9
Malwareattacken werden häufiger......wie sind eure Erfahrungen
Malware, Malware, Malware.....
Hallo,
seit Monaten beobachte ich eine deutliche Zunahme der Malwareattacken. Mittlerweile ist nicht mal mehr Youtube "bedenklos nutzbar" da dort diverse Musikvideos Malware mitbringen.
Ich setze im Unternmehmen McAfee - Antivirus Enterprise ein. Witzigerweise gegen Malware chancenlos. So z.B. der BKA-Trojaner unerkannt jedesmal!
Malwarebytes-Antimalware findet zwar maches aber entfernt nicht alles richtig.
Heute aktuell hatte ich mit dem sitens McAfee gefundenen "Generic.grp!fl" zu kämpfen. Dieses Ekelpaket hat dem user ständig den Proxy umgeschrieben. War einige Arbeit nötig zum reparieren denn registry alleine reichte nicht aus.
Wie sind denn eure Erfahrungen; wie geht Ihr mit euren Usern um (Laptopuser insbesondere)? Welche Strategien sind eurer Meinung nach die besten?
Bin mal gespannt was Ihr so schreibt.
Frank
seit Monaten beobachte ich eine deutliche Zunahme der Malwareattacken. Mittlerweile ist nicht mal mehr Youtube "bedenklos nutzbar" da dort diverse Musikvideos Malware mitbringen.
Ich setze im Unternmehmen McAfee - Antivirus Enterprise ein. Witzigerweise gegen Malware chancenlos. So z.B. der BKA-Trojaner unerkannt jedesmal!
Malwarebytes-Antimalware findet zwar maches aber entfernt nicht alles richtig.
Heute aktuell hatte ich mit dem sitens McAfee gefundenen "Generic.grp!fl" zu kämpfen. Dieses Ekelpaket hat dem user ständig den Proxy umgeschrieben. War einige Arbeit nötig zum reparieren denn registry alleine reichte nicht aus.
Wie sind denn eure Erfahrungen; wie geht Ihr mit euren Usern um (Laptopuser insbesondere)? Welche Strategien sind eurer Meinung nach die besten?
Bin mal gespannt was Ihr so schreibt.
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181413
Url: https://administrator.de/contentid/181413
Printed on: April 26, 2024 at 18:04 o'clock
9 Comments
Latest comment
Webproxy mit Contentfilter, z. B. Astaro ASG Firewalls sind easy zu bedienen und erfüllen den Job für kleine/mittelständ. Unternehmen akzeptabel.
Antivirus Software auf Clients.
Wenn man Langeweile hat noch Snort installieren der im Netz bissl rumlauscht was so abgeht und Hinweise geben kann wenn grad was stattfindet..
Man kann auch nach logischen Aspekten den Datenfluss so designen, dass z. B. ein infizierter client garnicht routingtechnisch ins Internet kommt, sondern NUR über den Webproxy.
Wenn ein Client dann infiziert ist und nach Hause telefonieren will, geht das routingtechnisch garnicht wenn man das routingtechnisch so routet dass es nicht zur Internetfirewall
geroutet wird sondern z. B. nach Interface Null (nix, Mülleimer), also alles was der interne Router nicht kennt geht ins Nix.
Und alles was der User per Webbrowsing erreichen will geht via Proxy, und der guggt ob da was verdächtiges drin ist.
Fertig.
Wer mehr will muss mehr ausgeben und mehr Leute einstellen.
Das fängt wohl das meiste ab, aber nicht immer alles.
Bissl Schwund ist immer!
Antivirus Software auf Clients.
Wenn man Langeweile hat noch Snort installieren der im Netz bissl rumlauscht was so abgeht und Hinweise geben kann wenn grad was stattfindet..
Man kann auch nach logischen Aspekten den Datenfluss so designen, dass z. B. ein infizierter client garnicht routingtechnisch ins Internet kommt, sondern NUR über den Webproxy.
Wenn ein Client dann infiziert ist und nach Hause telefonieren will, geht das routingtechnisch garnicht wenn man das routingtechnisch so routet dass es nicht zur Internetfirewall
geroutet wird sondern z. B. nach Interface Null (nix, Mülleimer), also alles was der interne Router nicht kennt geht ins Nix.
Und alles was der User per Webbrowsing erreichen will geht via Proxy, und der guggt ob da was verdächtiges drin ist.
Fertig.
Wer mehr will muss mehr ausgeben und mehr Leute einstellen.
Das fängt wohl das meiste ab, aber nicht immer alles.
Bissl Schwund ist immer!
Stimmt; Contentfilter ist Basic. ich setze Websense ein. Das Problem halt das "mobileComputing" --> Laptops mit eingebauten UMTS-Cards und WLAN daheim stoppen den Laptopuser eben nicht so wie man es direkt im Unternehmen hat.
Zumal muss ich noch sagen: ein amerikanisches Industrieunternehmen welches weltweit agiert --> da blockt der beste Contentfilter nicht ausreichend denn die Definiotiosndatenbanken blocken manches was benötigt wird und lassen manches durch, was du aber Businessseitig echt brauchst.
Eigentlich seh ich da mehr Intelligentes Scanning im Vordergrund: nur was läuft am besten? Kaspersky was man so liest: nur ein US-Unternehmen bewegt man nicht zu einem Russischen Softwarepartner
Hat einer evtl. andere Wege gefunden??
Zumal muss ich noch sagen: ein amerikanisches Industrieunternehmen welches weltweit agiert --> da blockt der beste Contentfilter nicht ausreichend denn die Definiotiosndatenbanken blocken manches was benötigt wird und lassen manches durch, was du aber Businessseitig echt brauchst.
Eigentlich seh ich da mehr Intelligentes Scanning im Vordergrund: nur was läuft am besten? Kaspersky was man so liest: nur ein US-Unternehmen bewegt man nicht zu einem Russischen Softwarepartner
Hat einer evtl. andere Wege gefunden??
http://www.astaro.com/de-de/produkte/astaro-security-gateway-virtual-ap ...
Astaro ASG gibts auch als VMware VM.
Haben wir sogar für ein Kunden als Webproxy im Einsatz.
Kostet nix - nur die Websecurity LIzenz kaufen, paar hunderter im Jahr Lizenzkosten. Läuft.
Astaro ASG gibts auch als VMware VM.
Haben wir sogar für ein Kunden als Webproxy im Einsatz.
Kostet nix - nur die Websecurity LIzenz kaufen, paar hunderter im Jahr Lizenzkosten. Läuft.
Malwareattacken auf was ?? Betriebssystem ?? Bei OS-X bzw. Linux kann man keine erhöhte Aktivität beobachten, jedenfalls nicht wirklich merklich sichbar.
Stimmt. Windows-OS (XP und Win7) aber in meinem Falle 
Hi !
Es ist sicherlich keine Frage, dass die Anzahl von Malware im Netz insgesamt stark steigt aber die Anzahl der Infektionen ist bei unseren Kunden teilweise seit Jahren gleich bzw. wir haben keine Infektionen. Könnte es evt. sein, dass Du beim Patchen der Systeme ein bisschen schlampig bist? Gerade da Du das Thema Youtube anschneidest: Wir haben bei einem Kunden extra einen Rechner eingerichtet, bei dem es den Mitarbeitern (die haben Bereitschaftsdienst oftmals bis morgens um 5 Uhr) ausdrücklich erlaubt ist, sich auf den gängigen Videoportalen zu tummeln. Nicht mal auf diesem Rechner (Windows XP Pro) konnte ich in den letzten 24 Monaten irgendeine Art von Malware feststellen und dieser Rechner wird im Zuge eines Wartungsvertrages bei dem wir sowieso beim Kunden anwesend sind, mit einem Live Linux offline monatlich auf Malware untersucht und dabei werden zusätzlich zum OS sämtliche Applikationen die Kontakt zur Aussenwelt haben (Browser, Laufzeiten, Plugins, Addons) aktualisiert. Vielleicht solltest Du da mal ansetzen, denn der härteste Muskelmann kann seinen Job als Türsteher vergessen, wenn einer von innen die Hintertüre öffnet. Will sagen: Wenn der Schwachpunkt schon im Inneren liegt, kann die tollste Firewall (oder 10 davon) daran nix ändern...
Gerade wenn es den Mitarbeiter erlaubt ist, Firmennotebooks auf das private LAN daheim zu hängen oder bei über Mobilfunk angebundenen Mitarbeitern, musst Du besonders peinlich darauf achten, dass die Clients aktuell sind, denn dabei die Gefahr besonders gross, dass Malware eingeschleppt wird. Die Entwickler von Malware sind heute besonders fix beim Ausnutzen von Schwachstellen im OS, Browser und deren Plugins/Addons und da musst Du in erster Linie ansetzen und auch konsequent dran bleiben....
mrtux
Es ist sicherlich keine Frage, dass die Anzahl von Malware im Netz insgesamt stark steigt aber die Anzahl der Infektionen ist bei unseren Kunden teilweise seit Jahren gleich bzw. wir haben keine Infektionen. Könnte es evt. sein, dass Du beim Patchen der Systeme ein bisschen schlampig bist? Gerade da Du das Thema Youtube anschneidest: Wir haben bei einem Kunden extra einen Rechner eingerichtet, bei dem es den Mitarbeitern (die haben Bereitschaftsdienst oftmals bis morgens um 5 Uhr) ausdrücklich erlaubt ist, sich auf den gängigen Videoportalen zu tummeln. Nicht mal auf diesem Rechner (Windows XP Pro) konnte ich in den letzten 24 Monaten irgendeine Art von Malware feststellen und dieser Rechner wird im Zuge eines Wartungsvertrages bei dem wir sowieso beim Kunden anwesend sind, mit einem Live Linux offline monatlich auf Malware untersucht und dabei werden zusätzlich zum OS sämtliche Applikationen die Kontakt zur Aussenwelt haben (Browser, Laufzeiten, Plugins, Addons) aktualisiert. Vielleicht solltest Du da mal ansetzen, denn der härteste Muskelmann kann seinen Job als Türsteher vergessen, wenn einer von innen die Hintertüre öffnet. Will sagen: Wenn der Schwachpunkt schon im Inneren liegt, kann die tollste Firewall (oder 10 davon) daran nix ändern...
Gerade wenn es den Mitarbeiter erlaubt ist, Firmennotebooks auf das private LAN daheim zu hängen oder bei über Mobilfunk angebundenen Mitarbeitern, musst Du besonders peinlich darauf achten, dass die Clients aktuell sind, denn dabei die Gefahr besonders gross, dass Malware eingeschleppt wird. Die Entwickler von Malware sind heute besonders fix beim Ausnutzen von Schwachstellen im OS, Browser und deren Plugins/Addons und da musst Du in erster Linie ansetzen und auch konsequent dran bleiben....
mrtux
Moin.
Stell die Frage doch mal konkreter. Was wird durch wen bedroht, was möchtest Du schützen wovor, wobei passiert Deinen Nutzern denn Böses? Eine Zunahme von Gefahrenquellen gibt es nicht, allenfalls durch die Verbreitung von nutzereigener Hardware in Firmennetzwerken (WLAN<->Smartphones).
Meine Meinung:
-wer seine Software aktuell hält und sich nicht mutwillig Warez aus dubiosen Quellen runterlädt (dazu können auch Filme und MP3s zählen, na klar - aber was haben die bei der Arbeit zu suchen?), der muss schon extrem von arbeitsrelevanten Seiten abkommen, um es hinzukriegen, sich Malware zu installieren.
Also:
-Nutzer aufklären
-schriftlich absichern, dass das Internet und Mailsystem nur zu dienstlichen Zwecken zu nutzen ist ->wenn das nicht sein soll, dann muss zumindest der Arbeitsplatzrechner nur indirekten Internetzugang bekommen (über VMs kapseln oder mit einem Remotesystem online gehen)
-Software aktuell halten
-keine Adminrechte vergeben
-evtl. Autostarts komplett abdichten (-> kafu.exe von der CT).
-ausführbare Mail-Anhänge filtern oder vom Mailprogramm sperren lassen
Ein Virenschutz ist meiner Ansicht nach keine ernstzunehmende Sicherungsmaßnahme, er kann maximal eine kleine Ergänzung darstellen, die aber den anderen Schritten unterzuordnen ist.
Wir lassen unsere User nur über einen TS ins Internet. Auch von unterwegs wird per UMTS-VPN auf eben diesen TS zugegriffen. Auf dem TS wacht Applocker mit einer Whitelist darüber, was gestartet wird - das klappt hervorragend. Es gab seit über zehn Jahren noch nie einen einzigen Virenbefall.
Stell die Frage doch mal konkreter. Was wird durch wen bedroht, was möchtest Du schützen wovor, wobei passiert Deinen Nutzern denn Böses? Eine Zunahme von Gefahrenquellen gibt es nicht, allenfalls durch die Verbreitung von nutzereigener Hardware in Firmennetzwerken (WLAN<->Smartphones).
Meine Meinung:
-wer seine Software aktuell hält und sich nicht mutwillig Warez aus dubiosen Quellen runterlädt (dazu können auch Filme und MP3s zählen, na klar - aber was haben die bei der Arbeit zu suchen?), der muss schon extrem von arbeitsrelevanten Seiten abkommen, um es hinzukriegen, sich Malware zu installieren.
Also:
-Nutzer aufklären
-schriftlich absichern, dass das Internet und Mailsystem nur zu dienstlichen Zwecken zu nutzen ist ->wenn das nicht sein soll, dann muss zumindest der Arbeitsplatzrechner nur indirekten Internetzugang bekommen (über VMs kapseln oder mit einem Remotesystem online gehen)
-Software aktuell halten
-keine Adminrechte vergeben
-evtl. Autostarts komplett abdichten (-> kafu.exe von der CT).
-ausführbare Mail-Anhänge filtern oder vom Mailprogramm sperren lassen
Ein Virenschutz ist meiner Ansicht nach keine ernstzunehmende Sicherungsmaßnahme, er kann maximal eine kleine Ergänzung darstellen, die aber den anderen Schritten unterzuordnen ist.
Wir lassen unsere User nur über einen TS ins Internet. Auch von unterwegs wird per UMTS-VPN auf eben diesen TS zugegriffen. Auf dem TS wacht Applocker mit einer Whitelist darüber, was gestartet wird - das klappt hervorragend. Es gab seit über zehn Jahren noch nie einen einzigen Virenbefall.
Also Patche & CO sidn wir stets auf dem laufenden per WSUS etc.
Ist ja nun auch nicht so das man ständigen Virusausbrüchen ausgeliefert ist. Vielmehr bemerke ich nur eben das diese Malware-Geschichte immer dreister wird und vor allem quantitativ mehr. Was einem da echt auf den Wecker geht: in Java versteckt oder eben in Videosequenzen, Fotos etc.. Das ganze nett verziert mit Logos der Markenanbieter.
Was ich mich echt Frage ist: warum gehen die Markenabieter nicht agressivere Wege (da ja deren Logos geklaut werden). Man könnte echt langsam denken die kooperieren mit den Hackern. Allein dieser "BKA-Trojaner" tarnt sich nett (Beispiele hier --> http://bka-trojaner.de)
Klar auch: Adminrechte hat keiner --> daher hat man meistens wenigstens die Chance durch löschen und neu erstellen des Useraccounts das Problem zu lösen.
Das die Hardware nur dienstlich nutzbar ist etc. ist auch von jedem Unterschrieben; nur wie das so ist in einem Gr0ßunternehmen: der schlimmste Feind ist das vergessen. Da kann man auch regelmäßig den Leuten Nachhilfe geben....Trotzdem ist das Problem existent.
Jetzt kommt aber noch der Gau hinzu: wie gesagt global Player. Das bedeutet das auch Mitarbeiter in Russland etc unterwegs sind und von dort auch hier am Standort. Mehr muss ich net sagen dazu
Was ich vielmehr mal wissen möchte ist, ob eure Virensoftware/Antispywaresoftware etc. besser filtert als mein (durch US vorgeschriebener) McAfee-Virusscan. Ihr habt doch sicher auch Statistiken laufen woraus Ihr ersehen könnt, inwieweit ein quantatativer Anstieg zu verzeichnen ist im letzten Jahr. Bei mir sind es fast 40% mehr Angriffe/Erkennungen (und da red ich nicht von der IntrusionPrevention und der Firewall).
Ist ja nun auch nicht so das man ständigen Virusausbrüchen ausgeliefert ist. Vielmehr bemerke ich nur eben das diese Malware-Geschichte immer dreister wird und vor allem quantitativ mehr. Was einem da echt auf den Wecker geht: in Java versteckt oder eben in Videosequenzen, Fotos etc.. Das ganze nett verziert mit Logos der Markenanbieter.
Was ich mich echt Frage ist: warum gehen die Markenabieter nicht agressivere Wege (da ja deren Logos geklaut werden). Man könnte echt langsam denken die kooperieren mit den Hackern. Allein dieser "BKA-Trojaner" tarnt sich nett (Beispiele hier --> http://bka-trojaner.de)
Klar auch: Adminrechte hat keiner --> daher hat man meistens wenigstens die Chance durch löschen und neu erstellen des Useraccounts das Problem zu lösen.
Das die Hardware nur dienstlich nutzbar ist etc. ist auch von jedem Unterschrieben; nur wie das so ist in einem Gr0ßunternehmen: der schlimmste Feind ist das vergessen. Da kann man auch regelmäßig den Leuten Nachhilfe geben....Trotzdem ist das Problem existent.
Jetzt kommt aber noch der Gau hinzu: wie gesagt global Player. Das bedeutet das auch Mitarbeiter in Russland etc unterwegs sind und von dort auch hier am Standort. Mehr muss ich net sagen dazu
Was ich vielmehr mal wissen möchte ist, ob eure Virensoftware/Antispywaresoftware etc. besser filtert als mein (durch US vorgeschriebener) McAfee-Virusscan. Ihr habt doch sicher auch Statistiken laufen woraus Ihr ersehen könnt, inwieweit ein quantatativer Anstieg zu verzeichnen ist im letzten Jahr. Bei mir sind es fast 40% mehr Angriffe/Erkennungen (und da red ich nicht von der IntrusionPrevention und der Firewall).
Moin.
Lass es mich noch deutlicher sagen:
Angriffe? Quatsch mit Vanillesoße. Es ist zu 95% die Dummheit der User, die Viren installiert. Wie willst Du denn einen gezielten Angriff überhaupt feststellen?
Wir haben keine Viren gefunden. Keine. Wenn ich also sage, dass wir seit über 10 Jahren keine Infektion haben, dann hat der Scanner damit gar nichts zu tun, der ist schon immer arbeits- und somit wirkungslos.
Lass es mich noch deutlicher sagen:
Angriffe? Quatsch mit Vanillesoße. Es ist zu 95% die Dummheit der User, die Viren installiert. Wie willst Du denn einen gezielten Angriff überhaupt feststellen?
Wir haben keine Viren gefunden. Keine. Wenn ich also sage, dass wir seit über 10 Jahren keine Infektion haben, dann hat der Scanner damit gar nichts zu tun, der ist schon immer arbeits- und somit wirkungslos.