt ein Unternehmen mit solchen "Malen-nach-Zahlen"-Ansätzen notwendigerweise schlechter als mit neutralen Standardlösungen für die jeweiligen Schutzziele, weil der Verkäufer durch sein Marketing eine Ineffizienz in der Produktauswahl ausnutzt.
Beste Grüße
Richard
diese Lösungen werden meines Erachtens immer gebündelt verkauft mit präventiven Maßnahmen (irgendwas zwischen Inventar und Security-Baseline-Configuration-Management), da der Nutzen der reaktiven Möglichkeiten tatsächlich begrenzt ist. Eine Erwägung kann sein, dass sich Ransomware im Hintergrund hält, bis sie bestimmte Ziele erreicht hat. Mit der Kombination aus Erkennung und Dienstleistung kann der Nutzer benachrichtigt und instruiert werden, bevor er überhaupt weiß, dass etwas vorgefallen ist, und er sich seinerseits an die IT wenden könnte.
Die Produktkategorie ist dem Namen nach auf ein weithin bekanntes und leicht verständliches, aber sehr enges Bedrohungsphänomen zugeschnitten und spricht daher bewusst Entscheidungsträger an, welche die Bedrohung nicht in ihrem technischen Zusammenhang sehen. Das ist nochmal eine verengte Sichtweise gegenüber den zunehmenden branchenspezifischen Lösungen mit ähnlicher Problematik.
Auch wenn sie nicht per se nutzlos sind, fährt ein Unternehmen mit solchen "Malen-nach-Zahlen"-Ansätzen notwendigerweise schlechter als mit neutralen Standardlösungen für die jeweiligen Schutzziele, weil der Verkäufer durch sein Marketing eine Ineffizienz in der Produktauswahl ausnutzt.
Beste Grüße
Richard
Ja, es gibt solche Software bzw. Konzepte.
Sobald ein bistimmtest verhalten erkannt wird, zB. Honeysport-Dateien, wird z.B. der Switchport abgeschaltet und Alarmmeldungen verschickt. Das kann durchaus in Bruchteilen von Sekunden passieren. False-Positiv sind dann ärgerlich.
Dazu braucht man Software auf den Servern und Clients, passende Firewall und Switche.
Es ist halt mehr ein Konzept als eine einzelne Software die ich installiere und fertig.
Stefan
Sobald ein bistimmtest verhalten erkannt wird, zB. Honeysport-Dateien, wird z.B. der Switchport abgeschaltet und Alarmmeldungen verschickt. Das kann durchaus in Bruchteilen von Sekunden passieren. False-Positiv sind dann ärgerlich.
Dazu braucht man Software auf den Servern und Clients, passende Firewall und Switche.
Es ist halt mehr ein Konzept als eine einzelne Software die ich installiere und fertig.
Stefan
Es ist sinnvoller die Energie in Vorsorge- statt Nachsorgemaßnahmen zu stecken.
lks
lks
Moin,
Erstes würde ich die Finger davon lassen. Weil kommt es zu False-Postive und damit zu Ausfällen, geht es schnell um die Schuldzuweiseung und möglicher Schadensersatzforderungen. Da würde ich auch als DL nicht die Finger rein bringen möchten.
Letztes ist grundsätzlich möglich und eigentlich "nur" eine Frage des Geldes. Allerdings kenne ich das nur aus Mittelstandsunternehmen (> 10.000 MA) und Konzernen. Da gibt's dann aus anderen Gründen schon meist ein oder mehrere Teams für NMC, NOC und SOC.
Gruß,
Dani
"Hier soll es nunmehr eine sog. „Ransomware-Reaction-Software“ geben. Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen. Ein 24/7 Monitoring-Team kann dann umgehend eingreifen und mit hinterlegten Notfallmaßnahmen starten, um dadurch Schlimmeres zu vermeiden."
ist das ein Angebot der Versicherung (sprich stellt die Software zur Verfügung) an den Kunden oder muss der Kunde dafür sorgen tragen, solch ein Konzept (Software kann nur ein Teil davon sein) umzusetzen und entsprechend ein solches Team aufzubauen?Erstes würde ich die Finger davon lassen. Weil kommt es zu False-Postive und damit zu Ausfällen, geht es schnell um die Schuldzuweiseung und möglicher Schadensersatzforderungen. Da würde ich auch als DL nicht die Finger rein bringen möchten.
Letztes ist grundsätzlich möglich und eigentlich "nur" eine Frage des Geldes. Allerdings kenne ich das nur aus Mittelstandsunternehmen (> 10.000 MA) und Konzernen. Da gibt's dann aus anderen Gründen schon meist ein oder mehrere Teams für NMC, NOC und SOC.
Gruß,
Dani
Ich hatte nun schon einige Kunden die verschlüsselt bei uns aufgelaufen sind.
Aus Erfahrung kann ich sagen, es gibt praktisch keine effektive Software die Verschlüsselung komplett unterbinden bzw. erkennen kann.
Selbst wenn es nur um Erkennung geht ... Da müsste man eigentlich ein ganzes SOC-Team für einstellen oder extern einkaufen. Die Verhaltensweisen (selbst bei Angriffen der selben, bekannten "Hackergruppen) ändern sich praktisch mit jedem Angriff.
Teilweise mit komplett neuentwickelen vorgehensweisen, die noch nirgendwo gesichtet wurden.
Der einzige und wirklich effektive Schutz gegen Ransomeware: AD-Tiering, Zero-Trust Netzwerkarchitekturen, schreibgeschütze Backups.
Damit verhindere ich keinen Angriff, ich halte aber meinen Angriffsvektor gering wie möglich. Am Ende kann man es sich wie mit Brandabschnitten und Gebäuden vorstellen.
Ich will immer einen Vollbrand verhindern, wo selbst die Feuerwehr nur noch zuschauen kann. Brennt mir hingegen nur ein, vielleicht sogar 2 Brandabschnitte weg, bin ich in meinen anderen Abschnitten noch handlungsfähig und kann mich ggf. mit etwas externer Hilfe wieder selbst "heilen".
Aus Erfahrung kann ich sagen, es gibt praktisch keine effektive Software die Verschlüsselung komplett unterbinden bzw. erkennen kann.
Selbst wenn es nur um Erkennung geht ... Da müsste man eigentlich ein ganzes SOC-Team für einstellen oder extern einkaufen. Die Verhaltensweisen (selbst bei Angriffen der selben, bekannten "Hackergruppen) ändern sich praktisch mit jedem Angriff.
Teilweise mit komplett neuentwickelen vorgehensweisen, die noch nirgendwo gesichtet wurden.
Der einzige und wirklich effektive Schutz gegen Ransomeware: AD-Tiering, Zero-Trust Netzwerkarchitekturen, schreibgeschütze Backups.
Damit verhindere ich keinen Angriff, ich halte aber meinen Angriffsvektor gering wie möglich. Am Ende kann man es sich wie mit Brandabschnitten und Gebäuden vorstellen.
Ich will immer einen Vollbrand verhindern, wo selbst die Feuerwehr nur noch zuschauen kann. Brennt mir hingegen nur ein, vielleicht sogar 2 Brandabschnitte weg, bin ich in meinen anderen Abschnitten noch handlungsfähig und kann mich ggf. mit etwas externer Hilfe wieder selbst "heilen".
Moin,
allerdings bin ich mir sicher, das irgendwann der Tag kommt, wo das auch nicht mehr klappt.
Selbst wenn es nur um Erkennung geht ... Da müsste man eigentlich ein ganzes SOC-Team für einstellen oder extern einkaufen. Die Verhaltensweisen (selbst bei Angriffen der selben, bekannten "Hackergruppen) ändern sich praktisch mit jedem Angriff.
ja, das stimmt.
Teilweise mit komplett neuentwickelen vorgehensweisen, die noch nirgendwo gesichtet wurden.
Der einzige und wirklich effektive Schutz gegen Ransomeware: AD-Tiering, Zero-Trust Netzwerkarchitekturen, schreibgeschütze Backups.
das sehe ich auch so.
Damit verhindere ich keinen Angriff, ich halte aber meinen Angriffsvektor gering wie möglich. Am Ende kann man es sich wie mit Brandabschnitten und Gebäuden vorstellen.
Ich will immer einen Vollbrand verhindern, wo selbst die Feuerwehr nur noch zuschauen kann. Brennt mir hingegen nur ein, vielleicht sogar 2 Brandabschnitte weg, bin ich in meinen anderen Abschnitten noch handlungsfähig und kann mich ggf. mit etwas externer Hilfe wieder selbst "heilen".
Frank
Zitat von @Cloudrakete:
Ich hatte nun schon einige Kunden die verschlüsselt bei uns aufgelaufen sind.
Aus Erfahrung kann ich sagen, es gibt praktisch keine effektive Software die Verschlüsselung komplett unterbinden bzw. erkennen kann.
finde ich schon... unsere kunden haben da weniger probleme mit. KAV ist da sehr effektiv.Ich hatte nun schon einige Kunden die verschlüsselt bei uns aufgelaufen sind.
Aus Erfahrung kann ich sagen, es gibt praktisch keine effektive Software die Verschlüsselung komplett unterbinden bzw. erkennen kann.
allerdings bin ich mir sicher, das irgendwann der Tag kommt, wo das auch nicht mehr klappt.
Selbst wenn es nur um Erkennung geht ... Da müsste man eigentlich ein ganzes SOC-Team für einstellen oder extern einkaufen. Die Verhaltensweisen (selbst bei Angriffen der selben, bekannten "Hackergruppen) ändern sich praktisch mit jedem Angriff.
Teilweise mit komplett neuentwickelen vorgehensweisen, die noch nirgendwo gesichtet wurden.
Der einzige und wirklich effektive Schutz gegen Ransomeware: AD-Tiering, Zero-Trust Netzwerkarchitekturen, schreibgeschütze Backups.
Damit verhindere ich keinen Angriff, ich halte aber meinen Angriffsvektor gering wie möglich. Am Ende kann man es sich wie mit Brandabschnitten und Gebäuden vorstellen.
Ich will immer einen Vollbrand verhindern, wo selbst die Feuerwehr nur noch zuschauen kann. Brennt mir hingegen nur ein, vielleicht sogar 2 Brandabschnitte weg, bin ich in meinen anderen Abschnitten noch handlungsfähig und kann mich ggf. mit etwas externer Hilfe wieder selbst "heilen".
Frank
Das ist so nicht ganz richtig - soweit ich das richtig in Errinnerung habe gibt es davon beliebig viele -> da sich jeder so nennen kann
. Ob der/die dann wirklich was davon versteht ist eine andere Frage - aber für eine Versicherung die damit Werbung macht auch nicht zwingend von belang... War doch ein EXPERTE beteiligt, damit ist das was aufm Papier steht ja erfüllt...Zitat von @maretz:
Das ist so nicht ganz richtig - soweit ich das richtig in Errinnerung habe gibt es davon beliebig viele -> da sich jeder so nennen kann. Ob der/die dann wirklich was davon versteht ist eine andere Frage - aber für eine Versicherung die damit Werbung macht auch nicht zwingend von belang... War doch ein EXPERTE beteiligt, damit ist das was aufm Papier steht ja erfüllt...
Das ist so nicht ganz richtig - soweit ich das richtig in Errinnerung habe gibt es davon beliebig viele -> da sich jeder so nennen kann
. Ob der/die dann wirklich was davon versteht ist eine andere Frage - aber für eine Versicherung die damit Werbung macht auch nicht zwingend von belang... War doch ein EXPERTE beteiligt, damit ist das was aufm Papier steht ja erfüllt...Absolut richtig.
Am Ende kann die Versicherung sagen: "Wenn Sie keine Hilfe wollen, müssen wir auch keine Versicherungsleistung erbringen."
Und wenn dort dann ein umgeschulter Immobilienmakler werkelt und nichts gebacken bekommt, ist keinem geholfen.
Generell gilt, was LKS schrieb:
Zitat von @Lochkartenstanzer:
Es ist sinnvoller die Energie in Vorsorge- statt Nachsorgemaßnahmen zu stecken.
Es ist sinnvoller die Energie in Vorsorge- statt Nachsorgemaßnahmen zu stecken.
Gruß
Marc
Zitat von @radiogugu:
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Das stimmt so nicht ganz (trifft nicht nur auf Veeam zu), denn wenn man seine Backup-Infrastruktur sicher genug erstellt, dann sind die Backups sicher vor einer Verschlüsselung. Nur so ein paar Stichwörter...
- Backup-Server nicht in der Domäne
- Steuerung über Management-Server mit Konten mit wenig Rechten (kein direktes RDP auf Backup-Server)
- Backups mit starkem Passwort verschlüsselt - Passwort ist sicher z.B. in einem Safe
- Repository für Backups auf Linux mit 2FA absichern
Selbst wenn der ganze Backup-Server durch Ransomware hops geht, so eine Instanz ist schnell wiederhergestellt. An die Backups kommt die Ransomware nicht ran, da anderes OS, anderer Login und ein zweiter Faktor benötigt werden.
Zitat von @DerMaddin:
Das stimmt so nicht ganz (trifft nicht nur auf Veeam zu), denn wenn man seine Backup-Infrastruktur sicher genug erstellt, dann sind die Backups sicher vor einer Verschlüsselung. Nur so ein paar Stichwörter...
Selbst wenn der ganze Backup-Server durch Ransomware hops geht, so eine Instanz ist schnell wiederhergestellt. An die Backups kommt die Ransomware nicht ran, da anderes OS, anderer Login und ein zweiter Faktor benötigt werden.
Zitat von @radiogugu:
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Das stimmt so nicht ganz (trifft nicht nur auf Veeam zu), denn wenn man seine Backup-Infrastruktur sicher genug erstellt, dann sind die Backups sicher vor einer Verschlüsselung. Nur so ein paar Stichwörter...
- Backup-Server nicht in der Domäne
- Steuerung über Management-Server mit Konten mit wenig Rechten (kein direktes RDP auf Backup-Server)
- Backups mit starkem Passwort verschlüsselt - Passwort ist sicher z.B. in einem Safe
- Repository für Backups auf Linux mit 2FA absichern
Selbst wenn der ganze Backup-Server durch Ransomware hops geht, so eine Instanz ist schnell wiederhergestellt. An die Backups kommt die Ransomware nicht ran, da anderes OS, anderer Login und ein zweiter Faktor benötigt werden.
Auch absolut richtig.
Nur der Einfachheit halber haben mit Sicherheit einige Administratoren (mich eingeschlossen) temporäre SMB Freigaben auf dem Backup Server erstellt. Wenn vergessen wird diese wieder zu schließen /beenden, sieht das Ganze wieder anders aus.
Gruß
Marc
Zitat von @radiogugu:
Nur der Einfachheit halber haben mit Sicherheit einige Administratoren (mich eingeschlossen) temporäre SMB Freigaben auf dem Backup Server erstellt. Wenn vergessen wird diese wieder zu schließen /beenden, sieht das Ganze wieder anders aus.
Nur der Einfachheit halber haben mit Sicherheit einige Administratoren (mich eingeschlossen) temporäre SMB Freigaben auf dem Backup Server erstellt. Wenn vergessen wird diese wieder zu schließen /beenden, sieht das Ganze wieder anders aus.
Das ist so wie wenn die Bankmitarbeiter der Einfachheit halber die Tresortür offen lassen, damit man nicht jedesmal den Zugangscode eintippen muss, um was reinzutun oder wieder was rauszuholen.
lks
Einmal mit Experten war früher
Heute reicht mir ja schon einmal ohne Idioten
Heute reicht mir ja schon einmal ohne Idioten
Back-to-Topic:
Eigentlich sollte das jede gute Endpoint-Security-Lösung können. TrendMicro macht das z.B. auch.
Gruß
Looser
Eigentlich sollte das jede gute Endpoint-Security-Lösung können. TrendMicro macht das z.B. auch.
Gruß
Looser
"Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen"
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
Zitat von @DerMaddin:
Das stimmt so nicht ganz (trifft nicht nur auf Veeam zu), denn wenn man seine Backup-Infrastruktur sicher genug erstellt, dann sind die Backups sicher vor einer Verschlüsselung. Nur so ein paar Stichwörter...
Selbst wenn der ganze Backup-Server durch Ransomware hops geht, so eine Instanz ist schnell wiederhergestellt. An die Backups kommt die Ransomware nicht ran, da anderes OS, anderer Login und ein zweiter Faktor benötigt werden.
Zitat von @radiogugu:
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Denn auch Veeam oder wie sie alle heißen sind nicht 100 % sicher vor Verschlüsselung.
Das stimmt so nicht ganz (trifft nicht nur auf Veeam zu), denn wenn man seine Backup-Infrastruktur sicher genug erstellt, dann sind die Backups sicher vor einer Verschlüsselung. Nur so ein paar Stichwörter...
- Backup-Server nicht in der Domäne
- Steuerung über Management-Server mit Konten mit wenig Rechten (kein direktes RDP auf Backup-Server)
- Backups mit starkem Passwort verschlüsselt - Passwort ist sicher z.B. in einem Safe
- Repository für Backups auf Linux mit 2FA absichern
Selbst wenn der ganze Backup-Server durch Ransomware hops geht, so eine Instanz ist schnell wiederhergestellt. An die Backups kommt die Ransomware nicht ran, da anderes OS, anderer Login und ein zweiter Faktor benötigt werden.
Ich stimme soweit zu.
Darüber hinaus (sehr wichtig) die Dokus, wie die Kernsyteme (z.b. Backup) installiert / konfiguriert werden müssen, zusätzlich (am besten offline & off-site) sichern.
Ich hatte einen Kunden, der Wochen gebraucht hat, seine komplexe Umgebung wieder aufzubauen, da alles Wissen in Dokus gelegen hat, welche ebenfalls "Schrott" waren.
Moin...
ok, bei NEIN, bist du am A....
Frank
Zitat von @godlie:
"Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen"
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
Warum? hast du den keine offline Datensicherung?!?!?!"Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen"
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
ok, bei NEIN, bist du am A....
Frank
Zitat von @Vision2015:
Moin...
ok, bei NEIN, bist du am A....
Frank
Moin...
Zitat von @godlie:
"Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen"
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
Warum? hast du den keine offline Datensicherung?!?!?!"Diese Software soll direkt nach einem Angriff und Start der Verschlüsselung ein Alarmsignal auslösen"
Nach Angriff und Start, sagt mir die Software dann, dass ich am A... bin ?
ok, bei NEIN, bist du am A....
Frank
Frei nach dem Motto Kein Backup kein Mitleid
@Vision2015
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen ?? Slawa Irgendwas!
Kaspersky trennt sofort die verbindung.. und das ist sicher!
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen
?? Slawa Irgendwas!Zitat von @keine-ahnung:
@Vision2015
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen ?? Slawa Irgendwas!
@Vision2015
Kaspersky trennt sofort die verbindung.. und das ist sicher!
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen
?? Slawa Irgendwas!Ich dachte das wäre ein chinesischer Trojaner, der sich als Russe ausgibt.
lks
PS: Nachdem sowiso eine Kopie der Daten schon in Redmont oder Langley liegt, ist es einfach nur redundant noch eine Kopie beim Russen zu haben. Falls man es sich mit der einen oder anderen Seite mal verscherzt.
Zitat von @Lochkartenstanzer:
Ich dachte das wäre ein chinesischer Trojaner, der sich als Russe ausgibt.
lks
PS: Nachdem sowiso eine Kopie der Daten schon in Redmont oder Langley liegt, ist es einfach nur redundant noch eine Kopie beim Russen zu haben. Falls man es sich mit der einen oder anderen Seite mal verscherzt.
Zitat von @keine-ahnung:
@Vision2015
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen ?? Slawa Irgendwas!
@Vision2015
Kaspersky trennt sofort die verbindung.. und das ist sicher!
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen
?? Slawa Irgendwas!Ich dachte das wäre ein chinesischer Trojaner, der sich als Russe ausgibt.
lks
PS: Nachdem sowiso eine Kopie der Daten schon in Redmont oder Langley liegt, ist es einfach nur redundant noch eine Kopie beim Russen zu haben. Falls man es sich mit der einen oder anderen Seite mal verscherzt.
Ich habe mal irgendwo gelesen, dass Schweizer Behörden einen Teil in den USA und einen in China (Alibaba Cloud) hosten. Nur wer Zugriff auf beide Seiten hat, kann die Daten wohl lesen.
Eigentlich raffinierte eine Idee
Moin...
im leben nicht!
Frank
Zitat von @keine-ahnung:
@Vision2015
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen ?? Slawa Irgendwas!
wie soll das gehen, Deutschland ist doch eine Internet Wüste... und da willst du einige hundert GB übertagen!@Vision2015
Kaspersky trennt sofort die verbindung.. und das ist sicher!
Aber doch erst, wenn Deine Daten komplett auf dem Server in Moskau liegen
?? Slawa Irgendwas!im leben nicht!
Frank
