-
Leider alternativ-los...
Autor: Anonymer Nutzer 22.03.17 - 20:44
...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die Client-Virenscanner durch Eigenbastelleien zu umgehen.
Und um das vorweg zu nehmen: Nein Mitarbeiter werden nicht aufhören das zu tun. Auch nicht mit Schulungen. Und nein man kann auch die Mitarbeiter nicht feuern. Dann sind nur noch 3 in der ganzen Firma. -
Re: Leider alternativ-los...
Autor: Itchy 22.03.17 - 21:23
Lösungen gibt es genug. Fängt vom Browser in einer VM-Sandbox an und hört beim Browser als RDP-App noch lange nicht auf.
SSL Interceptoren im Unternehmensnetzwerk sind ja auch nicht per se schlecht. Nur haben die letzten Untersuchungen gezeigt, dass die meisten Geräte am Markt mehr Sicherheitslücken reinbringen (ging sogar soweit, dass ein Produkt den Hostnamen im Zertifikat des Servers nicht geprüft hat), als sie vermeintlich schließen. -
Re: Leider alternativ-los...
Autor: Anonymer Nutzer 22.03.17 - 21:58
...wer mit 'alternativlos' kommt macht schon was falsch...
-
Re: Leider alternativ-los...
Autor: laserbeamer 22.03.17 - 22:49
Die beste Lösung bisher in einer Firma die ich gesehen hatte:
Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind, sind jetzt alles Hauptrechner einfach nicht mehr an das Internet angeschlossen, nur noch Intranet.
Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen extra PC (eigentlich hier nen MacBook) bekommen. -
Re: Leider alternativ-los...
Autor: Neuro-Chef 22.03.17 - 22:50
RichardEb schrieb:
> ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
> Client-Virenscanner durch Eigenbastelleien zu umgehen.
Welcher Scanner soll das sein?
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Leider alternativ-los...
Autor: Neuro-Chef 22.03.17 - 22:51
laserbeamer schrieb:
> Die beste Lösung bisher in einer Firma die ich gesehen hatte:
>
> Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind,
> sind jetzt alles Hauptrechner einfach nicht mehr an das Internet
> angeschlossen, nur noch Intranet.
> Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen
> extra PC (eigentlich hier nen MacBook) bekommen.
Hängt halt von der jeweiligen Firma und den auszuführenden Tätigkeiten ab, ob das praktikabel ist.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Leider alternativ-los...
Autor: Apfelbrot 23.03.17 - 02:59
Neuro-Chef schrieb:
--------------------------------------------------------------------------------
> RichardEb schrieb:
> > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
> > Client-Virenscanner durch Eigenbastelleien zu umgehen.
> Welcher Scanner soll das sein?
Meiner Erfahrung nach vermutlich jeder am Markt befindliche. -
Re: Leider alternativ-los...
Autor: Neuro-Chef 23.03.17 - 05:24
Apfelbrot schrieb:
> Neuro-Chef schrieb:
> > RichardEb schrieb:
> > > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
> > > Client-Virenscanner durch Eigenbastelleien zu umgehen.
> > Welcher Scanner soll das sein?
> Meiner Erfahrung nach vermutlich jeder am Markt befindliche.
Ich fragte, weil "Eigenbasteleien" eher nach niederschwelligen Tricks klingt als nach einem tatsächlichen Angriff auf den Virenscanner mittels wie auch immer gearteter Programmierkenntnisse. Ersteres wäre schon ziemlich peinlich, wenn man damit z.B. den Passwortschutz des zentral verwalteten Malwareschutzes in der Enterprise Version (oder so) umgehen kann.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Leider alternativ-los...
Autor: MFGSparka 23.03.17 - 10:08
Es gibt da so Erfahrungswerte die besagen, je restriktiver das Netzwerk ist, desto fantasiereicher werden die User versuchen diese Einschränkungen zu umgehen.
Da werden zum Beispiel Webserver zum Download von Software und zum Surfen auf gesperrten Webseiten genutzt. Auf einmal stehen dann private LTE Modems im Büro und so weiter.
Effektiv sinkt also langfristig die Sicherheit im Netz. Netzwerkadmins sollten sich eventuell mehr mit den Bedürfnissen der User beschäftigen und überlegen wie sie diese ohne ständiges generve befriedigen können statt alle paar Tage den Internetzugang noch weiter zu begränzen.
Austauschzertifikate kommen mir nicht auf die Kiste. Dann schicke ich lieber meine Daten unverschlüsselt durch die Welt und verzichte darauf irgendwelche Seiten mit Login etc. zu verwenden. -
Re: Leider alternativ-los...
Autor: andr_gin 25.03.17 - 23:48
Ich frage mich ernsthaft wer von den ganzen Besserwissern hier in der Praxis schon einmal ein Firmennetzwerk betreut hat und damit meine ich wirklich dafür verantwortlich war anstatt nur schlaue Tipps von diversen Quellen aus dem Internet nachzuplappern.
Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2 Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.
Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200 Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können, Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere Lösung her. In unserem Fall ist es eine Firewalllösung, das die Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.
So und jetzt einmal ehrlich: Wer hat in seinem Unternehmen schon einmal einen Virenbefall gehabt und wer hat einen nachweislichen Schaden durch Man in the middle Attacken gehabt? Beim Mailverkehr werden die Zertifikate sowieso nie geprüft, da sie sich in der Regel sowieso jeder selbst ausstellt. -
Re: Leider alternativ-los...
Autor: Neuro-Chef 26.03.17 - 00:05
andr_gin schrieb:
> Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige
> Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch
> umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2
> Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man
> hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In
> beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.
Das ist eine Meinung und kein Fakt.
> Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200
> Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter
> abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach
> erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa
> 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten
> Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können,
> Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und
> die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei
> gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere
> Lösung her. In unserem Fall ist es eine Firewalllösung, das die
> Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen
> Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.
OK, aber was hat das Scannen von E-Mails jetzt mit dem Aufbrechen von HTTPS zu tun?
Genau; nix.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster!



