14
Sinnvoller Security-Stack für Mittelstand
Hallo!
Ich komme immer wieder nicht an der Frage vorbei, was ein zeitgemäßer, sinnvoller Security-Stack für ein mittelständiges Unternehmen ist und würde mich über eure Meinung freuen. Rahmenbedingung ist, ein eigenes IT-Team, aber keinen 24/7 SOC.
- Perimeter
Hier sehe ich eine NGFW - z.B. Palo-Alto, Fortinet, etc.
Sinnvolles, restriktives Firewallregelwerk und ein IDS/IPS
- Segmentierung
Möglichst feingliedrige Segmentierung. Notfalls über L3-Switch, sonst über Segmentierungsfirewall
- Client-Security (Hier wird es kniffelig)
- AV/NGAV wie z.B. Crowdstrike, Sentinelone
- EDR und zentrales Logging mit sinnvollen Alarmen (hier fehlt mir gerade ein sinnvolles Produkt, eventuell Rapid7 InsightIDR). Graylog ist super, wenn man schon einen Verdacht hat, aber vorher wenig hilfreich.
- Eventuell noch eine SOC-Erweiterung wie Huntress oder Sentinelone Vigilance
- Schwachstellenmanagement
- Auch hier eventuell über das EDR oder auch aktive Scans. z.B. Rapid7 InsightIDR + Insight VM oder Greenbone, aber das wird dann recht aufwändig.
Was setzt ihr aktuell als EDR ein? Viele Daten produzieren ist ja recht einfach, aber womit bekommt ihr die Daten auch ausreichend aufbereitet?
Ich freue mich auf eure Antworten.
Grüße
Phil
Ich komme immer wieder nicht an der Frage vorbei, was ein zeitgemäßer, sinnvoller Security-Stack für ein mittelständiges Unternehmen ist und würde mich über eure Meinung freuen. Rahmenbedingung ist, ein eigenes IT-Team, aber keinen 24/7 SOC.
- Perimeter
Hier sehe ich eine NGFW - z.B. Palo-Alto, Fortinet, etc.
Sinnvolles, restriktives Firewallregelwerk und ein IDS/IPS
- Segmentierung
Möglichst feingliedrige Segmentierung. Notfalls über L3-Switch, sonst über Segmentierungsfirewall
- Client-Security (Hier wird es kniffelig)
- AV/NGAV wie z.B. Crowdstrike, Sentinelone
- EDR und zentrales Logging mit sinnvollen Alarmen (hier fehlt mir gerade ein sinnvolles Produkt, eventuell Rapid7 InsightIDR). Graylog ist super, wenn man schon einen Verdacht hat, aber vorher wenig hilfreich.
- Eventuell noch eine SOC-Erweiterung wie Huntress oder Sentinelone Vigilance
- Schwachstellenmanagement
- Auch hier eventuell über das EDR oder auch aktive Scans. z.B. Rapid7 InsightIDR + Insight VM oder Greenbone, aber das wird dann recht aufwändig.
Was setzt ihr aktuell als EDR ein? Viele Daten produzieren ist ja recht einfach, aber womit bekommt ihr die Daten auch ausreichend aufbereitet?
Ich freue mich auf eure Antworten.
Grüße
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6460357383
Url: https://administrator.de/contentid/6460357383
Printed on: May 9, 2024 at 09:05 o'clock
14 Comments
Latest comment
Hi,
ich kann dir leider nicht genau sagen was "Wir" machen, da ich nur Berater bin.
Allerdings kann ich dir sagen, was die meisten unserer Mittelstandskunden so machen, vielleicht auch hilfreich ;)
- NGFW
Fortinet sehr verbreitet, die meisten mit denen ich spreche sind rundum zufrieden
- Segmentierung
Sehr unterschiedlich. Im Bestfall segmentiert man jeden Server und hat zwischen wirklich jedem Server sein Regelwerk. Je nach Größe der IT-Abteilung und Use-case nicht immer praktikabel. Bei vielen läufts auf Netzsegment je IT-Service hinaus auf Basis von VLANs.
Vergiss hier nicht ein ggf. vorhandenes AD. Auch hier solltest Du mit dem Tiermodell eine Segmentierung anwenden.
- AV
Crowdstrike sehr beliebt, wenn das IT-Budget vorhanden ist, da recht teuer. Daneben setzen mittlerweile viele den MS Defender for Endpoint aus M365 ein, für Server das entsprechende Serverprodukt aus der MS-Cloud.
- EDR
Hier bietet Fortinet und auch (soweit ich weiß) Palo Alto eigene Lösungen an, die Hand in Hand mit dem Rest des Herstellerstacks gehen. Hier kann es Sinn machen, sich erst mal anzuschauen was die jeweiligen Hersteller in ihrem Stack gesamtheitlich anbieten.
- Schwachstellenmanagement
Kann z.B. der MS-Cloud Defender in "light" out of the box. Ansonsten nutzen viele Kunden den Nessus scanner von Tenable
ich kann dir leider nicht genau sagen was "Wir" machen, da ich nur Berater bin.
Allerdings kann ich dir sagen, was die meisten unserer Mittelstandskunden so machen, vielleicht auch hilfreich ;)
- NGFW
Fortinet sehr verbreitet, die meisten mit denen ich spreche sind rundum zufrieden
- Segmentierung
Sehr unterschiedlich. Im Bestfall segmentiert man jeden Server und hat zwischen wirklich jedem Server sein Regelwerk. Je nach Größe der IT-Abteilung und Use-case nicht immer praktikabel. Bei vielen läufts auf Netzsegment je IT-Service hinaus auf Basis von VLANs.
Vergiss hier nicht ein ggf. vorhandenes AD. Auch hier solltest Du mit dem Tiermodell eine Segmentierung anwenden.
- AV
Crowdstrike sehr beliebt, wenn das IT-Budget vorhanden ist, da recht teuer. Daneben setzen mittlerweile viele den MS Defender for Endpoint aus M365 ein, für Server das entsprechende Serverprodukt aus der MS-Cloud.
- EDR
Hier bietet Fortinet und auch (soweit ich weiß) Palo Alto eigene Lösungen an, die Hand in Hand mit dem Rest des Herstellerstacks gehen. Hier kann es Sinn machen, sich erst mal anzuschauen was die jeweiligen Hersteller in ihrem Stack gesamtheitlich anbieten.
- Schwachstellenmanagement
Kann z.B. der MS-Cloud Defender in "light" out of the box. Ansonsten nutzen viele Kunden den Nessus scanner von Tenable
Hi,
zur Firewall, meine Meinung:
- Palo Alto würde ich nicht nehmen, zu wenige Experten in Deutschland und sehr teuer
- Meine Empfhehlung -> Watchguard (Gutes Preisleistung, MFA, Gute Weboberfächer und besseres Verwaltungstool)
Bei der Segmentierung würde ich es nicht übertreiben. Grundsätzlich ist das gut und kritische Bereiche (Verwaltung Server und Switche etc.) sollten in ein eigenes Segment. Dann sollten Server die von außen erreichbar sind auf jeden Fall in eine DMZ, dass kannst du aber auch mit nur einer Hardware abbilden, zwei Firewalls sind nicht notwendig.
Alles andere würde ich nicht zu stark einschränken, wenn ein Angreifer bereits soweit ist, dass er eines deiner Segmente gekapert hat, dann ist es meistens sowieso schon zu spät.
Du musst bedenken, wenn du z.B. den Fileserver in einem Segment hast, dann limitiert die Firewall den Datendurchsatz. Ich hab bei einem Kunden eine Palo stehen, die im mittleren sechstelligen Betrag ist. Selbst diese beschränkt den Trafik auf "nur" 5GBit, das wäre mir viel zu langsam.
Bzgl. AV.
Defender ist Schrot, wenn der so gut wäre warum gibts dann Viren. Defender ist überall drauf per Default. Meiner Meinung nach gibts nur zwei ordentliche Endpoints aktuell. Wenn du nur auf Sicherheit gehen willst und du einen Sch.. auf Politik gibts -> Nimm Kaspersky, es gibt nichts sicheres und er ist der EINZIGE Anbieter auf dem Markt der vom Staat unabhängig ist, das hat das BSI über die letzten 20 Jahre immer wieder bestätigt.
Wenn du lieber unserem guten Freund der USA vertraust, dann nimm Watchguar, sehr sicher und schöne Verwaltungsoberfläche. In Verbindung mit der Firewall erhälst du ein sehr hohes Sicherheitslevel wür relativ wenig Geld.
AVs im Gateway bzw. in der Firwall sind meiner Meinung, in der Preisklasse für Mittelständler meistens zu lahm und finden auch nicht alles, also brauchst du sowieso einen ordentlichen Endpointschutz - also - Schutz im Gateway vernachlässigbar.
EDR:
Naja das gleiche wie bei AV - Nimm Watchguard EPDR oder Kapsersky Endpoint.
Schwachstellen:
Ordentliches Patchmanagement und Übersicht über das gesamte Netz. Schau mal nach Baramundi. Alle Admins die ich kenne lieben es.
Die wichtigstens Basics, die du bei Mittelständlern umsetzen solltest und die sind nicht teuer:
- Backup auf ein NAS, dass nicht über die Domänenlogins angesprochen werden kann. Extra Passwort -> nur auf Papier und in deinem Kopf. Nirgendwo in der Domäne.
- Backup der Server in ein eigenes Segement packen, entweder per VLAN, DAC oder extra Switch.
- Worstcase Backup außer Haus, z.B. externe HDD
- Keine Adminrechte für User, egal wie viel sie betteln.
- Passwort richtlinien 10 Zeichen komplex
Wenn du das machst, kann die ganze Bude verschlüsselt werden oder Abbrennen und alles wichtige bleibt erhalten. Wer jetzt sagt, diese Basics sind so lame das hat doch jeder. Naja ein Beispiel aus erster Hand live miterlebt: Der Konzern TNT wurde vollständig inkl. Backup verschlüsselt und musste alle PCs und Server neu aufsetzen.
Grund: Backup-NAS per Domänenadmin erreichbar bzw. änderbar und kein Worstcase Offlinebackup vorhanden. Virenschutz MC-Affee hat versagt.
zur Firewall, meine Meinung:
- Palo Alto würde ich nicht nehmen, zu wenige Experten in Deutschland und sehr teuer
- Meine Empfhehlung -> Watchguard (Gutes Preisleistung, MFA, Gute Weboberfächer und besseres Verwaltungstool)
Bei der Segmentierung würde ich es nicht übertreiben. Grundsätzlich ist das gut und kritische Bereiche (Verwaltung Server und Switche etc.) sollten in ein eigenes Segment. Dann sollten Server die von außen erreichbar sind auf jeden Fall in eine DMZ, dass kannst du aber auch mit nur einer Hardware abbilden, zwei Firewalls sind nicht notwendig.
Alles andere würde ich nicht zu stark einschränken, wenn ein Angreifer bereits soweit ist, dass er eines deiner Segmente gekapert hat, dann ist es meistens sowieso schon zu spät.
Du musst bedenken, wenn du z.B. den Fileserver in einem Segment hast, dann limitiert die Firewall den Datendurchsatz. Ich hab bei einem Kunden eine Palo stehen, die im mittleren sechstelligen Betrag ist. Selbst diese beschränkt den Trafik auf "nur" 5GBit, das wäre mir viel zu langsam.
Bzgl. AV.
Defender ist Schrot, wenn der so gut wäre warum gibts dann Viren. Defender ist überall drauf per Default. Meiner Meinung nach gibts nur zwei ordentliche Endpoints aktuell. Wenn du nur auf Sicherheit gehen willst und du einen Sch.. auf Politik gibts -> Nimm Kaspersky, es gibt nichts sicheres und er ist der EINZIGE Anbieter auf dem Markt der vom Staat unabhängig ist, das hat das BSI über die letzten 20 Jahre immer wieder bestätigt.
Wenn du lieber unserem guten Freund der USA vertraust, dann nimm Watchguar, sehr sicher und schöne Verwaltungsoberfläche. In Verbindung mit der Firewall erhälst du ein sehr hohes Sicherheitslevel wür relativ wenig Geld.
AVs im Gateway bzw. in der Firwall sind meiner Meinung, in der Preisklasse für Mittelständler meistens zu lahm und finden auch nicht alles, also brauchst du sowieso einen ordentlichen Endpointschutz - also - Schutz im Gateway vernachlässigbar.
EDR:
Naja das gleiche wie bei AV - Nimm Watchguard EPDR oder Kapsersky Endpoint.
Schwachstellen:
Ordentliches Patchmanagement und Übersicht über das gesamte Netz. Schau mal nach Baramundi. Alle Admins die ich kenne lieben es.
Die wichtigstens Basics, die du bei Mittelständlern umsetzen solltest und die sind nicht teuer:
- Backup auf ein NAS, dass nicht über die Domänenlogins angesprochen werden kann. Extra Passwort -> nur auf Papier und in deinem Kopf. Nirgendwo in der Domäne.
- Backup der Server in ein eigenes Segement packen, entweder per VLAN, DAC oder extra Switch.
- Worstcase Backup außer Haus, z.B. externe HDD
- Keine Adminrechte für User, egal wie viel sie betteln.
- Passwort richtlinien 10 Zeichen komplex
Wenn du das machst, kann die ganze Bude verschlüsselt werden oder Abbrennen und alles wichtige bleibt erhalten. Wer jetzt sagt, diese Basics sind so lame das hat doch jeder. Naja ein Beispiel aus erster Hand live miterlebt: Der Konzern TNT wurde vollständig inkl. Backup verschlüsselt und musste alle PCs und Server neu aufsetzen.
Grund: Backup-NAS per Domänenadmin erreichbar bzw. änderbar und kein Worstcase Offlinebackup vorhanden. Virenschutz MC-Affee hat versagt.
Zitat von @madnem:
Hi,
zur Firewall, meine Meinung:
- Palo Alto würde ich nicht nehmen, zu wenige Experten in Deutschland und sehr teuer
- Meine Empfhehlung -> Watchguard (Gutes Preisleistung, MFA, Gute Weboberfächer und besseres Verwaltungstool)
Bei der Segmentierung würde ich es nicht übertreiben. Grundsätzlich ist das gut und kritische Bereiche (Verwaltung Server und Switche etc.) sollten in ein eigenes Segment. Dann sollten Server die von außen erreichbar sind auf jeden Fall in eine DMZ, dass kannst du aber auch mit nur einer Hardware abbilden, zwei Firewalls sind nicht notwendig.
Alles andere würde ich nicht zu stark einschränken, wenn ein Angreifer bereits soweit ist, dass er eines deiner Segmente gekapert hat, dann ist es meistens sowieso schon zu spät.
Du musst bedenken, wenn du z.B. den Fileserver in einem Segment hast, dann limitiert die Firewall den Datendurchsatz. Ich hab bei einem Kunden eine Palo stehen, die im mittleren sechstelligen Betrag ist. Selbst diese beschränkt den Trafik auf "nur" 5GBit, das wäre mir viel zu langsam.
Bzgl. AV.
Defender ist Schrot, wenn der so gut wäre warum gibts dann Viren. Defender ist überall drauf per Default. Meiner Meinung nach gibts nur zwei ordentliche Endpoints aktuell. Wenn du nur auf Sicherheit gehen willst und du einen Sch.. auf Politik gibts -> Nimm Kaspersky, es gibt nichts sicheres und er ist der EINZIGE Anbieter auf dem Markt der vom Staat unabhängig ist, das hat das BSI über die letzten 20 Jahre immer wieder bestätigt.
Wenn du lieber unserem guten Freund der USA vertraust, dann nimm Watchguar, sehr sicher und schöne Verwaltungsoberfläche. In Verbindung mit der Firewall erhälst du ein sehr hohes Sicherheitslevel wür relativ wenig Geld.
AVs im Gateway bzw. in der Firwall sind meiner Meinung, in der Preisklasse für Mittelständler meistens zu lahm und finden auch nicht alles, also brauchst du sowieso einen ordentlichen Endpointschutz - also - Schutz im Gateway vernachlässigbar.
EDR:
Naja das gleiche wie bei AV - Nimm Watchguard EPDR oder Kapsersky Endpoint.
Schwachstellen:
Ordentliches Patchmanagement und Übersicht über das gesamte Netz. Schau mal nach Baramundi. Alle Admins die ich kenne lieben es.
Die wichtigstens Basics, die du bei Mittelständlern umsetzen solltest und die sind nicht teuer:
- Backup auf ein NAS, dass nicht über die Domänenlogins angesprochen werden kann. Extra Passwort -> nur auf Papier und in deinem Kopf. Nirgendwo in der Domäne.
- Backup der Server in ein eigenes Segement packen, entweder per VLAN, DAC oder extra Switch.
- Worstcase Backup außer Haus, z.B. externe HDD
- Keine Adminrechte für User, egal wie viel sie betteln.
- Passwort richtlinien 10 Zeichen komplex
Wenn du das machst, kann die ganze Bude verschlüsselt werden oder Abbrennen und alles wichtige bleibt erhalten. Wer jetzt sagt, diese Basics sind so lame das hat doch jeder. Naja ein Beispiel aus erster Hand live miterlebt: Der Konzern TNT wurde vollständig inkl. Backup verschlüsselt und musste alle PCs und Server neu aufsetzen.
Grund: Backup-NAS per Domänenadmin erreichbar bzw. änderbar und kein Worstcase Offlinebackup vorhanden. Virenschutz MC-Affee hat versagt.
Hi,
zur Firewall, meine Meinung:
- Palo Alto würde ich nicht nehmen, zu wenige Experten in Deutschland und sehr teuer
- Meine Empfhehlung -> Watchguard (Gutes Preisleistung, MFA, Gute Weboberfächer und besseres Verwaltungstool)
Bei der Segmentierung würde ich es nicht übertreiben. Grundsätzlich ist das gut und kritische Bereiche (Verwaltung Server und Switche etc.) sollten in ein eigenes Segment. Dann sollten Server die von außen erreichbar sind auf jeden Fall in eine DMZ, dass kannst du aber auch mit nur einer Hardware abbilden, zwei Firewalls sind nicht notwendig.
Alles andere würde ich nicht zu stark einschränken, wenn ein Angreifer bereits soweit ist, dass er eines deiner Segmente gekapert hat, dann ist es meistens sowieso schon zu spät.
Du musst bedenken, wenn du z.B. den Fileserver in einem Segment hast, dann limitiert die Firewall den Datendurchsatz. Ich hab bei einem Kunden eine Palo stehen, die im mittleren sechstelligen Betrag ist. Selbst diese beschränkt den Trafik auf "nur" 5GBit, das wäre mir viel zu langsam.
Bzgl. AV.
Defender ist Schrot, wenn der so gut wäre warum gibts dann Viren. Defender ist überall drauf per Default. Meiner Meinung nach gibts nur zwei ordentliche Endpoints aktuell. Wenn du nur auf Sicherheit gehen willst und du einen Sch.. auf Politik gibts -> Nimm Kaspersky, es gibt nichts sicheres und er ist der EINZIGE Anbieter auf dem Markt der vom Staat unabhängig ist, das hat das BSI über die letzten 20 Jahre immer wieder bestätigt.
Wenn du lieber unserem guten Freund der USA vertraust, dann nimm Watchguar, sehr sicher und schöne Verwaltungsoberfläche. In Verbindung mit der Firewall erhälst du ein sehr hohes Sicherheitslevel wür relativ wenig Geld.
AVs im Gateway bzw. in der Firwall sind meiner Meinung, in der Preisklasse für Mittelständler meistens zu lahm und finden auch nicht alles, also brauchst du sowieso einen ordentlichen Endpointschutz - also - Schutz im Gateway vernachlässigbar.
EDR:
Naja das gleiche wie bei AV - Nimm Watchguard EPDR oder Kapsersky Endpoint.
Schwachstellen:
Ordentliches Patchmanagement und Übersicht über das gesamte Netz. Schau mal nach Baramundi. Alle Admins die ich kenne lieben es.
Die wichtigstens Basics, die du bei Mittelständlern umsetzen solltest und die sind nicht teuer:
- Backup auf ein NAS, dass nicht über die Domänenlogins angesprochen werden kann. Extra Passwort -> nur auf Papier und in deinem Kopf. Nirgendwo in der Domäne.
- Backup der Server in ein eigenes Segement packen, entweder per VLAN, DAC oder extra Switch.
- Worstcase Backup außer Haus, z.B. externe HDD
- Keine Adminrechte für User, egal wie viel sie betteln.
- Passwort richtlinien 10 Zeichen komplex
Wenn du das machst, kann die ganze Bude verschlüsselt werden oder Abbrennen und alles wichtige bleibt erhalten. Wer jetzt sagt, diese Basics sind so lame das hat doch jeder. Naja ein Beispiel aus erster Hand live miterlebt: Der Konzern TNT wurde vollständig inkl. Backup verschlüsselt und musste alle PCs und Server neu aufsetzen.
Grund: Backup-NAS per Domänenadmin erreichbar bzw. änderbar und kein Worstcase Offlinebackup vorhanden. Virenschutz MC-Affee hat versagt.
Bezüglich dem Defender bitte noch mal informieren, deine Aussagen dies bezüglich sind falsch und halbwissen.
Und bitte unterscheiden, über welchen Defender gesprochen wird.
Ich vermute du meinst Schrott? Falls ja, bitte unbedingt überdenken, Defender ist seit geraumer Zeit unter den absolut Besten.
@chaot1coz und @Cloudrakete
Die Tests dazu kenne ich auch. Aber ich geb halt nichts drauf, weil die Praxis mir immer wieder anderes belegt.
Ja den normalen Defender und den Endpoint muss man unterscheiden.
Der normale Defender ist immer auf jeden Windows drauf. In den Test schneidet der immer supper toll ab. Aber wieso, und das erklärt ihr mir bitte, gibt es dann noch Viren die durchschlagen?
Zum Endpoint kann ich nur sagen, hab gerade einen Kunden übernommen, der von seinem vorherigen Sicherheitsspezi auch den Defender Endpoint angedreht bekommen hat. Dreimal drüfts raten warum der nicht mehr bei dem Spezi is sondern jetzt bei mir. Antwort: Er wurde vollgass verschlüsselt samt Server und Backup.
Tests hin oder her, dem was ich tag täglich in der Praxis seh, vertrau ich einfach deutlich mehr.
Meine Kunden sind seit bald 20 Jahren komplett mit Kaspersky und seit neuestem mit Watchguad geschützt. Ich hatte noch nie, einen einzigen Fall in dem irgendein Virus oder sonst was durchgeschlagen hätte.
Die Tests dazu kenne ich auch. Aber ich geb halt nichts drauf, weil die Praxis mir immer wieder anderes belegt.
Ja den normalen Defender und den Endpoint muss man unterscheiden.
Der normale Defender ist immer auf jeden Windows drauf. In den Test schneidet der immer supper toll ab. Aber wieso, und das erklärt ihr mir bitte, gibt es dann noch Viren die durchschlagen?
Zum Endpoint kann ich nur sagen, hab gerade einen Kunden übernommen, der von seinem vorherigen Sicherheitsspezi auch den Defender Endpoint angedreht bekommen hat. Dreimal drüfts raten warum der nicht mehr bei dem Spezi is sondern jetzt bei mir. Antwort: Er wurde vollgass verschlüsselt samt Server und Backup.
Tests hin oder her, dem was ich tag täglich in der Praxis seh, vertrau ich einfach deutlich mehr.
Meine Kunden sind seit bald 20 Jahren komplett mit Kaspersky und seit neuestem mit Watchguad geschützt. Ich hatte noch nie, einen einzigen Fall in dem irgendein Virus oder sonst was durchgeschlagen hätte.
Ich habe mit Defender for Endpoint ATP ein ganzes Unternehmen nach einem Cyberangriff "gewaschen" bis heute noch erfolgreich am Markt.
Kamen btw von Trendmicro.
Welche Viren schlagen denn durch deiner Meinung nach NUR bei MS Defender durch?
Wie sind deine persönlichen Erfahrungen im Bereich Cyberattacken? Hast Du mal einen Angriff mitgemacht bzw. nen Wiederaufbau & Forensik betrieben?
Die realen Angriffsszenarien werden durch fast keinen AV geschützt. Wenn du ein lukratives Opfer bist, wird der "Virus" mit dem Du angegriffen wirst, extra nur für dich geschrieben. Ggf. hat der Angreifer zuvor über Umwege schon deinen AV identifiziert und arbeitet gezielt daran vorbei.
Alleine deshalb sind AV-Diskussionen meiner Meinung nach heutzutage völliger Blödsinn.
Einfach einen der bekannten Hersteller nehmen, die ganzen Marketinganbieter (Norton, McAffee etc) rausfiltern und den nehmen der einem am meisten zusagt.
Der Defender ist aber defintiv ganz weit oben mit dabei und sollte immer in Betracht gezogen werden.
Kamen btw von Trendmicro.
Welche Viren schlagen denn durch deiner Meinung nach NUR bei MS Defender durch?
Wie sind deine persönlichen Erfahrungen im Bereich Cyberattacken? Hast Du mal einen Angriff mitgemacht bzw. nen Wiederaufbau & Forensik betrieben?
Die realen Angriffsszenarien werden durch fast keinen AV geschützt. Wenn du ein lukratives Opfer bist, wird der "Virus" mit dem Du angegriffen wirst, extra nur für dich geschrieben. Ggf. hat der Angreifer zuvor über Umwege schon deinen AV identifiziert und arbeitet gezielt daran vorbei.
Alleine deshalb sind AV-Diskussionen meiner Meinung nach heutzutage völliger Blödsinn.
Einfach einen der bekannten Hersteller nehmen, die ganzen Marketinganbieter (Norton, McAffee etc) rausfiltern und den nehmen der einem am meisten zusagt.
Der Defender ist aber defintiv ganz weit oben mit dabei und sollte immer in Betracht gezogen werden.
Es ist schon was anderes nach einem Angriff aufzuräumen und vor einem Angriff zu schützen. Ich seh schon wir haben hier völlig unterschiedliche Erfahrung und kommen auf keinen gemeinsamen Nenner. Ich kann auch nur aus meinen Erfahrungen sprechen und die sind halt bei Kaspersky überaus positiv.
Ich hab selbst mal einen Test gemacht und die Ransomware die vor einiger Zeit stark im Umlauf war auf diverse AV-Hersteller los gelassen, Trendmicro war hier auch unter den absoluten Nieten, da gebe ich dir recht, aber auch Defender und McAffee haben gut versagt. Kaspersky hat hier vorbildlich abeschnitten. Ich konnte die Testdatei nicht mal anklicken und schon war sie gelöscht. TM hat mich die Datei entpacken und ausführen lassen.
Finde es witzig, dass du mich nach meinen Erfahrungen im Bereich Cyberangriffen, des Wiederaufbaus und der Forensik ansprichst. Nein hier habe ich überhaupt keine Erfahrung, da ja wie gesagt noch kein einziger Kunde von mir je infiziert wurde. Diese Erfahrungen sammelt man wohl nur mit Defender, Trendmirco und McAffee.
Ich hab selbst mal einen Test gemacht und die Ransomware die vor einiger Zeit stark im Umlauf war auf diverse AV-Hersteller los gelassen, Trendmicro war hier auch unter den absoluten Nieten, da gebe ich dir recht, aber auch Defender und McAffee haben gut versagt. Kaspersky hat hier vorbildlich abeschnitten. Ich konnte die Testdatei nicht mal anklicken und schon war sie gelöscht. TM hat mich die Datei entpacken und ausführen lassen.
Finde es witzig, dass du mich nach meinen Erfahrungen im Bereich Cyberangriffen, des Wiederaufbaus und der Forensik ansprichst. Nein hier habe ich überhaupt keine Erfahrung, da ja wie gesagt noch kein einziger Kunde von mir je infiziert wurde. Diese Erfahrungen sammelt man wohl nur mit Defender, Trendmirco und McAffee.
Moin,
Für den Zugriff aus dem LAN auf Ressourcen in anderen Netzwerk und DMZ (Watchguard und Palo Alto, F5 Networks WAF.
Gruß,
Dani
- Perimeter
Für Zugriff aus dem Internet auf Ressourcen in unseren Netzwerk Barracuda Firewall, WAF und Palo-Alto.Für den Zugriff aus dem LAN auf Ressourcen in anderen Netzwerk und DMZ (Watchguard und Palo Alto, F5 Networks WAF.
- Segmentierung
Ja, Im Bereich Datacenter sehr sehr granular (pro Applikation ein VLAN). Zu dem wird das klassische East-West und North-South Design durchweg umgesetzt.Client-Security
Microsoft Defender for Entpoint mit ATP,Tenable und Zscaler.- Schwachstellenmanagement
Rapid7Gruß,
Dani
Hi
Nutzt Du von Rapid7 nur InsightVM oder auch InsightIDR? Wie zufrieden bist Du damit?
Grüße
Nutzt Du von Rapid7 nur InsightVM oder auch InsightIDR? Wie zufrieden bist Du damit?
Grüße
Zitat von @madnem:
Es ist schon was anderes nach einem Angriff aufzuräumen und vor einem Angriff zu schützen. Ich seh schon wir haben hier völlig unterschiedliche Erfahrung und kommen auf keinen gemeinsamen Nenner. Ich kann auch nur aus meinen Erfahrungen sprechen und die sind halt bei Kaspersky überaus positiv.
Es ist schon was anderes nach einem Angriff aufzuräumen und vor einem Angriff zu schützen. Ich seh schon wir haben hier völlig unterschiedliche Erfahrung und kommen auf keinen gemeinsamen Nenner. Ich kann auch nur aus meinen Erfahrungen sprechen und die sind halt bei Kaspersky überaus positiv.
Du installierst dir deinen Trojaner dann gleich selbst, macht in jedem Fall Sinn, dann muss das der KGB nicht extra machen.
Gibt dir Kaspersky auch gleich eine Schwachstellenanalysefunktion in der Cloud mit, die dir aktuelle Exploits und die Lösungen dazu aufzeigt? Macht der Defender schon, aber nicht in der Mediamarkt Ausbaustufe, sondern mit M365 kombiniert, ohne ATP braucht man heutzutage auch nicht mehr im Firmenumfeld arbeiten.
Das du nur in Unternehmen gearbeitet hast, die scheinbar für einen gezielten Angriff nicht attraktiv genug sind, macht die Leistung von Kaspersky nicht besser. Wir nutzen hier seit Jahren Defender, in der Anfangszeit noch ohne ATP und zentrale Steuerung und wurden auch nie infiziert. Und jetzt?
Solche Testdateien sind totaler Käse, mit bereits bekannten Viren kannst du gar nichts testen, das erkennt jede Antivirus Lösung, vorausgesetzt, sie ist nicht komplett falsch konfiguriert. Ausschlüsse kann ich mir bei Kaspersky auch machen und dann erkennt der auch nix mehr. Ohne eine zentrale Steuerung und ein gezieltes Schwachstellenmanagement schützt der dich lediglich vor Script Kiddies, aber nicht vor jemandem der dir gezielt schaden will. Dafür zieht er aber die Performance auf der Kiste in den Keller und das recht zuverlässig. Haben wir hier vor Jahren schon aussortiert.
Zitat von @Dani:
Moin,
Für den Zugriff aus dem LAN auf Ressourcen in anderen Netzwerk und DMZ (Watchguard und Palo Alto, F5 Networks WAF.
Moin,
- Perimeter
Für Zugriff aus dem Internet auf Ressourcen in unseren Netzwerk Barracuda Firewall, WAF und Palo-Alto.Für den Zugriff aus dem LAN auf Ressourcen in anderen Netzwerk und DMZ (Watchguard und Palo Alto, F5 Networks WAF.
Sind das verschiedene Firmen für die jeweils unterschiedliche Lösungen eingesetzt werden? In was für einem Preisbereich pro User bewegt man sich da?
Schau dir mal lieber die Fakten an anstatt hier gegen einen sehr guten Hersteller zu wettern.
- Der Gründer selbst hat sich offen gegen den Krieg ausgesprochen.
- Der Firmensitz ist offiziell England
- Die Server stehen in der Schweitz
- Kaspersky wurde erneut vor kurzen wieder makelos getestet im Bereich Einfluss durch die Regierung
- Diesen Test besteht KEIN anderer Hersteller
- Bei Kaspersky kann das BSI "nicht auschließen" bei Amerikanischen Herstellern ist es EINE TATSACHE, dass das FBI Zugrif erhält, da dies in der Amerikanischen Verfassung so geregelt ist.
Also wenn du etwas mit einem Trojaner vergleichen willst, nimm lieber die ganze US-Software wie z.B. Microsoft, TrendMicro, Avira (die Kaufen US-Software zu), usw......
Was die Atraktivität angeht: Ich habe einen NATO-Zulieferer als Kunden also wenn das kein schönes Ziel für die Russen wäre weis ich auch nicht.
Wenn Testdateien Käse sind, warum hat dann Defender und Trendmicro etc. bei meinem Test so jämerlich versagt? Du schreibst doch selbst, "das erkennt jede Antivirus Lösung". Also warum versagte dann Defender? Und komm mir jetzt nicht mit Fehlkonfiguration, mag sein, dass ich Kaspersky besser behersche als Defender, aber auf dem Testsystem waren beide in der Grundkonfiguration.
Und das du behauptest "Ohne eine zentrale Steuerung und ein gezieltes Schwachstellenmanagement schützt der dich lediglich vor Script Kiddies,", zeigt auch das du von Kaspersky null Ahnung hast. Natürlich ist der zentral gesteuert und hat ein Schwachstellenmanagement.
Keine Ahnung haben und dann auf den Schmarn vom BSI hören, so ist schön.
Zitat von @madnem:
- Kaspersky wurde erneut vor kurzen wieder makelos getestet im Bereich Einfluss durch die Regierung
- Diesen Test besteht KEIN anderer Hersteller
- Kaspersky wurde erneut vor kurzen wieder makelos getestet im Bereich Einfluss durch die Regierung
- Diesen Test besteht KEIN anderer Hersteller
Quellenangabe?
Wenn Testdateien Käse sind, warum hat dann Defender und Trendmicro etc. bei meinem Test so jämerlich versagt? Du schreibst doch selbst, "das erkennt jede Antivirus Lösung". Also warum versagte dann Defender? Und komm mir jetzt nicht mit Fehlkonfiguration, mag sein, dass ich Kaspersky besser behersche als Defender, aber auf dem Testsystem waren beide in der Grundkonfiguration.
Dann zeig mir doch mal deine Testdatei, dann zeig ich dir ob sie erkannt wird. Ich hoff mal nicht die Eicar, weil die kommt ja noch nicht mal durch den Downloadmanager von Edge.
Das es wenig aussagekräftig ist, wenn ein Virenhersteller eine Testdatei entwickelt um sein eigenes Virenprogramm zu vermarkten, dürfte wohl logisch sein.
Wenn du in Deutschland z.B. eine Cyberversicherung abschliessen willst, hat jedes Audit Elemente des BSI, deine persönlichen Befindlichkeiten interessieren da leider niemanden.
Ob das alles so stimmt, was Jevgeni Kaspersky von sich gibt, ist fragwürdig. Kein Firmengründer würde da was anderes sagen, ist ja sein Geld. Eine Kooperation mit dem FSB und dem russischen Innenministerium ist jedenfalls offiziell bestätigt.
Moin @rzlbrnft,
dein Kommentar ging bei mir irgendwie unter... entschuldige bitte.
Gruß,
Dani
dein Kommentar ging bei mir irgendwie unter... entschuldige bitte.
Sind das verschiedene Firmen für die jeweils unterschiedliche Lösungen eingesetzt werden?
Nein, ein Unternehmen.In was für einem Preisbereich pro User bewegt man sich da?
Puh, kann ich dir ad-hoc nicht sagen. Das kaufmännische läuft nicht über ein Tisch.Gruß,
Dani
Ich finde leider den Test nicht mehr, ist leider schon einige Monate her. Aber fürs erste kannst du ja mal https://go.kaspersky.com/vertrauen als Quellensamlung ansehen. Komisch das Kaspersky alle Zertifizierungen besteht und überall in Europa weiterhin als sicher gilt nur in Deutschland gibts Theater.
Die "Testdatei" war eine echte Virendatei, die damals vor zwei Jahren sehr viel verteilt wurde und einige Systeme verschlüsselt hat. Ich habe eine abgeschotete Testumgebung mit WinServer und einem Win10 Client aufgebaut. Beide VMs wurden mit mehreren Herstellen auf die Reaktion auf die Datei getestet. Die Datei kam per Teamviewer auf das System.
Ergebnis Defender: Datei konnte vom herunter geladen werden, auf dem Desktop gespeichert, geöffnet werden und die Schaddatei ausgeführt werden. Bei einem Rechtsklick um die Datei zu scannen, war die Ausage Datei ist sauber. Ergebnis war natürlich eine Verschlüsselung des Systems.
MacAffe und TrendMirco haben hier genauso versagt.
Ergebnis Kaspersky: Die Datei war ganz kurz auf dem Desktop, dann aber sofort gelöscht. Es war nicht mal möglich das Kontexmenü zu öffen umd "Datei Scannen" auszuwählen.
Leider hab ich da nichts aktuelleres, da ich eine kleine Firma habe, kann ich mir nicht öfters so einen aufwendingen Test leisten.
Was bei den Cyberversicherunge gefragt wird kenne ich auch. Ich will jetzt nicht die Diskusion über diese, meiner Meinung nach, sinnlosen Versicherungen vom Zaun brechen, aber ich habe auch nie behauptet, dass alle meiner Meinung sind. Warum der BSI sich für seine Aussage entschieden hat, obwohl sie über 20 Jahre makelos mit Kaspersky zusammengearbeitet haben, ist mir nicht ganz klar, aber merkwürdig ist das schon. Du musst dir nur die älteren Vergleiche und Untersuchungen des BSI zu Kaspersky im Vergleich zu den anderen Herstellen anschauen.
Ich such für meine Kunden das sicherste heraus und wenn sie meinen, sie müssen was anderes nehmen, ist es wenigstens nicht meine Schuld wenn es zu einem Schaden kommt und ich kann gut schlafen. Ich musste jetzt auch zwangsweise zu Watchguard wechseln, da viele Kunden sich vom BSI einschüchtern lasen.
Bitte such mir auch mal die Quellen dafür raus, würde mich brenend interessieren was es da gibt.
Versteh mich bitte nicht flasch, ich will hier nicht streiten, aber mich regt es auf, dass bei Kaspersky es schon reicht "das es nicht ausgeschlossen ist" während wir amerikanischen Herstellern blind vertrauen obwohl es nachweislich (USA PATRIOT Act) Backdors fürs FBI etc. gibt. Also ein bischen unfair ist das ja schon oder nicht?
Die "Testdatei" war eine echte Virendatei, die damals vor zwei Jahren sehr viel verteilt wurde und einige Systeme verschlüsselt hat. Ich habe eine abgeschotete Testumgebung mit WinServer und einem Win10 Client aufgebaut. Beide VMs wurden mit mehreren Herstellen auf die Reaktion auf die Datei getestet. Die Datei kam per Teamviewer auf das System.
Ergebnis Defender: Datei konnte vom herunter geladen werden, auf dem Desktop gespeichert, geöffnet werden und die Schaddatei ausgeführt werden. Bei einem Rechtsklick um die Datei zu scannen, war die Ausage Datei ist sauber. Ergebnis war natürlich eine Verschlüsselung des Systems.
MacAffe und TrendMirco haben hier genauso versagt.
Ergebnis Kaspersky: Die Datei war ganz kurz auf dem Desktop, dann aber sofort gelöscht. Es war nicht mal möglich das Kontexmenü zu öffen umd "Datei Scannen" auszuwählen.
Leider hab ich da nichts aktuelleres, da ich eine kleine Firma habe, kann ich mir nicht öfters so einen aufwendingen Test leisten.
Was bei den Cyberversicherunge gefragt wird kenne ich auch. Ich will jetzt nicht die Diskusion über diese, meiner Meinung nach, sinnlosen Versicherungen vom Zaun brechen, aber ich habe auch nie behauptet, dass alle meiner Meinung sind. Warum der BSI sich für seine Aussage entschieden hat, obwohl sie über 20 Jahre makelos mit Kaspersky zusammengearbeitet haben, ist mir nicht ganz klar, aber merkwürdig ist das schon. Du musst dir nur die älteren Vergleiche und Untersuchungen des BSI zu Kaspersky im Vergleich zu den anderen Herstellen anschauen.
Ich such für meine Kunden das sicherste heraus und wenn sie meinen, sie müssen was anderes nehmen, ist es wenigstens nicht meine Schuld wenn es zu einem Schaden kommt und ich kann gut schlafen. Ich musste jetzt auch zwangsweise zu Watchguard wechseln, da viele Kunden sich vom BSI einschüchtern lasen.
Bitte such mir auch mal die Quellen dafür raus, würde mich brenend interessieren was es da gibt.
Zitat von @rzlbrnft:
Eine Kooperation mit dem FSB und dem russischen Innenministerium ist jedenfalls offiziell bestätigt.
Eine Kooperation mit dem FSB und dem russischen Innenministerium ist jedenfalls offiziell bestätigt.
Versteh mich bitte nicht flasch, ich will hier nicht streiten, aber mich regt es auf, dass bei Kaspersky es schon reicht "das es nicht ausgeschlossen ist" während wir amerikanischen Herstellern blind vertrauen obwohl es nachweislich (USA PATRIOT Act) Backdors fürs FBI etc. gibt. Also ein bischen unfair ist das ja schon oder nicht?
