Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vorgehensweise bei Virenausbruch im großen Netz!

Frage Sicherheit Viren und Trojaner

Mitglied: steve007

steve007 (Level 1) - Jetzt verbinden

08.01.2008, aktualisiert 09.01.2009, 7313 Aufrufe, 11 Kommentare

Virenserver meldet große Anzahl an Viren im Netz, was tun?

Hallo NG

suche vergebens im Internet nach einen Diskusionsforum bzw. nach Berichten und Lösungen wie man vorgeht wenn in einen Netz mit mehreren Standorten auf einmal der Virenbestand eskaliert.
Also was tun wenn zum Schluß alle WS verseucht sind oder halt das Arbeiten von mehreren Angestellten nicht mehr möglich ist.
Wenn da jemand eine Idee oder einen Link hätte oder so eine Eskalationsprozedur schon mal ausgearbeitet hat, währe ich sehr dankbar mir das mitzuteilen.
Danke im Voraus!

ciao
steve007
Mitglied: Rafiki
08.01.2008 um 13:59 Uhr
Ich würde Urlaub nehmen!

Dann würde ich das bestehende Netzwerk abschlaten und beginnen ein neues sauberes Netzwerk aufzubauen. zuerst die Basis schaffen, Domain Controller, File Server, Emailsystem. Dann nach prioritäten, was ist wichtig? Hängt von der Firma ab. z.b. Produktion oder Versand usw. Massenhaft die Rechner frisch installieren z.B. mit Tools wie Acronis, Symantec Ghost oder RIS.

Beim BSI gibt es Notfallpläne die man für eine solche Situation vorbereiten kann.

Gruß Rafiki
Bitte warten ..
Mitglied: aqui
08.01.2008 um 14:53 Uhr
Und beim nächsten Mal solltest du entsprechend vorsorgen und über ein Intrusion Prevention System nachdenken, das Signaturen kennt und bei Befall über das Netz dynmaisch Accesslisten für die Switches erstellt oder Endgeräte bei Befall dynmaisch in ein Quarantäne VLAN setzt.
Idealerweise liefern die Switches diese Daten gleich mit im Betrieb !

Sowas ist mit heutiger Switch Technik auch im mittleren Preissegment problemlos möglich !
Bitte warten ..
Mitglied: Rafiki
08.01.2008 um 17:03 Uhr
hi aqui,
was wird dann aus meinem Urlaub wenn du den Ausbruch verhinderst?
Klar ein IPS würde wahrscheinlich den Ausbruch verhindern, aber es könnte theoretisch immer noch passieren. Kreative Kollegen könnten versuchen ihre Daten, zusammen mit dem Virus, von dem ausgesperrten Rechner auf den letzten noch funktionierenden Computer in der Produktion zu tragen.

User sind das wahre Übel in unserem Job.

Gruß Rafiki
Bitte warten ..
Mitglied: aqui
08.01.2008 um 18:36 Uhr
...klar keine Frage. Eine perfekte Sicherheit gibt es nicht oder man müsste das Netzwerk komplett abschotten von aussen aber wenigstens verhindert sowas den Riesengau...wenigstens etwas !
Bitte warten ..
Mitglied: Vincent-Vegas
09.01.2008 um 10:58 Uhr
Moin,

wenn das Netzwerk größer ist, solltet ihr einen Melde uns Eskalationsprozess für Security-Incidents, Security-Störungen und Security-Notfälle etablieren.

Das wichtigste bei solchen Vorgehen ist, das es einen Prozess gibt, welcher zwischen den
Sicherheitsvorfällen unterscheidet und entsprechende Maßnahmen einleitet. Alles andere ist vorerst nicht wichtig. Welche Maßnahmen dann eingeleitet werden, könnte ich Dir sagen wenn ich Deine Netzstruktur kenne. Evtl. kann man am VPN Gateway (oder Router) entsprechende Ports filter, usw usw.

Meine Firma ist ein Beratungsunternehmen für Netzwerksicherheit, daher weiß ich das ein dokumentierter Prozess im 1st Step das wichtigste ist. Was dann als nächstes kommt, oder welche Maßnahmen man einleitet kann man pauschal nicht sagen, da mir ein entsprechendes Risikomanagement, Hardware, Software, Virenschutz, APS, Monitoring von euch nicht bekannt sind.

Alles Gute
Vincent
Bitte warten ..
Mitglied: Gagarin
09.01.2008 um 12:55 Uhr
Moin,

Vincent hat voellig Recht. Eine pauschale Antwort auf einen Incident zu geben ist nicht einfach. Eine wichtige Unterstuetzung ist aber der Business Recovery Plan und der Disaster Recovery Plan. In diesen Plaenen kann man dann schon den Incident Handling Process vorbereiten.

Dieser Prozess is aufgeteilt in die Bereiche:
  • Preparation (Vorbereitung auf sowas ist immer half of the battle)

  • Identification (Ist es wirklich ein Incident? Um was handelt es sich? Welche System sind betroffen? Muss eskaliert werden? Wer wird informiert)

  • Containment ( Eingrenzen der betroffenen System, wenn noetig Isolierung oder Abschaltung)

  • Eradication (Identfizierung was wirklich passiert ist und wie die System veraendert worden sind, dann unbedingt die ausgenutzte Schwachstelle finden und diese Abstellen. Entfernung der Schadsoftware

  • Recovery ( Die Betriebsbereitschaft der Systeme wiedherstellen, welche dabei priorisiert werden steht im Business Recovery Plan)

  • Lessons Learned (Abschliessen Bericht schreiben, Lesson Learned meeting durchfuehren und alle neu gewonnen Erkenntniss dazu benutzen um die Prozesse zu verbessern.

Das ist natuerlich nur ein ganz allgemeiner Blick auf den Incident Handling Process.

Bei Fragen dazu kannst du dich gerne an mich wenden.

Simon-Philipp
GIAC GSEC, GCIH
Bitte warten ..
Mitglied: Vincent-Vegas
09.01.2008 um 13:17 Uhr
jep, Simon-Philipp hat absolut recht.

Kurz: Es sind nicht nur die Containment, Eradication und Recovery Phasen wichtig, auch die anderen Dinge sollten beachtet und dokumentiert werden. Besonders wichtig (finde ich) ist die Einteilung um welches Incident es sich handelt. Ist es wirklich nur ein Security Incident oder schon ein Security Notfall? Klassifizierungen kann man schon recht früh mit Messwerten eingrenzen um weitere Prozesse (evtl. MOD Prozess) auszulösen. Dazu müssten aber noch mehr Prozesse definiert (oder wenn bereits vorhanden) mit eingebunden werden.


Bei Fragen dazu kannst du dich gerne an mich wenden

Hey!!!! Damit verdiene ich mein täglich Brot!! :-p

Gruß
Vincent
Bitte warten ..
Mitglied: Gagarin
09.01.2008 um 14:04 Uhr
@Vincent
Ich meinte nicht das du Fragen dazu hattest sondern der urnspruengliche Ersteller des Themas, aber du kannst natuerlich mir auch deine Fragen zu bearbeitung schicken Nicht nur du verdienst dein Geld in dem Bereich

Bei der Klasszifizierung wuerde ich gar nicht so sehr ins Detail gehen. Entweder habe ich einen Event, das kann alles sein was ein gewisses interesse ausloest, oder ich habe einen incident. Ich wuerde als Incident alles definieren welches entweder den Versuch darstellt Schaden zu verursachen oder Schaden verursacht hat.

Ein Incident ist ein unheimlich dynamisches Ding welches sich sehr schnell in unterschiedliche Richtungen entwickeln kann. Plaene und Prozesse helfen, entscheiden muss immer noch der Incident Handling Officer.

Wichtig ist hier nur das man sich wirklich sicher ist bevor man einen Incident ausruft. Nichts ist schlimmer als wenn es dann wirklich brennt und keiner hoert einem mehr zu.
Bitte warten ..
Mitglied: Vincent-Vegas
09.01.2008 um 14:17 Uhr
Es war auch mehr darauf bezogen um welche Art es sich bei einem Incident handelt und wie
das Incident Management damit umgeht. Wenn Du einen Melde und Eskalationsprozess hast, ist es schon wichtig eine Transparanz in der Klassifizierung zu schaffen. Dies kann von großer Entscheidung sein, wie mit einem Security-Vorfall umgegangen wird und welche Unterprozesse ausgelöst werden.

Bei einem großen Unternehmen macht es z.B. keinen Sinn, jedes Incident als Detail im Report zu erwähnen.
Es macht jedoch mehr Sinn, klassifizierte Notfälle im Detail zu reporten, wozu wieder Messwerte dienen. Denke das kein MOD oder Security Manager bei einem Netzwerk von 38.000 PCs wegen eines Virenbefalls Stufe 1 (bis 5 Rechner) aus dem Bett geklingelt werden möchte. Und das geht ohne Einteilung leider nicht.
Bitte warten ..
Mitglied: steve007
13.01.2008 um 11:47 Uhr
Hallo,

wer oder was ist BSI, gibt es da eien Website?
Dank!

ciao
steve007
Bitte warten ..
Mitglied: steve007
13.01.2008 um 11:50 Uhr
Hallo,

habe BSI gefunden, Danke trotzdem.

ciao
Steve007
Bitte warten ..
Der Kommentar von maui82 wurde vom Moderator am 05.12.16 ausgeblendet!
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Informationsdienste
NSA-Ausschuss: Wikileaks stellt 90 Gigabyte an Akten ins Netz (3)

Link von Frank zum Thema Informationsdienste ...

DSL, VDSL
DSL-Störung im Telekom-Netz (6)

Link von sabines zum Thema DSL, VDSL ...

Internet Domänen
gelöst Domain Host Eintrag In Richtfunk Netz (7)

Frage von Betact zum Thema Internet Domänen ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...