1. Foren
  2. Kommentare
  3. Automobil-Forum
  4. Alle Kommentare zum Artikel
  5. › Nach Hack: Drohender…

"eine so schwerwiegende Attacke"

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. "eine so schwerwiegende Attacke"

    Autor: Katsuragi 06.11.21 - 13:13

    huch, ich dachte es ging um Ransomware.
    Daher hier die Übersetzung:
    "einer so schwerwiegenden Attacke" == "derart miese, kaputt gesparte Sicherheitsmaßnahmen"

    Hätte man lediglich vernünftige Backups und ein grundlegendes IT-Team, dann wäre der Betrieb selbst mit consumer-grade Ausstattung in 2 Tagen wieder aufzunehmen, und nicht in Wochen.



    1 mal bearbeitet, zuletzt am 06.11.21 13:13 durch Katsuragi.

  2. Re: "eine so schwerwiegende Attacke"

    Autor: Steffo 06.11.21 - 13:38

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > huch, ich dachte es ging um Ransomware.
    > Daher hier die Übersetzung:
    > "einer so schwerwiegenden Attacke" == "derart miese, kaputt gesparte
    > Sicherheitsmaßnahmen"
    >
    > Hätte man lediglich vernünftige Backups und ein grundlegendes IT-Team, dann
    > wäre der Betrieb selbst mit consumer-grade Ausstattung in 2 Tagen wieder
    > aufzunehmen, und nicht in Wochen.


    Bei meinem Arbeitgeber hat es knapp ein Jahr gedauert, bis alle Dienste wieder vollständig online waren. Denn Backups mussten auf die Viren gescannt werden und außerdem musste gleichzeitig die komplette IT-Infrastruktur umgekrempelt werden.

  3. Re: "eine so schwerwiegende Attacke"

    Autor: Vögelchen 06.11.21 - 13:49

    Steffo schrieb:
    --------------------------------------------------------------------------------

    > Bei meinem Arbeitgeber hat es knapp ein Jahr gedauert, bis alle Dienste
    > wieder vollständig online waren. Denn Backups mussten auf die Viren
    > gescannt werden und außerdem musste gleichzeitig die komplette
    > IT-Infrastruktur umgekrempelt werden.

    Das ist immer die Frage: Woher weiß man definitiv, ab wann die erste Schadsoftware oder schwerwiegende Sicheheitslücke ins System kam? Welches Backup ist also noch nutzbar, sofern überhaupt? Oder kann man nur ein paar Daten retten und muss das System von Grund auf neu aufsetzen?

  4. Re: "eine so schwerwiegende Attacke"

    Autor: Katsuragi 06.11.21 - 18:21

    Vögelchen schrieb:
    > Das ist immer die Frage: Woher weiß man definitiv, ab wann die erste
    > Schadsoftware oder schwerwiegende Sicheheitslücke ins System kam? Welches
    > Backup ist also noch nutzbar, sofern überhaupt? Oder kann man nur ein paar
    > Daten retten und muss das System von Grund auf neu aufsetzen?

    Vollkommen richtig, und deswegen sagte ich auch 2 Tage und "Betrieb aufnehmen", nicht vollständige Wiederherstellung. ;)

    Heutzutage muss man bei Ransomware davon ausgehen, dass die Anlage schon Wochen, vielleicht Monate vorher kompromittiert wurde. Deswegen würde man auch die IT neu aufsetzen und "nur" Daten aus den Backups zurück holen, keine Executables etc. Damit ist man nach 2 Tagen natürlich nicht fertig, aber zumindest wieder im Geschäft.

    Die Backups auf Schadsoftware zu scannen ist natürlich eine gute Idee, aber da man nie genau weiß womit man angegriffen wurde wäre mir das Risiko zu hoch, dass der Scanner etwas übersieht.

    Mit einem ordentlichen Konzept und anständiger Infrastruktur kann man aber flott wieder im Geschäft sein. Da muss man auch keine schweren oder teuren Geschütze auspacken, sondern sich lieber grundlegende Gedanken machen. Virtualisierung mit software-defined Storage auf consumer-grade Hardware, ausgelegt auf schneller Wiederherstellbarkeit. Dazu ein sauberes Sicherheitskonzept, bei dem z.B. die Backups nicht von den Servern aus zugreifbar sind. Außerdem eine Auswahl der Anwendersoftware, die von Vornherein auf Wiederherstellbarkeit zielt. Holt man sich überkomplexen Mist, dann muss man sich nicht wundern, wenns im Notfall länger dauert. Edit: gute Dokumentation aller Systeme ist absolut notwendig...
    Damit fahren wir gut in Umgebungen bis ca. 200 Nutzer, auch im Industriebereich.

    Und ja: niemand ist unverwundbar und kein Konzept ist perfekt. Aber oft erlebt man, dass erst etwas passieren muss, bevor sich jemand grundlegende Gedanken macht.



    1 mal bearbeitet, zuletzt am 06.11.21 18:23 durch Katsuragi.

  5. Re: "eine so schwerwiegende Attacke"

    Autor: Katsuragi 06.11.21 - 18:28

    Steffo schrieb:
    --------------------------------------------------------------------------------
    > Bei meinem Arbeitgeber hat es knapp ein Jahr gedauert, bis alle Dienste
    > wieder vollständig online waren. Denn Backups mussten auf die Viren
    > gescannt werden und außerdem musste gleichzeitig die komplette
    > IT-Infrastruktur umgekrempelt werden.

    Darf ich fragen welche Größe der Arbeitgeber hat? In einem Jahr kann man verdammt viel IT (neu) aufbauen. Das klingt eher nach Management-Featuritis mit viel unnötiger Software... oder nach einem unter-ausgestatteten IT-Team.

  6. Re: "eine so schwerwiegende Attacke"

    Autor: Argh 06.11.21 - 18:29

    Man darf aber auch nicht vergessen, dass man möglicherweise Hardware neu beschaffen muss, weil die Sicherheitsorgane nach einem Angriff Dinge beschlagnahmen um sie zu analysieren. Das wäre in der aktuellen Situation nahezu fatal, wir haben bei unseren Lieferanten teilweise vier Wochen Lieferzeit, wenn wir bzw. der Kunde bereit ist Mondpreise zu berappen.

  7. Re: "eine so schwerwiegende Attacke"

    Autor: Steffo 06.11.21 - 18:33

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > Darf ich fragen welche Größe der Arbeitgeber hat? In einem Jahr kann man
    > verdammt viel IT (neu) aufbauen. Das klingt eher nach Management-Featuritis
    > mit viel unnötiger Software... oder nach einem unter-ausgestatteten
    > IT-Team.

    Knapp 3000 Mitarbeiter weltweit. Die Infrastruktur genügte definitiv nicht modernen Anforderungen, sodass eben parallel eine neue Infrastruktur aufgebaut werden musste.

  8. Re: "eine so schwerwiegende Attacke"

    Autor: tomatentee 06.11.21 - 23:45

    Vögelchen schrieb:
    --------------------------------------------------------------------------------
    > Steffo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Bei meinem Arbeitgeber hat es knapp ein Jahr gedauert, bis alle Dienste
    > > wieder vollständig online waren. Denn Backups mussten auf die Viren
    > > gescannt werden und außerdem musste gleichzeitig die komplette
    > > IT-Infrastruktur umgekrempelt werden.
    >
    > Das ist immer die Frage: Woher weiß man definitiv, ab wann die erste
    > Schadsoftware oder schwerwiegende Sicheheitslücke ins System kam? Welches
    > Backup ist also noch nutzbar, sofern überhaupt? Oder kann man nur ein paar
    > Daten retten und muss das System von Grund auf neu aufsetzen?
    >
    Eh...wat? Ich hab im Backup doch sowieso nur die Daten. Die Konfig gehört ins Konfigurationsmanagement - und mit dem setze ich die Systeme wieder auf. Aus nem komprommitierten Image stellt man nichts wieder her!



    1 mal bearbeitet, zuletzt am 06.11.21 23:57 durch tomatentee.

  9. Re: "eine so schwerwiegende Attacke"

    Autor: Katsuragi 07.11.21 - 00:31

    Argh schrieb:
    --------------------------------------------------------------------------------
    > Man darf aber auch nicht vergessen, dass man möglicherweise Hardware neu
    > beschaffen muss, weil die Sicherheitsorgane nach einem Angriff Dinge
    > beschlagnahmen um sie zu analysieren. Das wäre in der aktuellen Situation
    > nahezu fatal, wir haben bei unseren Lieferanten teilweise vier Wochen
    > Lieferzeit, wenn wir bzw. der Kunde bereit ist Mondpreise zu berappen.

    ja, das könnte echt übel werden; wir bekommen es gerade alle zu spüren.

  10. Re: "eine so schwerwiegende Attacke"

    Autor: Katsuragi 07.11.21 - 00:34

    > Eh...wat? Ich hab im Backup doch sowieso nur die Daten. Die Konfig gehört
    > ins Konfigurationsmanagement - und mit dem setze ich die Systeme wieder
    > auf. Aus nem komprommitierten Image stellt man nichts wieder her!

    naja, ob Du kompromittierte Daten backupst oder sie aus einem kompromittierten Image rausholst macht keinen Unterschied. Ich weiß natürlich was Du meinst. Aber man macht Backups ja nicht nur wegen Schadsoftware, sondern auch aus anderen Gründen. Und dann sind Images echt praktisch, weil sie sich schneller wieder herstellen lassen.
    In der Größenordnung, in der wir arbeiten, macht Konfigurationsmanagement für Windows kaum Sinn. Da würden wir nichts anderes mehr machen. Gute Dokumentation reicht da völlig.

  11. Re: "eine so schwerwiegende Attacke"

    Autor: gelöscht 07.11.21 - 07:47

    Ich habe zur Zeit eine Bestellung bei Dell offen. 2 Server sowie SAN Erweiterung. Lieferdatum: März 2022.

  12. Re: "eine so schwerwiegende Attacke"

    Autor: Magroll 07.11.21 - 10:40

    Sorry, aber Du hast entweder absolut keinen Plan, oder beziehst Dich auf eine Firma mit 1 bis 2 Servern und kleiner 10 Clients.

    Ein Unternehmen mit mehreren hundert Mitarbeitern und verteilter Infrastruktur setzt sowas nicht in Tagen wieder auf, sondern in Wochen. Allein die Forensik braucht meistens schon mehrere Tage, wenn es ein komplexerer Angriff mit Tools wie Cobalt Strike o.ä. war.
    Und wenn Du dann Dein AD und alle Server komplett aufsetzen darfst, hast Du Geburtstag, auf sowas ist keine IT eingestellt, egal wie viele Leute da arbeiten.

    Alles andere ist Bullshitbingo.

    Das es Firmen gibt, welche es mit schlecht ausgebildetem Personal und mangelhaften IT Budget heutzutage drauf anlegen, ist ein anderes Thema. Selbst Schuld kann man auch immer einfach sagen, ich habe keine insights in das Unternehmen, aber wer heutzutage glaubt vor sowas zu 100% sicher zu sein, der lässt sich auch nicht gegen Corona impfen.



    1 mal bearbeitet, zuletzt am 07.11.21 10:43 durch Magroll.

  13. Re: "eine so schwerwiegende Attacke"

    Autor: xUser 07.11.21 - 12:10

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > huch, ich dachte es ging um Ransomware.
    > Daher hier die Übersetzung:
    > "einer so schwerwiegenden Attacke" == "derart miese, kaputt gesparte
    > Sicherheitsmaßnahmen"
    >
    > Hätte man lediglich vernünftige Backups und ein grundlegendes IT-Team, dann
    > wäre der Betrieb selbst mit consumer-grade Ausstattung in 2 Tagen wieder
    > aufzunehmen, und nicht in Wochen.

    Du musst alles neu Aufsetzen. Zum Beispiel dein AD, weil der Angreifer sich möglicherweise Golden Tickets ausgestellt hat. Das heißt alles neu einrichten. Das dauert einfach lange, zumal so etwas kaum jemand vollständig automatisiert hat, weil über Jahre gewachsen.

    Das Primärproblem hier ist On-Prem IT. Die Cloudprovider kaufen den Talent-Markt lehr und alle On-Prem werden um dieselben Talente, können aber keine guten Gehälter zahlen.

  14. Re: "eine so schwerwiegende Attacke"

    Autor: tomatentee 08.11.21 - 09:01

    Magroll schrieb:
    --------------------------------------------------------------------------------
    > Sorry, aber Du hast entweder absolut keinen Plan, oder beziehst Dich auf
    > eine Firma mit 1 bis 2 Servern und kleiner 10 Clients.
    >
    Oh, das Gegenteil ist der Fall. Wir betreiben aktuell knapp 10.000 individuelle Serviceinstanzen auf gut 300 Servern aufgeteilt auf aktuell rund 25 Cluster.

    > Ein Unternehmen mit mehreren hundert Mitarbeitern und verteilter
    > Infrastruktur setzt sowas nicht in Tagen wieder auf, sondern in Wochen.
    > Allein die Forensik braucht meistens schon mehrere Tage, wenn es ein
    > komplexerer Angriff mit Tools wie Cobalt Strike o.ä. war.
    >
    Das ist Unsinn. Wir können ~50% unserer Cluster binnen 2h from Scratch wiederherstellen. Den Rest zwischen 4 und 8h. Keiner unserer Cluster braucht mehr als 1PT zum kompletten Wiederaufbau. Das einzige was wir brauchen ist Zugriff auf die Backups, einen der git-mirrors und einen AWS oder Azure Account.
    Und ja, das funktioniert, wir haben regelmäßige Disaster-Recovery Tests um sicherzustellen, dass wir unsere SLAs einhalten können.

    > Und wenn Du dann Dein AD [...] komplett aufsetzen darfst,
    >
    AD gibt's hier weit und breit nicht. Ich denke wir kommen dem Problem näher ;-)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Mitarbeiter*in mit Schwerpunkt Betrieb / Support von Arbeitsplatz-Komponenten
    Deutsche Bundesbank, Stuttgart
  2. Mitarbeiter (m/w/d) IT Support / Service Desk
    Camfil APC GmbH, Tuttlingen, Reinfeld
  3. IT Systemadministrator (m/w/x) - IT Inhouse
    über grinnberg GmbH, Frankfurt am Main
  4. Inhouse Berater (m/w/d) ERP / Prozessmanagement
    Goldbeck GmbH, Bielefeld, Hamm, Leipzig, Plauen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de