sabines
Goto Top

Schutz gegen Ransomsware im SOHO Umfeld

Moin,

bei größeren Umgebungen regle ich das über entsprechende Systeme (Mailappliance, Firewall, FSRM, Awareness etc), die einiges an Geld und Aufwand kosten.

Wie macht ihr das bei kleinen Betrieben oder im privaten Umfeld?.
Die können sich solche Systeme wahrscheinlich nicht leisten und sind ja genauso gefährdet.

Viele Grüße

Content-Key: 3295364668

Url: https://administrator.de/contentid/3295364668

Printed on: April 24, 2024 at 12:04 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jul 09, 2022 updated at 06:39:58 (UTC)
Goto Top
Moin,

Linux oder MacOs einsetzen. Das schútzt im Moment vor Ransomware ohne große Zusatzkosten. face-smile

lks

PS: Die o.g. Systeme gibt es auch zum kleinen Preis in der SOHO-Ausführung. Man muß halt immer abwägen, was einen mehr wert ist: Du eventuell verlorenen Daten oder das Geld, das man für deren Schutz ausgibt. Und ganz wichtig: Ein funktionierendes Backup-Konzept.
Member: radiogugu
radiogugu Jul 09, 2022 at 07:10:24 (UTC)
Goto Top
Moin.

+1 für den Linux und MacOS Ansatz.

Auf jeden Fall ein +100 für ein Backup Konzept.

Wenn es nur wechselnde, externe Festplatten sind, dann passt das in der Regel für Zuhause oder auch für Kleinstbetriebe.

Gruß
Marc
Member: Mystery-at-min
Mystery-at-min Jul 09, 2022 at 07:50:10 (UTC)
Goto Top
Ob klein oder groß, implementiere brain.exe. Hilft am meisten, derzeit muss von vielen hunderttausenden Zombie Servern/PCs usw - insbesondere auf "seriösen" Systemen ausgegangen werden.

Daher, nachdenken, prüfen, nicht frei klicken.

Sollte aber auch aus den größeren Firmen bekannt sein.
Member: Vision2015
Vision2015 Jul 09, 2022 at 07:54:45 (UTC)
Goto Top
Moin...

Kaspersky (bitte nur die Business-Versionen) macht das gut, sicher und ohne Probleme!

Frank
Member: Visucius
Visucius Jul 09, 2022 at 07:57:53 (UTC)
Goto Top
Kaspersky
Aber, aber, der Russe im Allgemeinen und im Besonderen 😉
Member: Mystery-at-min
Mystery-at-min Jul 09, 2022 at 08:07:34 (UTC)
Goto Top
Das Problem ist dabei wohl eher die Sache mit "Versicherungsprüfer", sollte etwas sein und man muss auf seine IT-Haftpflicht zurückgreifen und ein Programm, dass vom BSI als "nicht empfohlen" eingestuft wird ist an solch kritischer Stelle eingesetzt. Dürfte lustig werden.
Member: Visucius
Visucius Jul 09, 2022 at 08:58:11 (UTC)
Goto Top
Alles eine Frage der Argumentation!

Schließlich ist russische Sicherheitssoftware ja schon "genetisch bedingt" besonders gut auf die Mentalität und Denkweise russischer Hacker zugeschnitten! Und wenn dann noch nen Chinese mit im Team war, kann eigentlich nix mehr schiefgehen! 😂
Mitglied: 148523
148523 Jul 09, 2022 updated at 10:26:53 (UTC)
Goto Top
Wie macht ihr das bei kleinen Betrieben oder im privaten Umfeld?.
Einfache Lösung: KEIN Windows als OS verwenden. Reduziert die Ransom Gefahr schon mal per se um 98%
Member: Lochkartenstanzer
Lochkartenstanzer Jul 09, 2022 at 11:01:16 (UTC)
Goto Top
Zitat von @148523:

Wie macht ihr das bei kleinen Betrieben oder im privaten Umfeld?.
Einfache Lösung: KEIN Windows als OS verwenden. Reduziert die Ransom Gefahr schon mal per se um 98%

eher 99.99% face-smile

lks
Member: Visucius
Visucius Jul 09, 2022 updated at 11:21:31 (UTC)
Goto Top
Alles gut und schön, ich sitze ja seit 1991 vor nem Mac (plain ohne zusätzliche "Abwehr").

Hilft aber nix, wenn der Kunde ne berufliche SW auf Windows-Basis nutzt. Und das ist in solchen Setups - abseits von Office - ja gerne der Fall. Und damit gehen die "Klimmzüge" los.

Persönlich bin ich ein Fan vom Defender aber das ist eher ne philosophische Frage. Mir sind auch schon Kunden zugeflogen, die sich hinter ner Sophos HW-Firewall mit entsprechenden Lizenzen und lokalen Clients alles mögliche eingefangen haben (über Monate hinweg). Mit Defender und MS365/Sec. sind sie nun seit 4 Jahren problem- oder sagen wir besser "symptomfrei" face-wink

Interessanter finde ich, in den Backups nach Virensignaturen zu suchen und dann ggfs. gezielt den Client zu extrahieren und neu aufzusetzen.
Member: Mystery-at-min
Mystery-at-min Jul 09, 2022 at 11:54:02 (UTC)
Goto Top
Man merkt einfach den Altersdurchschnitt. Heutzutage juckt es die etwas jüngeren nicht mehr, ob es Windows oder Linux oder Mac oder whatever ist. Angreifer greifen die Unternehmens IT an, nicht Linux oder Windows. Es gibt genug Beispiele, die 99,x % Geschwafel als Obsolet offenbart und zu dem sagt es noch eine Menge mehr über Leute, die in 2022 noch in OS-wars der 90er gefangen sind.

Fakt ist, schon durch die Menge der offen im Internet stehenden Linux Webserver gibt es eine solche Bandbreite an Open Backdoors, nicht gepatchter ggf sogar legacy Systeme, dass diese ganze Argumentation absolut nicht mehr tragfähig ist. Das einzige, was hilft ist brain das fängt beim Einsatz dessen beim Konzept an, bei der durchführung, bei der weiterentwicklung und last but not least beim Management. So wie es verlautbart wird "linux hinstellen" und seelenheil empfangen, das mag vermutlich besser mit Ablassbriefen im 15 Jahrhundert funktioniert haben, da unprüfbar. Heute hat man damit mit einem Linuxsystem einfach nur noch Glück, wenn man nicht attackiert wird, aber dasselbe gilt für Windowssysteme, oder man ist einfach zu uninteressant. Wer da mal bisschen lustig ist, kann sich in den dunklen Seiten des Webs mal umschauen, wie viele Zombies man ordern kann.
Member: commodity
commodity Jul 09, 2022 updated at 11:58:40 (UTC)
Goto Top
Linux ist immer ein guter Weg - aber:

Auch im SO wird häufig Windows eine Rolle spielen. Das Thema also nur mit Linux anzugehen greift zu kurz und ich denke, das war auch nicht die Richtung der Frage. Vielleicht können gerade die "alten Hasen" hier etwas mehr Praxisbezug reinbringen? Das ist doch eines der wesentlichen Themen überhaupt. Wahrscheinlich gibt's schon 100 Threads dazu, das würde die Lustlosigkeit etwas erklären. Oder Du sprichst das nochmal im Winter an, Kollege @sabines.

Mal spontan, was ich so mache (ohne Anspruch auf Vollständigkeit):

  • Backup und brain.exe sind schon mal gesetzt. Backup nur pull oder immutable und definitiv Linux.

  • Alle Server im HO laufen auf bzw. unter Linux und werden (auch im KMU), wenn ich Windows Server brauche, unter Linux virtualisiert. So kann auch für die Server ein günstiges und vielfach ausreichendes Systembackup-Konzept einfach umgesetzt werden (LVM-Snapshots).

  • Das LAN im HO ist streng separiert. Alle nicht-Office-Rechner/Geräte sind in eigenen Netzen mit entsprechendem Firewalling. Das Firewalling im Office-Netz ist restriktiv.

  • Windows-Clients haben aktivierten Defender und die Alltagsuser keine Admin-Rechte.

  • Mails werden ebenfalls separiert. Es gibt Mailadressen für unterschiedliche Bereiche und nur eine wirklich öffentliche. So weist oft schon die Empfängeradresse darauf hin, ob die Mail böse ist oder nicht.

  • Dank eigenem Mailserver (credits @thomasleister) mit rspamd gibt's ohnehin fast kein Spam in den Postfächern.

  • Zweifelhafte Anhänge gehen an Virustotal, sofern nicht persönliche Daten enthalten. Sonst brain.exe oder anderer Virenscanner, z.B. Desinfec`t-VM.

  • DNS läuft über PiHole mit restriktiven Filterlisten

  • Zugriff auf die Server nur per SSH mit Public Key

  • Passwörter nur im Keepass mit 2FA

  • Überhaupt 2FA, wo geht.

  • Updates, Updates, Updates

Es geht sicher noch ganz viel mehr: Geschützte Ordner, SRP, DNSSEC uvm, auch ich freue mich über weiter gehende Anregungen.

Viele Grüße, commodity
Member: Mystery-at-min
Mystery-at-min Jul 09, 2022 at 11:56:11 (UTC)
Goto Top
Zitat von @Visucius:

Alles eine Frage der Argumentation!

Schließlich ist russische Sicherheitssoftware ja schon "genetisch bedingt" besonders gut auf die Mentalität und Denkweise russischer Hacker zugeschnitten! Und wenn dann noch nen Chinese mit im Team war, kann eigentlich nix mehr schiefgehen! 😂

Kann man so sehen, aber da gilt dasselbe wie immer, der beauftragte deutsche/englische Agent kann auch ein Doppelagent sein.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 09, 2022 at 12:38:04 (UTC)
Goto Top
Zitat von @Visucius:

Kaspersky
Aber, aber, der Russe im Allgemeinen und im Besonderen 😉

Warum sollte man den Amerikanern , Briten & co. mehr trauen als dem Russen? Etwa, weil die unsere "guten" Freunde sind?

Abgesehen davon, daß inzwischen jede Anti-Malware die Angriffsfläche eher vergrößert als einschränkt.

lka
Member: Visucius
Visucius Jul 09, 2022 at 12:47:09 (UTC)
Goto Top
@Lochkartenstanzer
@Mystery-at-min

Weil hier gerade über "Generationen" filosoviert wird ... ich gehöre zu der, die Ironie und Sarkasmus noch nicht kennzeichnen musste, sondern zwischen den Zeilen schreiben und lesen kann 😉

(Die smileys sind jeweils nur als Deko zu verstehen!)
Member: Lochkartenstanzer
Lochkartenstanzer Jul 09, 2022 at 12:48:55 (UTC)
Goto Top
Zitat von @Visucius:

Kaspersky
Aber, aber, der Russe im Allgemeinen und im Besonderen 😉

Warum sollte man den Amerikanern , Briten & co. mehr trauen als dem Russen? Etwa, weil die unsere "guten" Freunde sind?

Abgesehen davon, daß inzwischen jede Anti-Malware die Angriffsfläche eher vergrößert als einschränkt.

lka
Zitat von @Mystery-at-min:

Man merkt einfach den Altersdurchschnitt. Heutzutage juckt es die etwas jüngeren nicht mehr, ob es Windows oder Linux oder Mac oder whatever ist. Angreifer greifen die Unternehmens IT an, nicht Linux oder Windows. Es gibt genug Beispiele, die 99,x % Geschwafel als Obsolet offenbart und zu dem sagt es noch eine Menge mehr über Leute, die in 2022 noch in OS-wars der 90er gefangen sind.

Fakt ist, schon durch die Menge der offen im Internet stehenden Linux Webserver gibt es eine solche Bandbreite an Open Backdoors, nicht gepatchter ggf sogar legacy Systeme, dass diese ganze Argumentation absolut nicht mehr tragfähig ist.

Du verwechselst da was. Es geht um Rechner im SOHO-Büro und nicht die Server in der Cloud.

Fakt ist, daß die "Streubomben" die aktuell verschickt werden fast ausschließlich für Windowssysteme geeignet sind. Mit dem Einsatz einer Alternative, z.B. AmigaOS (face-smile) hat man dem Zeug schon Mal die Angriffsfläche genommen. Wenn man dann noch sein System einigermaßen aktuell halt, die Passwörter nicht trivial wahlrund zusätzlich ein klein wenig mitdenkt, ist man zumindest für die allgemeinen Angriffe gerüstet. Schwieriger wird es, wenn man gezielt angegriffen wird. Da muß man dann mit maßgeschneiderten Attacken rechnen, wobei auch hier eine Alternative zu Windows es den Angreifern etwas schwerer macht.

Dabei darf man natürlich das Desaster-Revovery nie aus den Augen verlieren!

lks
Mitglied: 108012
108012 Jul 09, 2022 at 21:11:09 (UTC)
Goto Top
Servus,

bei größeren Umgebungen regle ich das über entsprechende Systeme (Mailappliance, Firewall, FSRM, Awareness
etc), die einiges an Geld und Aufwand kosten.
Linux und/oder MacOS
UTM am WAN pfSense, OPNSense, Untangle, Endian, ClearOS
Mailserver auf dem NAS und auch dort scannen

Wie macht ihr das bei kleinen Betrieben oder im privaten Umfeld?
DNSSec
Linux und/oder MacOS
Mailserver auf dem NAS und auch dort scannen
UTM am WAN pfSense, OPNSense, Untangle, Endian, ClearOS
Mittels, squid & squidguard, snort und clamav ist das zumindest auch mehr als der AV auf
dem OS sollte aber zusätzlich gemacht werden.

Die können sich solche Systeme wahrscheinlich nicht leisten und sind ja genauso gefährdet.
pfSense, OPNSense, Untangle, Endian, ClearOS sind kostenlos für das private Umfeld zu beziehen,
kosten aber die Hardware und den Strom!

Dobby
Member: Vision2015
Vision2015 Jul 10, 2022 updated at 08:12:14 (UTC)
Goto Top
Zitat von @Visucius:

Kaspersky
Aber, aber, der Russe im Allgemeinen und im Besonderen 😉
also der Russe im Allgemeinen sitzt ja nicht in jeder Software Firma...
wenn ihr alles was russen programiert haben abschalten wollt, braucht ihr mehr allernativen... und da wird GAS euer kleinstes problem! face-smile
ich denke nur an abertausende Plesk Server usw usw.. Bla Bla Bla!
die diskusion ist langweilig, viele Kunden und sogar die Versicherer haben schon längst verstanden, das es nur ein reines politikum ist!
beim BSI ist man weder unabhängig, noch darf dort fachlich richtig publiziert werden!
das umstellungen der AV Lösung nicht mal eben gemacht sind, zeigt die wirklichkeit- einige Kunden haben den schritt gewagt- allerdings mit anderen Partnern, weil ich mich weigere etwas anderes nutzen zu wollen... letztendlich hat sich gezeigt, viele lösungen sind nicht mal annähernd bei den erkennungsraten, von den Betriebstörungen will ich erst nicht reden.... nun, von 5 Kunden, die gewechselt haben, sind jetzt 3 wieder zu Kaspersky und mir zurück... im grunde habe ich nur geld verdient, und der kunde ausfälle und mehrkosten.
aber dafür sind wir ja da face-smile

Frank
Member: Benni8
Benni8 Jul 12, 2022 at 08:41:01 (UTC)
Goto Top
yes, noch eine stimme für linux
Member: Vision2015
Vision2015 Jul 18, 2022 updated at 12:55:45 (UTC)
Goto Top
moin...
Zitat von @3370777201:
[Inhalt von Moderator @colinardo entfernt #18.07.2022, 14:55#]

na ja... das richt wie werbung.... face-smile

Frank
Member: Visucius
Visucius Jul 18, 2022 updated at 12:51:02 (UTC)
Goto Top
Nee, das riecht nach nem Versicherungsvertreter, der Dir erklärt, dass Du Dein Haus vor Flugzeugabstürzen und herunterfallenden Satelliten schützen musst.

Aber der hat sich ja auch frisch angemeldet ... der weiß das bestimmt nicht besser face-wink
Member: Lochkartenstanzer
Lochkartenstanzer Jul 18, 2022 updated at 12:53:02 (UTC)
Goto Top
Zitat von @Vision2015:

na ja... das richt wie werbung.... face-smile

Das stinkt eher nach vergammeltem Dosenfleisch.

lks

PS: Die oben verlinkte Firma macht auch nur Symptonbekämpfung statt Ursachenbekämpfung und ein vwenig "HokusPokus" mit Firewall und Sicherheitssoftware..