Und täglich grüßt das Murmeltier. PDF + Office-Dateien Diskussion
Jeder kennt es. Viele stehen vor dem gleichen Problem.
Es lässt sich in manchen Branchen nicht verhindern, dass man auf per E-Mail zugesendete Dateien (z.B. PDF/Office) angewiesen ist. Auch unbekannte Absender müssen möglich sein (z.B. im Fall von Anfragen).
Selbst in der Automobilbranche werden teilweise Excel-Dateien mit Makros (XLSM) ausgetauscht. Ein kategorisches Verbot wäre zielführend; ist aber in der Praxis nicht immer durchzusetzen.
Natürlich sollte der Mailserver über Enkennung / Sandboxing verfürgen und natürlich sollten moderne EDR/XDR-Systeme im Einsatz sein und natürlich sollte eine Firewall der Traffic untersuchen/blocken und im Auge haben.
Wenn aber aber mit großer Wahrscheinlichkeit beurteilen möchte, ob eine Excel-Datei oider eine PDF-Datei "clean" ist, wird es oft aufwändig.
Teilweise untersuchen wir die Dateien statisch.:
PDF mit pdfid.py und pdf-parser.py
Office mit oledump.py oder olevba.py
Das ist aber auch sehr aufwändig und auch nur von versiertem Usern zu beurteilen.
Gibt es möglicherweise weiterentwickelte Produkte, die PDF-Dateien oder Office-Dateien auf enthaltene Links, Operationen und alles, was bösartig sein kann, untersuchen und dieses anzeigen; idealerweise deaktivieren lassen? Z.B. Erzeugen einer Safe-Version (also Markos entfernen, Links entfernen, etc.)?
Was ist Best Practice wenn man Dateien als sicher oder bösartig erklären möchte? Die o.g. Tools sind wirklich nicht schlecht; aber leider nicht für den täglichen Bedarf weiterentwickelt worden.
Es lässt sich in manchen Branchen nicht verhindern, dass man auf per E-Mail zugesendete Dateien (z.B. PDF/Office) angewiesen ist. Auch unbekannte Absender müssen möglich sein (z.B. im Fall von Anfragen).
Selbst in der Automobilbranche werden teilweise Excel-Dateien mit Makros (XLSM) ausgetauscht. Ein kategorisches Verbot wäre zielführend; ist aber in der Praxis nicht immer durchzusetzen.
Natürlich sollte der Mailserver über Enkennung / Sandboxing verfürgen und natürlich sollten moderne EDR/XDR-Systeme im Einsatz sein und natürlich sollte eine Firewall der Traffic untersuchen/blocken und im Auge haben.
Wenn aber aber mit großer Wahrscheinlichkeit beurteilen möchte, ob eine Excel-Datei oider eine PDF-Datei "clean" ist, wird es oft aufwändig.
Teilweise untersuchen wir die Dateien statisch.:
PDF mit pdfid.py und pdf-parser.py
Office mit oledump.py oder olevba.py
Das ist aber auch sehr aufwändig und auch nur von versiertem Usern zu beurteilen.
Gibt es möglicherweise weiterentwickelte Produkte, die PDF-Dateien oder Office-Dateien auf enthaltene Links, Operationen und alles, was bösartig sein kann, untersuchen und dieses anzeigen; idealerweise deaktivieren lassen? Z.B. Erzeugen einer Safe-Version (also Markos entfernen, Links entfernen, etc.)?
Was ist Best Practice wenn man Dateien als sicher oder bösartig erklären möchte? Die o.g. Tools sind wirklich nicht schlecht; aber leider nicht für den täglichen Bedarf weiterentwickelt worden.
Please also mark the comments that contributed to the solution of the article
Content-ID: 32676046965
Url: https://administrator.de/contentid/32676046965
Printed on: October 5, 2024 at 10:10 o'clock
7 Comments
Latest comment
Ganz einfach, Quarantäne...
Und so bekommt man als Admin mit vorher das kommt.
ggf. kann man dann Exceptions bauen, wenns nur bestimmter absender immer ist oder der Email Domain vertrauen schenken will, wenn nicht dann halt immer manuell aus Quarantäne holen.
keiner hat je gesagt security sei bequem...
Und so bekommt man als Admin mit vorher das kommt.
ggf. kann man dann Exceptions bauen, wenns nur bestimmter absender immer ist oder der Email Domain vertrauen schenken will, wenn nicht dann halt immer manuell aus Quarantäne holen.
keiner hat je gesagt security sei bequem...
Hallo,
wir betreuen Firmen aus der Automobilbranche. Und ja, Office Dokumente werden komplett über den Inhaltsfilter geblockt. Ausnahmslos! Nur pdf gehen durch. In 99% der Fälle muss man feststellen, daß das gesendete Office Dokument nicht nachgearbeitet werden muss und somit auch als pdf gesendet werden kann. Meist sind es Bewerbungen, Listen oder profane Termintabellen etc. Da werden dann die Versender per Auto-Reply abgewatscht.
Da von ganz oben immer wieder auf die BSI Richtlinien hingewiesen wird, setzen wir das eben an der Basis soweit als möglich um. Befreundete Betriebe, die das lockerer sahen wurden fast alle schon mit diversen Emotet Besuchen erfreut. Bei unseren Kunden war bislang nichts (Auf-Holz-klopf)
In den wenigen Fällen, in denen das doch mal nötig ist, kommt von der Werks IT aus deren Sharepoint ein Einmal-Link zum Download und in einer zweiten Mail ein Einmal-Link mit dem Passwort für das gepackte file.
Ähnlich kann man das intern lösen. Die Datei zippen mit Passwort (sonst schaut der Inhaltsfilter da auch rein und löscht) und per Telefon oder notfalls in einer zweiten Mail das Passwort senden.
Wir stellen gerade bei den "einfachen" Mechanikern oder den jungen Bewerbern fest, daß das auf Anhieb klappt; während bei den älteren Entwicklern oder Ingenieuren die Lernkurve sehr flach bis waagrecht ist. Da meinen manche, daß der Schwanz mit dem Hund wedeln muss und senden die gleiche Mail bis zu 10(!) mal.
MfG,
Macleod
wir betreuen Firmen aus der Automobilbranche. Und ja, Office Dokumente werden komplett über den Inhaltsfilter geblockt. Ausnahmslos! Nur pdf gehen durch. In 99% der Fälle muss man feststellen, daß das gesendete Office Dokument nicht nachgearbeitet werden muss und somit auch als pdf gesendet werden kann. Meist sind es Bewerbungen, Listen oder profane Termintabellen etc. Da werden dann die Versender per Auto-Reply abgewatscht.
Da von ganz oben immer wieder auf die BSI Richtlinien hingewiesen wird, setzen wir das eben an der Basis soweit als möglich um. Befreundete Betriebe, die das lockerer sahen wurden fast alle schon mit diversen Emotet Besuchen erfreut. Bei unseren Kunden war bislang nichts (Auf-Holz-klopf)
In den wenigen Fällen, in denen das doch mal nötig ist, kommt von der Werks IT aus deren Sharepoint ein Einmal-Link zum Download und in einer zweiten Mail ein Einmal-Link mit dem Passwort für das gepackte file.
Ähnlich kann man das intern lösen. Die Datei zippen mit Passwort (sonst schaut der Inhaltsfilter da auch rein und löscht) und per Telefon oder notfalls in einer zweiten Mail das Passwort senden.
Wir stellen gerade bei den "einfachen" Mechanikern oder den jungen Bewerbern fest, daß das auf Anhieb klappt; während bei den älteren Entwicklern oder Ingenieuren die Lernkurve sehr flach bis waagrecht ist. Da meinen manche, daß der Schwanz mit dem Hund wedeln muss und senden die gleiche Mail bis zu 10(!) mal.
MfG,
Macleod
@mcleod
security technisch solltet ihr aber encrypted files ebenfalls blocken, also passwort gesicherte zips.
weil auch nicht das erste mal das so viren reingebracht werden.
Phishing mail gefaked mit PW gesichertem Zip File und Text der animiert zum öffnen....
Nur so am rande. Weil wenn das erlaubt ist hebelt ihr eure security selbst aus...
Und mit rigoros blocken ist so ne sache, ist man deinstleister also will ein geschäft mit einer firma und diese schickt einem das zeug so... dann steht man dumm da... ist man Kunde kann man das von zulieferern und so erwarten ist logisch... sind halt immer 2 paar schuhe...
security technisch solltet ihr aber encrypted files ebenfalls blocken, also passwort gesicherte zips.
weil auch nicht das erste mal das so viren reingebracht werden.
Phishing mail gefaked mit PW gesichertem Zip File und Text der animiert zum öffnen....
Nur so am rande. Weil wenn das erlaubt ist hebelt ihr eure security selbst aus...
Und mit rigoros blocken ist so ne sache, ist man deinstleister also will ein geschäft mit einer firma und diese schickt einem das zeug so... dann steht man dumm da... ist man Kunde kann man das von zulieferern und so erwarten ist logisch... sind halt immer 2 paar schuhe...
Hallo
Bei passwortgeschütztem Attachment und einer zweiten Mail mit Passwort, oder Whatsapp, oder Telefonanruf muss der Empfänger aber zweimal aktiv darüber nachdenken was er macht. Da muss das Hirn schon anlaufen, gerade wenn das Attachment erst auf vertrauenswürdigem Speicher abgelegt und manuell angepackt werden muss.
MfG,
MacLeod
Bei passwortgeschütztem Attachment und einer zweiten Mail mit Passwort, oder Whatsapp, oder Telefonanruf muss der Empfänger aber zweimal aktiv darüber nachdenken was er macht. Da muss das Hirn schon anlaufen, gerade wenn das Attachment erst auf vertrauenswürdigem Speicher abgelegt und manuell angepackt werden muss.
MfG,
MacLeod
Moin,
Schau mal bei Hornetsecurity ATP und Hornetsecurity Antispam/Antimalware, das ist ein kommerzieller Dienst, der vorgeschaltet wird und so einiges in der Richtung versucht.
Perfekte Sicherheit gibt es nie, aber so ist die Hürde wieder ein wenig höher gelegt.
Gruß
DivideByZero
Schau mal bei Hornetsecurity ATP und Hornetsecurity Antispam/Antimalware, das ist ein kommerzieller Dienst, der vorgeschaltet wird und so einiges in der Richtung versucht.
Perfekte Sicherheit gibt es nie, aber so ist die Hürde wieder ein wenig höher gelegt.
Gruß
DivideByZero