7
Sinn und Unsinn von On-Demand-Scannern...
Während hier im Firmen-Netzwerk seit gut drei Stunden der allmontägliche (McAfee-)On-Demand-Scan ("ODS") läuft und sämtliche Rechner signifikant ausbremst,
mache ich mir (als Benutzer – nicht als Admin!) mal wieder Gedanken über Sinn und Unsinn des Ganzen und stelle folgende Fragen an die "Runde":
• Macht es wirklich Sinn, dass der ODS jede Woche SÄMTLICHE Dateien auf der lokalen Festplatte scannt?
• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann plötzlich "zuzuschlagen" / aktiv zu werden?
• Kann Malware wirklich eine Datei befallen, ohne an den Datei-Eigenschaften irgendetwas zu ändern? (Größe, Änderungsdatum, letztes Zugriffsdatum usw.)?
Oder anders gefragt: Genügt zur Sicherheit nicht, ...
• ein ODS, der nur die Dateien prüft, an denen sich im Laufe des letzten Quartals etwas geändert hat? (falls die vorherige Frage mit "Nein" beantwortet wurde)
• ein guter On-Access-Scanner ("OAS"), der engmaschig aktualisiert wird und mit einer ständig verbesserten Heuristik arbeitet?
Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...
Mit der Hoffnung auf zahlreiche Widersprüche lasse ich mich gern eines Besseren belehren!
Vielen Dank und viele Grüße.
Tomlin.
P.S.: Justamente in diesem Moment wurde der ODS auf meinem Rechner fertig (317.459 Dateien in 3:24:22 Stunden => Entdeckungen: 0)
mache ich mir (als Benutzer – nicht als Admin!) mal wieder Gedanken über Sinn und Unsinn des Ganzen und stelle folgende Fragen an die "Runde":
• Macht es wirklich Sinn, dass der ODS jede Woche SÄMTLICHE Dateien auf der lokalen Festplatte scannt?
• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann plötzlich "zuzuschlagen" / aktiv zu werden?
• Kann Malware wirklich eine Datei befallen, ohne an den Datei-Eigenschaften irgendetwas zu ändern? (Größe, Änderungsdatum, letztes Zugriffsdatum usw.)?
Oder anders gefragt: Genügt zur Sicherheit nicht, ...
• ein ODS, der nur die Dateien prüft, an denen sich im Laufe des letzten Quartals etwas geändert hat? (falls die vorherige Frage mit "Nein" beantwortet wurde)
• ein guter On-Access-Scanner ("OAS"), der engmaschig aktualisiert wird und mit einer ständig verbesserten Heuristik arbeitet?
Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...
Mit der Hoffnung auf zahlreiche Widersprüche lasse ich mich gern eines Besseren belehren!
Vielen Dank und viele Grüße.
Tomlin.
P.S.: Justamente in diesem Moment wurde der ODS auf meinem Rechner fertig (317.459 Dateien in 3:24:22 Stunden => Entdeckungen: 0)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237816
Url: https://administrator.de/contentid/237816
Printed on: April 24, 2024 at 15:04 o'clock
7 Comments
Latest comment
Mahlzeit.
Das hängt stark mit dem verwendeten Produkt zusammen, denke ich.
Hier läuft der System Center Endpoint Protection Client täglich und der braucht nur ein paar Minuten für nen "Quick Scan" - wie sinnvoll oder nicht der nun ist, mag jeder selbst entscheiden, hier hat er schon ein paar Dinge (häuptsächlich JAVA-Exploits, die es wie Sand am Meer gibt) gefunden und das nur wegen des Updates der Signaturen.
Ein "Ausbremsen" stelle ich hier auch nicht fest. Gut, das mag auch daran liegen, dass hier ne SSD in meinem Rechner ihren Dienst verrichtet, aber auch von den "Magnetscheiben-Usern" habe ich bisher nichts gehört und die beschweren sich doch recht schnell, wenn der Rechner "huft".
Cheers,
jsysde
Das hängt stark mit dem verwendeten Produkt zusammen, denke ich.
Hier läuft der System Center Endpoint Protection Client täglich und der braucht nur ein paar Minuten für nen "Quick Scan" - wie sinnvoll oder nicht der nun ist, mag jeder selbst entscheiden, hier hat er schon ein paar Dinge (häuptsächlich JAVA-Exploits, die es wie Sand am Meer gibt) gefunden und das nur wegen des Updates der Signaturen.
Ein "Ausbremsen" stelle ich hier auch nicht fest. Gut, das mag auch daran liegen, dass hier ne SSD in meinem Rechner ihren Dienst verrichtet, aber auch von den "Magnetscheiben-Usern" habe ich bisher nichts gehört und die beschweren sich doch recht schnell, wenn der Rechner "huft".
Cheers,
jsysde
Ich würde spontan sagen, dass alle Parameter, die als Filter dienen könnten (letzte Änderungen etc.) nicht sicher vor Manipulation sind. Dann müsste es mindestens zu jeder Datei Checksummen geben (MD5 o.ä.), die dann wieder überprüft werden muss.
Dazu kommt noch, dass es im professionellen Umfeld generell clever erscheint, 2- oder mehrstufig zu fahren, am besten mit verschiedenen Produkten. Der ODS kann eine solche Stufe darstellen.
Grüße,
effbee
Dazu kommt noch, dass es im professionellen Umfeld generell clever erscheint, 2- oder mehrstufig zu fahren, am besten mit verschiedenen Produkten. Der ODS kann eine solche Stufe darstellen.
Grüße,
effbee
Zitat von @Tomlin:
Während hier im Firmen-Netzwerk seit gut drei Stunden der allmontägliche (McAfee-)On-Demand-Scan ("ODS")
läuft und sämtliche Rechner signifikant ausbremst,
Während hier im Firmen-Netzwerk seit gut drei Stunden der allmontägliche (McAfee-)On-Demand-Scan ("ODS")
läuft und sämtliche Rechner signifikant ausbremst,
Dann habt Ihr diesen tTask falsch geplant.
• Macht es wirklich Sinn, dass der ODS jede Woche SÄMTLICHE Dateien auf der lokalen Festplatte scannt?
Komtm drauf an, gegen welches Risiko Ihr euch absichern wollt udn wie hoch Ihr das bewertet.
• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann
plötzlich "zuzuschlagen" / aktiv zu werden?
plötzlich "zuzuschlagen" / aktiv zu werden?
Jepp. Der Trigger kann auch noch "nach Jahren" ausgelöst werden.
• Kann Malware wirklich eine Datei befallen, ohne an den Datei-Eigenschaften irgendetwas zu ändern? (Größe,
Änderungsdatum, letztes Zugriffsdatum usw.)?
Änderungsdatum, letztes Zugriffsdatum usw.)?
Ja. Er überschreibt einfach irgendwelche "unwichtigen" Daten in der datei und sorgt selbst dafür, daß die Metadaten nciht verändert werden. Wenn sich das Zeug in eine Stream schreibt, bruacht es manchmal gar nicht erst die Daten selbst zu verändern, weil das meistens gar nicht erst auffällt.
Oder anders gefragt: Genügt zur Sicherheit nicht, ...
• ein ODS, der nur die Dateien prüft, an denen sich im Laufe des letzten Quartals etwas geändert hat? (falls die
vorherige Frage mit "Nein" beantwortet wurde)
Die Frage ist, woran mahst du das fest? An dem Datum, das im Filesystem protokolliert wird? Das ist bei malware nur bedingt aussagekräftig.
And den Flags der datei? Auch die sind der Willkür der malware untergeordnet.
Du kannst höchstens prüfsummen (z.B. md5 oder sha-hashes) bilden und die regelmäßig prüfen. Allerdings mußt Du sicherstellen, daß die Malware die hashes nicht "anpaßt".
• ein guter On-Access-Scanner ("OAS"), der engmaschig aktualisiert wird und mit einer ständig verbesserten
Heuristik arbeitet?
Heuristik arbeitet?
Nö. mnchmal wäre sogar ein offline-scanner angebracht.
Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur
weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so
gemacht wurde" / "ja jeder kommen könnte"...
weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so
gemacht wurde" / "ja jeder kommen könnte"...
Nunja, Die frage ist, wie Ihr sonst sicherstellt, daß da keine malware auf eure Systeme kommt. Wenn Euer Türsteher, sprich Firewall gut ist udn auch Eure User vorsichtig genug wären, bräuchte man sowas nicht. Aber da ncihts besseres da ist, nimmt man liber die Krücke als gar nichts.
lks
Hallo Tomlin,
Ich meine jetzt nicht nur die signaturbasierte Erkennung. Deshalb kommt es durchaus vor, dass nach einem Update der Virenscanner plötzlich meckert, wo er bisher immer ruhig geblieben ist.
Bei uns läuft der Scan am Do 12:00 Uhr. Man legt ihn ehe immer auf die Mittagspause um möglichst wenig zu stören.
Eigentlich sollte man auch, um sicherer zu gehen, mit einem zweiten Scanner scannen aber das ist in der Praxis meist nicht umsetzbar.
Wobei Offline, wie LKS schon schrieb, schön wäre.
Wir haben hier auch McAffee und mitunter merke ich trotz i7 und 8 GB RAM schon, dass da was arbeitet. Demnächst wechseln wir auf FEP und da ist der ODS noch nicht störend aufgefallen.
Ich solltet mal prüfen lassen, dass der Start auf Mittag verschoben wird und das vielleicht die Einstellungen des Scans noch etwas angepasst werden.
So könnt ihr z.B. im McAffee Client die System Benutzung zwischen 10% und 100% einstellen. Das könnte schon helfen.
Zudem kann man dem Nutzer auch die Möglichkeit bieten den Scan zu verschieben.
Grüße vom it-frosch
• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann plötzlich "zuzuschlagen" / aktiv zu werden?
Viren bzw. Malware kann nur dann als solche erkannt werden, wenn der Antivirushersteller weiß, wie er sie erkennt.Ich meine jetzt nicht nur die signaturbasierte Erkennung. Deshalb kommt es durchaus vor, dass nach einem Update der Virenscanner plötzlich meckert, wo er bisher immer ruhig geblieben ist.
Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...
Ist verständlich. Da sind Bitcoin Miner aber wesentlich besser im Verbraten von CPU oder GPU -Stunden.gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...
Bei uns läuft der Scan am Do 12:00 Uhr. Man legt ihn ehe immer auf die Mittagspause um möglichst wenig zu stören.
Eigentlich sollte man auch, um sicherer zu gehen, mit einem zweiten Scanner scannen aber das ist in der Praxis meist nicht umsetzbar.
Wobei Offline, wie LKS schon schrieb, schön wäre.
Wir haben hier auch McAffee und mitunter merke ich trotz i7 und 8 GB RAM schon, dass da was arbeitet. Demnächst wechseln wir auf FEP und da ist der ODS noch nicht störend aufgefallen.
Ich solltet mal prüfen lassen, dass der Start auf Mittag verschoben wird und das vielleicht die Einstellungen des Scans noch etwas angepasst werden.
So könnt ihr z.B. im McAffee Client die System Benutzung zwischen 10% und 100% einstellen. Das könnte schon helfen.
Zudem kann man dem Nutzer auch die Möglichkeit bieten den Scan zu verschieben.
Grüße vom it-frosch
Wenn man Kisten hat, die bei WOL vom Netz booten ist das überhaupt kein Problem. Man "bastelt" sich sowas c't-desinfect, alelrdings für den persönlichen Bedarf angepaßt, und läßt das einafch vom netz booten udn loslaufen. Geht automatisiert und die Kiste kann sich dann nach dem Durchlauf wieder schlafenlegen.
Meist scheiter das aber am Können/Wissen des Adminsitrators.
lks
Hi.
Versuche bitte, Deine Fragen genauer zu stellen, nachdem Du Dir folgende Gedanken gemacht hast:
-kann ein installierter Virus starten, ohne, dass ihn der on-access-Scanner entdeckt? Falls ja, würde ihn der on-demand-scanner finden?
->falls nein: was könnte der on access scanner denn dann überhaupt besser?
Ich kann Dir sicherlich dabei helfen, aber ein paar mehr Gedanken solltest Du Dir zunächst selbst gemacht haben.
Meine generelle Einstellung zu Scannern ist, dass diese kaum eine Darseinsberechtigung haben. zu gering ist der Nutzen, zu hoch die Kosten und zu ärgerlich die Bugs und Performanceeinbußen. in unserem Sicherheitskonzept spielen sie nur ein MInirolle.
Versuche bitte, Deine Fragen genauer zu stellen, nachdem Du Dir folgende Gedanken gemacht hast:
-kann ein installierter Virus starten, ohne, dass ihn der on-access-Scanner entdeckt? Falls ja, würde ihn der on-demand-scanner finden?
->falls nein: was könnte der on access scanner denn dann überhaupt besser?
Ich kann Dir sicherlich dabei helfen, aber ein paar mehr Gedanken solltest Du Dir zunächst selbst gemacht haben.
Meine generelle Einstellung zu Scannern ist, dass diese kaum eine Darseinsberechtigung haben. zu gering ist der Nutzen, zu hoch die Kosten und zu ärgerlich die Bugs und Performanceeinbußen. in unserem Sicherheitskonzept spielen sie nur ein MInirolle.
Moin DWW,
Du darfst nciht außer acht lassen, daß die On-Access-Scanner meits nicht so "scharf" udn auch nciht in so in der Tiefe suchen wie die On-Demand-Scanner, weil die Performance im betrieb ein wichtiger faktor ist. Die On-Demand-Scanner laufen i.d.R. zu Zeiten, in denen die CPu nicht benötigt wird (zumindest sollten sie es dann tun) und daher mehr CPU-zeit zur Verfügung steht. Dies wird meist dazu genutzt, eine tiefergehende Suche, z.b. in Archiven oder auch in nicht ausführbaren Dateien durchzuführen, was beim On-access-Scanenr oft ausgeschaltet ist, um den Arbeitsfluß nicht zu stören.
Außerdem gibt es Fälle, in denen die malware auf das System zu einem Zeitpunkt kommt, zu dem sie der On-Access-Scanenr (noch) nicht erkennt. und weil dann auf die datei nicht mehr zugegriffen wird, diese vor sich hinschlummert. Sofern man später also nicht mit ein On-Demand-Scanner drüberstolpert birgt das die Gefahr, daß diese Tretmine irgendwann ausgelöst werden könnte, wenn z.B. gerade der Virenscanner wegen Fehlerdiagnose vielleicht ausgeschaltet ist.
Ich persönlch halte zwar von Virenscannern als Sicherheitsmaßnahme nciht viel, aber saolange nichts wesentlich besseres da ist, sollte man diese Krücken sinnvoll nutzen.
Mein Fazit: wie imemr in der IT-Sicherheit ist das eine individuelle Entscheidung, ob man On-demand-Scanner einsetzen will oder nicht. man muß die Kosten, die dadruch verursacht werden (Lizenzen, arbeitszeit, Wartezeiten, etc.) gegen den prodktionsausfall aufrechnen, der im Fall des Falles einem ins haus steht und dann entscheiden.
Grob. in einem Betrieb, in dem kaum Daten rein- und rausgehen, wird es sich nicht lohnen alle Maschinen für mehrere Studen außer Gefecht zu setzen, um einen potentiellen Übeltäter zu finden. hingegen wird in einem betrieb mit hoher "Datenaustauschrate" mit der Außenwelt es evident sein, dafür zu sorgen, daß da icht pasieren kann udn ggf jede nacht einen On-demand-Scanenr laufen zu lassen, weil man ggf als "Verteiler" großen Haftungsrisiken ausgesetzt sein könnte. Meist wird es zwischen diesen extremen liegn, aber wie gesagt, man muß individuell entscheiden.
lks
