Vorgehensweise bei Virenausbruch im großen Netz!
Virenserver meldet große Anzahl an Viren im Netz, was tun?
Hallo NG
suche vergebens im Internet nach einen Diskusionsforum bzw. nach Berichten und Lösungen wie man vorgeht wenn in einen Netz mit mehreren Standorten auf einmal der Virenbestand eskaliert.
Also was tun wenn zum Schluß alle WS verseucht sind oder halt das Arbeiten von mehreren Angestellten nicht mehr möglich ist.
Wenn da jemand eine Idee oder einen Link hätte oder so eine Eskalationsprozedur schon mal ausgearbeitet hat, währe ich sehr dankbar mir das mitzuteilen.
Danke im Voraus!
ciao
steve007
Hallo NG
suche vergebens im Internet nach einen Diskusionsforum bzw. nach Berichten und Lösungen wie man vorgeht wenn in einen Netz mit mehreren Standorten auf einmal der Virenbestand eskaliert.
Also was tun wenn zum Schluß alle WS verseucht sind oder halt das Arbeiten von mehreren Angestellten nicht mehr möglich ist.
Wenn da jemand eine Idee oder einen Link hätte oder so eine Eskalationsprozedur schon mal ausgearbeitet hat, währe ich sehr dankbar mir das mitzuteilen.
Danke im Voraus!
ciao
steve007
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 77518
Url: https://administrator.de/forum/vorgehensweise-bei-virenausbruch-im-grossen-netz-77518.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
11 Kommentare
Neuester Kommentar
Ich würde Urlaub nehmen!
Dann würde ich das bestehende Netzwerk abschlaten und beginnen ein neues sauberes Netzwerk aufzubauen. zuerst die Basis schaffen, Domain Controller, File Server, Emailsystem. Dann nach prioritäten, was ist wichtig? Hängt von der Firma ab. z.b. Produktion oder Versand usw. Massenhaft die Rechner frisch installieren z.B. mit Tools wie Acronis, Symantec Ghost oder RIS.
Beim BSI gibt es Notfallpläne die man für eine solche Situation vorbereiten kann.
Gruß Rafiki
Dann würde ich das bestehende Netzwerk abschlaten und beginnen ein neues sauberes Netzwerk aufzubauen. zuerst die Basis schaffen, Domain Controller, File Server, Emailsystem. Dann nach prioritäten, was ist wichtig? Hängt von der Firma ab. z.b. Produktion oder Versand usw. Massenhaft die Rechner frisch installieren z.B. mit Tools wie Acronis, Symantec Ghost oder RIS.
Beim BSI gibt es Notfallpläne die man für eine solche Situation vorbereiten kann.
Gruß Rafiki
Und beim nächsten Mal solltest du entsprechend vorsorgen und über ein Intrusion Prevention System nachdenken, das Signaturen kennt und bei Befall über das Netz dynmaisch Accesslisten für die Switches erstellt oder Endgeräte bei Befall dynmaisch in ein Quarantäne VLAN setzt.
Idealerweise liefern die Switches diese Daten gleich mit im Betrieb !
Sowas ist mit heutiger Switch Technik auch im mittleren Preissegment problemlos möglich !
Idealerweise liefern die Switches diese Daten gleich mit im Betrieb !
Sowas ist mit heutiger Switch Technik auch im mittleren Preissegment problemlos möglich !
hi aqui,
was wird dann aus meinem Urlaub wenn du den Ausbruch verhinderst?
Klar ein IPS würde wahrscheinlich den Ausbruch verhindern, aber es könnte theoretisch immer noch passieren. Kreative Kollegen könnten versuchen ihre Daten, zusammen mit dem Virus, von dem ausgesperrten Rechner auf den letzten noch funktionierenden Computer in der Produktion zu tragen.
User sind das wahre Übel in unserem Job.
Gruß Rafiki
was wird dann aus meinem Urlaub wenn du den Ausbruch verhinderst?
Klar ein IPS würde wahrscheinlich den Ausbruch verhindern, aber es könnte theoretisch immer noch passieren. Kreative Kollegen könnten versuchen ihre Daten, zusammen mit dem Virus, von dem ausgesperrten Rechner auf den letzten noch funktionierenden Computer in der Produktion zu tragen.
User sind das wahre Übel in unserem Job.
Gruß Rafiki
Moin,
wenn das Netzwerk größer ist, solltet ihr einen Melde uns Eskalationsprozess für Security-Incidents, Security-Störungen und Security-Notfälle etablieren.
Das wichtigste bei solchen Vorgehen ist, das es einen Prozess gibt, welcher zwischen den
Sicherheitsvorfällen unterscheidet und entsprechende Maßnahmen einleitet. Alles andere ist vorerst nicht wichtig. Welche Maßnahmen dann eingeleitet werden, könnte ich Dir sagen wenn ich Deine Netzstruktur kenne. Evtl. kann man am VPN Gateway (oder Router) entsprechende Ports filter, usw usw.
Meine Firma ist ein Beratungsunternehmen für Netzwerksicherheit, daher weiß ich das ein dokumentierter Prozess im 1st Step das wichtigste ist. Was dann als nächstes kommt, oder welche Maßnahmen man einleitet kann man pauschal nicht sagen, da mir ein entsprechendes Risikomanagement, Hardware, Software, Virenschutz, APS, Monitoring von euch nicht bekannt sind.
Alles Gute
Vincent
wenn das Netzwerk größer ist, solltet ihr einen Melde uns Eskalationsprozess für Security-Incidents, Security-Störungen und Security-Notfälle etablieren.
Das wichtigste bei solchen Vorgehen ist, das es einen Prozess gibt, welcher zwischen den
Sicherheitsvorfällen unterscheidet und entsprechende Maßnahmen einleitet. Alles andere ist vorerst nicht wichtig. Welche Maßnahmen dann eingeleitet werden, könnte ich Dir sagen wenn ich Deine Netzstruktur kenne. Evtl. kann man am VPN Gateway (oder Router) entsprechende Ports filter, usw usw.
Meine Firma ist ein Beratungsunternehmen für Netzwerksicherheit, daher weiß ich das ein dokumentierter Prozess im 1st Step das wichtigste ist. Was dann als nächstes kommt, oder welche Maßnahmen man einleitet kann man pauschal nicht sagen, da mir ein entsprechendes Risikomanagement, Hardware, Software, Virenschutz, APS, Monitoring von euch nicht bekannt sind.
Alles Gute
Vincent
Moin,
Vincent hat voellig Recht. Eine pauschale Antwort auf einen Incident zu geben ist nicht einfach. Eine wichtige Unterstuetzung ist aber der Business Recovery Plan und der Disaster Recovery Plan. In diesen Plaenen kann man dann schon den Incident Handling Process vorbereiten.
Dieser Prozess is aufgeteilt in die Bereiche:
Das ist natuerlich nur ein ganz allgemeiner Blick auf den Incident Handling Process.
Bei Fragen dazu kannst du dich gerne an mich wenden.
Simon-Philipp
GIAC GSEC, GCIH
Vincent hat voellig Recht. Eine pauschale Antwort auf einen Incident zu geben ist nicht einfach. Eine wichtige Unterstuetzung ist aber der Business Recovery Plan und der Disaster Recovery Plan. In diesen Plaenen kann man dann schon den Incident Handling Process vorbereiten.
Dieser Prozess is aufgeteilt in die Bereiche:
- Preparation (Vorbereitung auf sowas ist immer half of the battle)
- Identification (Ist es wirklich ein Incident? Um was handelt es sich? Welche System sind betroffen? Muss eskaliert werden? Wer wird informiert)
- Containment ( Eingrenzen der betroffenen System, wenn noetig Isolierung oder Abschaltung)
- Eradication (Identfizierung was wirklich passiert ist und wie die System veraendert worden sind, dann unbedingt die ausgenutzte Schwachstelle finden und diese Abstellen. Entfernung der Schadsoftware
- Recovery ( Die Betriebsbereitschaft der Systeme wiedherstellen, welche dabei priorisiert werden steht im Business Recovery Plan)
- Lessons Learned (Abschliessen Bericht schreiben, Lesson Learned meeting durchfuehren und alle neu gewonnen Erkenntniss dazu benutzen um die Prozesse zu verbessern.
Das ist natuerlich nur ein ganz allgemeiner Blick auf den Incident Handling Process.
Bei Fragen dazu kannst du dich gerne an mich wenden.
Simon-Philipp
GIAC GSEC, GCIH
jep, Simon-Philipp hat absolut recht.
Kurz: Es sind nicht nur die Containment, Eradication und Recovery Phasen wichtig, auch die anderen Dinge sollten beachtet und dokumentiert werden. Besonders wichtig (finde ich) ist die Einteilung um welches Incident es sich handelt. Ist es wirklich nur ein Security Incident oder schon ein Security Notfall? Klassifizierungen kann man schon recht früh mit Messwerten eingrenzen um weitere Prozesse (evtl. MOD Prozess) auszulösen. Dazu müssten aber noch mehr Prozesse definiert (oder wenn bereits vorhanden) mit eingebunden werden.
Hey!!!! Damit verdiene ich mein täglich Brot!! :-p
Gruß
Vincent
Kurz: Es sind nicht nur die Containment, Eradication und Recovery Phasen wichtig, auch die anderen Dinge sollten beachtet und dokumentiert werden. Besonders wichtig (finde ich) ist die Einteilung um welches Incident es sich handelt. Ist es wirklich nur ein Security Incident oder schon ein Security Notfall? Klassifizierungen kann man schon recht früh mit Messwerten eingrenzen um weitere Prozesse (evtl. MOD Prozess) auszulösen. Dazu müssten aber noch mehr Prozesse definiert (oder wenn bereits vorhanden) mit eingebunden werden.
Bei Fragen dazu kannst du dich gerne an mich wenden
Hey!!!! Damit verdiene ich mein täglich Brot!! :-p
Gruß
Vincent
@Vincent
Ich meinte nicht das du Fragen dazu hattest sondern der urnspruengliche Ersteller des Themas, aber du kannst natuerlich mir auch deine Fragen zu bearbeitung schicken Nicht nur du verdienst dein Geld in dem Bereich
Bei der Klasszifizierung wuerde ich gar nicht so sehr ins Detail gehen. Entweder habe ich einen Event, das kann alles sein was ein gewisses interesse ausloest, oder ich habe einen incident. Ich wuerde als Incident alles definieren welches entweder den Versuch darstellt Schaden zu verursachen oder Schaden verursacht hat.
Ein Incident ist ein unheimlich dynamisches Ding welches sich sehr schnell in unterschiedliche Richtungen entwickeln kann. Plaene und Prozesse helfen, entscheiden muss immer noch der Incident Handling Officer.
Wichtig ist hier nur das man sich wirklich sicher ist bevor man einen Incident ausruft. Nichts ist schlimmer als wenn es dann wirklich brennt und keiner hoert einem mehr zu.
Ich meinte nicht das du Fragen dazu hattest sondern der urnspruengliche Ersteller des Themas, aber du kannst natuerlich mir auch deine Fragen zu bearbeitung schicken Nicht nur du verdienst dein Geld in dem Bereich
Bei der Klasszifizierung wuerde ich gar nicht so sehr ins Detail gehen. Entweder habe ich einen Event, das kann alles sein was ein gewisses interesse ausloest, oder ich habe einen incident. Ich wuerde als Incident alles definieren welches entweder den Versuch darstellt Schaden zu verursachen oder Schaden verursacht hat.
Ein Incident ist ein unheimlich dynamisches Ding welches sich sehr schnell in unterschiedliche Richtungen entwickeln kann. Plaene und Prozesse helfen, entscheiden muss immer noch der Incident Handling Officer.
Wichtig ist hier nur das man sich wirklich sicher ist bevor man einen Incident ausruft. Nichts ist schlimmer als wenn es dann wirklich brennt und keiner hoert einem mehr zu.
Es war auch mehr darauf bezogen um welche Art es sich bei einem Incident handelt und wie
das Incident Management damit umgeht. Wenn Du einen Melde und Eskalationsprozess hast, ist es schon wichtig eine Transparanz in der Klassifizierung zu schaffen. Dies kann von großer Entscheidung sein, wie mit einem Security-Vorfall umgegangen wird und welche Unterprozesse ausgelöst werden.
Bei einem großen Unternehmen macht es z.B. keinen Sinn, jedes Incident als Detail im Report zu erwähnen.
Es macht jedoch mehr Sinn, klassifizierte Notfälle im Detail zu reporten, wozu wieder Messwerte dienen. Denke das kein MOD oder Security Manager bei einem Netzwerk von 38.000 PCs wegen eines Virenbefalls Stufe 1 (bis 5 Rechner) aus dem Bett geklingelt werden möchte. Und das geht ohne Einteilung leider nicht.
das Incident Management damit umgeht. Wenn Du einen Melde und Eskalationsprozess hast, ist es schon wichtig eine Transparanz in der Klassifizierung zu schaffen. Dies kann von großer Entscheidung sein, wie mit einem Security-Vorfall umgegangen wird und welche Unterprozesse ausgelöst werden.
Bei einem großen Unternehmen macht es z.B. keinen Sinn, jedes Incident als Detail im Report zu erwähnen.
Es macht jedoch mehr Sinn, klassifizierte Notfälle im Detail zu reporten, wozu wieder Messwerte dienen. Denke das kein MOD oder Security Manager bei einem Netzwerk von 38.000 PCs wegen eines Virenbefalls Stufe 1 (bis 5 Rechner) aus dem Bett geklingelt werden möchte. Und das geht ohne Einteilung leider nicht.