Ransomware Schutz

dj-hotline

Cadet 4th Year
Registriert
Sep. 2007
Beiträge
105
Hallo Gemeinde,

ich suche ein paar Ansätze zum Schutz vor Ransomware. Ich werde zum Jahresende den Arbeitgeber wechseln. Der neue Arbeitgeber hat bisher nichts in dieser Richtung unternommen bzw. fehlt dem bisherigen Dienstleister das nötige Know-How.

Die Üblichen Blogs, Fachartikel (Franky und Co.) habe ich im Blick.

Geplant ist:
Ich möchte in Zukunft mit SRPs arbeiten und diese Zentral verwalten über eine Drittanbieter Software (Name kann ich auf Nachfrage nennen)

Netze Segmentieren und trennen incl. einem bereits konfigurierten vlan in das kompromittiere Clients verschoben werden im Falle eine Falles. Das fällt mir häufig auf wenn ich zu solchen einsetzen Fahre das keine Vorkehrungen für den Fall getroffen werden.

Ich habe aktuell lediglich einen Lancom (LANCOM 1781VAW) und GData zur Verfügung. Ersteren möchte ich gerne kurzfristig loswerden. Bei Gdata bin ich aufgrund der Lizenz noch min. 2 Jahre gebunden.

Offene Punkte sind die Absicherung meines Mailgateway

Kennt jemand eine Möglichkeit am Mailgateway (Exchange Server) oder besser bereits davor Office Dokumente mit Makros/Scripts aussortieren zu lassen? Hat jemand mit Erfahrungen mit Proxmomx Mailgaetway? Sonst bleibt mir nur die Möglichkeit mit Code2 die Anhänge abzuschneiden und nicht zu zu stellen.

Interessant finde ich z.b. den Ansatz die Mailadresse in Outlook anzeigen zu lassen damit der Anwender erkennen kann wenn der Anzeigename nicht mit der Mailadresse übereinstimmt.

Wie habt ihr Mitarbeiter sensibilisiert und geschult in diesem Bereich?

LG, d33jay
 
dj-hotline schrieb:
Ich habe aktuell lediglich einen Lancom (LANCOM 1781VAW) und GData zur Verfügung. Ersteren möchte ich gerne kurzfristig loswerden.
Darf man fragen durch was der Lancom ersetzt werden soll?
dj-hotline schrieb:
Drittanbieter Software (Name kann ich auf Nachfrage nennen)
Gerne kannst du uns die Software nennen.
 
Ransomware: brauchbare regelmäßige Backups oder neumodisch DLP (Data Loss Prevention). Willst du die Ausführung verhindern helfen Einstellungen wie AppLocker. Da muss es kein explizites whitelisting sein, es reicht oft schon wenn man nicht aus jedem Pfad heraus Programme ausführen darf. Außerdem UAC hoch setzen.

Netzsegmentierung: Wie willst du denn (automatisiert) infizierte Clients verschieben bzw. wozu? Im besten Fall wird der Client komplett vom Netz getrennt und neu aufbereitet. Ansonsten sind VLANs natürlich sinnvoll.

Ob jetzt GData oder anderes Schlangenöl ist doch fast egal. Zentral managebar sind fast alle AV-Lösungen, GData bot früher zumindest noch nette Zusatzfeatures wie unbekannte USB-Geräte sperren etc.
Primär auf Ransomware Schutz spezialisiert sind da eher Lösungen wie Cylance Protect oder SentinelOne, afaik aber haben die weniger "Zusatzfunktionen". Ist am Ende immer ne Geldfrage was man will/einsetzt.

Mailgateway: Die Proxmox-Lösung hatte ich vor ~2 Jahren mal beruflich evaluiert und analysiert und ist durchgefallen. Die Kernanwendung mag zwar ihren Job machen und Mails filtern können aber afaik kann es Office Makros nur mit Zusatzlizenzen von Drittanbietern scannen & ggf. entfernen. Drittanbieter sind die üblichen Schlangenöl Hersteller. Musst also bei denen ebenfalls eine mit proxmox mgw kompatible Lizenz erwerben und im mgw einrichten. Ansonsten bieten Kaspersky, Trend Micro, Symantec, Proofpoint, etc. Hier eine Liste als Start für deine Evaluierung. https://www.expertinsights.com/insights/top-11-email-security-gateways/
Gibt aber auch einige Open Source Lösungen in Kombination mit nem Postfix, vielleicht nicht das richtige für eine kleine Firma wenn nicht ein Linux-affines Systemhaus dies betreut...

Anpassung Exchange um den realen Absender anzeigen zu lassen: https://github.com/SwiftOnSecurity/SwiftFilter
Aber das ist kleine Klick-Klick-weiter-weiter-fertig Lösung die man einmal installiert und vergisst sondern erfordert etwas Aufwand bei der Implementierung, da es eben an die jeweilige Firma angepasst werden muss.

Mitarbeiter Awareness: Externe Anbieter einkaufen, die dies tagtäglich machen außer ihr seid eine große Firma oder Konzern mit eigener IT-Security Abteilung. Solche Schulungen müssen jedoch regelmäßig wiederholt werden damit sich das Verständnis und der Grund warum man dies macht bei den Mitarbeitern einprägt. Ganz wichtig ist jedoch am Anfang so eines Prozesses den Leuten klar zu machen: Jeder ist für phishing anfällig (ja auch diejenigen, die beruflich IT-Security machen) und das es in keiner Art und Weise darum geht, einzelne Mitarbeiter zu finden, die anfällig sind sondern eben die Sicherheit aller zu verbessern. Wenn es aber in der Firma keine gute offene Fehlerkultur gibt und auch von den Vorgesetzten nicht vorgelebt wird dann werden Awareness Maßnahmen kaum etwas bringen weil sich dann keiner anfangs traut auf etwas hinzuweisen.
 
  • Gefällt mir
Reaktionen: Nizakh
Das automatische Isolieren von Infizierten Clients ist mit diversen Security Lösungen, die von NGFW bis Endpoint Protection alles abdecken, möglich.

Letztendlich stellt sich immer die Frage: Was kannst du investieren? Was kannst du selber machen? Wo fehlt dir Know-How? (Und wie kannst du das fehlende Know-How auffüllen) Abschließend kann man auch noch hinzufügen: Der Einsatz von Open-Source Systeme ist auf den ersten Blick immer sehr verlockend, da scheinbar nur nur geringe Kosten anfallen. Das täuscht allerdings häufig, denn es muss natürlich häufig auch mehr Arbeitszeit investiert werden - unter anderem im Aufbau von Skill (mit ggf. erforderlichen externen Schulungen auch noch ein Kostenfaktor). Daher ist es ggf. sinnvoll in Zusammenarbeit mit einem IT-Dienstleister eine angemessene Lösung zu erarbeiten. Denke auch daran: Wenn du in deiner Firma der einzige bist, der die Lösung betreuen kann: Dann darfst du auch im Fehlerfall/Totalausfall zu jeder Zeit springen ;)
 
Zuletzt bearbeitet:
dj-hotline schrieb:
...und GData zur Verfügung...

die können das...

826365


dj-hotline schrieb:
Office Dokumente mit Makros/Scripts aussortieren zu lassen

Dazu eine ordentliche UTM Firewall wie Watchguard.
Mit den SMTP Proxy DIensten lassen sich E-Mail Anhänge White und Blacklisten und auch auf Makros durchsuchen.

Bei den meisten meiner Kunden kommen gar keine Office Dokumente mehr als E-Mail Anhang durch die Firewall.
 
Hallo,

vielleicht kurz zu mir, ich wechsele von einem Systemhaus in die interne IT bzw. baue diese Abteilung über die nächsten Jahre auf. Bin also vom Fach. Meine Gebiete sind Hyper-V, Active Directory, Exchange veeam usw. Was einem eben im Systemhausgeschäft alles über den weg läuft.

Nizakh schrieb:
Darf man fragen durch was der Lancom ersetzt werden soll?

Die Üblichen verdächtigen Sophos, Baracuda und Co. Eine Firewall kann nur so gut sein wie der der Sie betreut/konfiguriert. Hier spiele ich eher mit dem Gedanken eine Managed Produkt zu verwenden (z.B. Networkbox) oder was vergleichbares.

Wir haben ein eigenes Team das Netzwerktechnik und Firewalls betreut. Daher kann ich das einschätzen. Eine Grundkonfiguration bekomme ich hin. Das auszubauen und Weiterentwickeln wird neben dem Tagesgeschäft nur schwer möglich sein.

Nizakh schrieb:
Gerne kannst du uns die Software nennen.

Mit SRP arbeiten macht nur bedingt Spaß. Hier könnte man mit Anti Ransom (Modul von Server Eye) relativ einfach arbeiten. Auch wenn mir die fehlende Vererbung nicht gefällt. Kein Produkt ist perfekt :)

Applocker steht mir Aufgrund der Lizenzstruktur nicht zur Verfügung (Setzt Windows 10 Enterprise voraus)

snaxilian schrieb:
Ransomware: brauchbare regelmäßige Backups oder neumodisch DLP (Data Loss Prevention).

Das Thema Backup muss ich umbauen und ist schon fertig geplant.


snaxilian schrieb:
Willst du die Ausführung verhindern helfen Einstellungen wie AppLocker. Da muss es kein explizites whitelisting sein, es reicht oft schon wenn man nicht aus jedem Pfad heraus Programme ausführen darf. Außerdem UAC hoch setzen.

Whitelisting hat den "höchsten" Schutz macht auch am meisten Aufwand. Wäre aber mein Weg der Wahl.

snaxilian schrieb:
Netzsegmentierung: Wie willst du denn (automatisiert) infizierte Clients verschieben bzw. wozu? Im besten Fall wird der Client komplett vom Netz getrennt und neu aufbereitet. Ansonsten sind VLANs natürlich sinnvoll.

Das Vlan "666" soll bereits konfiguriert sein. Ist etwas unklar kann man das System in das entsprechende vlan verschieben und sich in ruhe anschauen. Offline Scans mit entsprechenden CDs benötigen eine Internetverbindung um Pattern zu aktualisieren. Nicht jede Meldung/Virus bedeutet ein sofortige Neuinstallation. Sofern man nachvollziehen kann was passiert ist. Sonst natürlich gebe ich dir recht. Im Zweifelsfall platt machen.

Das setzt eine saubere Dokumentation der Struktur voraus. Angeblich hat man in der internen IT ja immer Zeit und nichts zu tun.... Ich freue mich schon :)


snaxilian schrieb:
Ob jetzt GData oder anderes Schlangenöl ist doch fast egal. Zentral managebar sind fast alle AV-Lösungen, GData bot früher zumindest noch nette Zusatzfeatures wie unbekannte USB-Geräte sperren etc.

Primär auf Ransomware Schutz spezialisiert sind da eher Lösungen wie Cylance Protect oder SentinelOne, afaik aber haben die weniger "Zusatzfunktionen". Ist am Ende immer ne Geldfrage was man will/einsetzt.

Da sich Windows Defender nicht Zentral ohne weiteres Managen lässt (SCCM) bleibt mir nur eines dieser Schlangenöl Produkte. Die anderen schaue ich mir an.


snaxilian schrieb:
Mailgateway: Die Proxmox-Lösung hatte ich vor ~2 Jahren mal beruflich evaluiert und analysiert und ist durchgefallen. Die Kernanwendung mag zwar ihren Job machen und Mails filtern können aber afaik kann es Office Makros nur mit Zusatzlizenzen von Drittanbietern scannen & ggf. entfernen. Drittanbieter sind die üblichen Schlangenöl Hersteller. Musst also bei denen ebenfalls eine mit proxmox mgw kompatible Lizenz erwerben und im mgw einrichten. Ansonsten bieten Kaspersky, Trend Micro, Symantec, Proofpoint, etc. Hier eine Liste als Start für deine Evaluierung. https://www.expertinsights.com/insights/top-11-email-security-gateways/
Aktuell zeigt der MX-Eintrag direkt auf den Exchange. Ein Mailgateway davor gibt es nicht. Das passt mir nicht. Daher die Frage richtung Proxmox. Werde mir kurzfristig wohl einen Dienstleister für Mailfilterung besorgen. So kann es nicht bleiben.

snaxilian schrieb:
Anpassung Exchange um den realen Absender anzeigen zu lassen: https://github.com/SwiftOnSecurity/SwiftFilter

Aber das ist kleine Klick-Klick-weiter-weiter-fertig Lösung die man einmal installiert und vergisst sondern erfordert etwas Aufwand bei der Implementierung, da es eben an die jeweilige Firma angepasst werden muss.

Hier denke ich einfacher https://www.howto-outlook.com/howto/viewsenderaddress.htm so kann auch der Anwender sehen woher das kommt. Setzt natürlich voraus das man die Mitarbeiter sensibilisiert.



snaxilian schrieb:
Mitarbeiter Awareness: Externe Anbieter einkaufen, die dies tagtäglich machen außer ihr seid eine große Firma oder Konzern mit eigener IT-Security Abteilung. Solche Schulungen müssen jedoch regelmäßig wiederholt werden damit sich das Verständnis und der Grund warum man dies macht bei den Mitarbeitern einprägt. Ganz wichtig ist jedoch am Anfang so eines Prozesses den Leuten klar zu machen: Jeder ist für phishing anfällig (ja auch diejenigen, die beruflich IT-Security machen) und das es in keiner Art und Weise darum geht, einzelne Mitarbeiter zu finden, die anfällig sind sondern eben die Sicherheit aller zu verbessern. Wenn es aber in der Firma keine gute offene Fehlerkultur gibt und auch von den Vorgesetzten nicht vorgelebt wird dann werden Awareness Maßnahmen kaum etwas bringen weil sich dann keiner anfangs traut auf etwas hinzuweisen.

Der beste Schutz ist und bleibt der Mitarbeiter selbst. Interessant wäre zu hören wer mit soclhen Schulungsanbietern Erfahrungen sammeln konnte. Die letzte Veranstaltung zu dem Thema war sehr enttäuschend.

nubi80 schrieb:
Bei den meisten meiner Kunden kommen gar keine Office Dokumente mehr als E-Mail Anhang durch die Firewall.

Da ich bereits mit Code2 Exchange Rules pro die Signaturen zentralisieren werde lässt sich das sehr bequem steuern und Aussortieren was mit bestimmten Anhängen passieren soll. Eine Nextcloud zum Datenaustausch ist in einer Stunde eingerichtet und Startbereit.

Es gab bereits ein AHA Erlebnis... Daher wurde auch die stelle geschaffen. Ich werde Grundsätzlich sofern möglich mit meinem ehemaligen Arbeitgeber als Systemhaus zusammenarbeiten wollen. Ich kenne leute und das Know-How das Sie mitbringen. Außerdem möchte ich auch mal Urlaub machen.

Was ich bisher gesehen habe Zeigt es gibt immer noch zu viele IT-Firmen die besser Gartenbau oder Ähnliches machen würden.

Ideen habe ich viele und auch hoffentlich die Zeit Sie um zu setzen. Nicht alles kostet sofort Geld. Einfaches Geoblocking sperrt schon viele 0815 Bots aus. Niemand aus Russland oder China muss sich an meinem OWA anmelden können.
Netze sollten in Logistik, Verwaltung, Lager usw. gesplittet werden. Der Zugriff bis auf die Nötigen Ports und IPs zusammengestaucht werden.

LG, d33jay
 
Zuletzt bearbeitet:
Mit Win 10 1803 gab es an die 30 neuen GPOs und neue fertige AMDXs zur Verwaltung vom Defender. Alternativ geht Defender auch mit Intune. Der SCCM ist dafür nicht notwendig.

In besagtem alten Projekt haben wir uns aus diversen Gründen gegen die Proxmox-Lösung entschieden. Neben den o.g. Anbietern sollte auch jeder NGFW Anbieter eine passende Mailappliance anbieten oder dies als Cloudservice anbieten. Palo Alto & Proofpoint bieten das als Service an, Fortinet hat seine Fortimail als Appliance oder Service, Checkpoint hat bestimmt auch was passendes, Sophos will sowieso alles können angeblich^^

Whitelisting jeder einzelnen ausführbaren Datei ist auch ein Overkill aber mit ein paar generischen Regeln erreicht man einen hohen Schutz. Es reicht ja wenn C:\program files\, C:\program files (x86)\ und ne handvoll Windows Binaries laufen. c't hatte in die Richtung mal eine Artikelserie, ansonsten das hier auf die Schnelle gefunden: https://www.gruppenrichtlinien.de/a...triction-policies-loecher-im-sicherheitszaun/
Es gibt haufenweise gute frei zugängliche Tools und Methoden, wer sich jedoch nicht viel/gerne/hauptsächlich mit IT-Security beschäftigt muss eben für Zusatztools in die Tasche greifen. Ist ja nicht negativ gemeint und vielfach bleibt einem KMU auch nix anderes übrig.

Für Awareness Schulungen würde ich Richtung Heinlein Academy oder Secunet schielen, ggf. findest auch Kunden von denen als Referenz die man mal ansprechen kann. Ansonsten kenne ich noch SoSafe, IT-Seal, CycleSec
 
snaxilian schrieb:
Mit Win 10 1803 gab es an die 30 neuen GPOs und neue fertige AMDXs zur Verwaltung vom Defender. Alternativ geht Defender auch mit Intune. Der SCCM ist dafür nicht notwendig.

Ja Konfigurieren lässt es sich damit. Du hast aber keine Rückmeldung über Zustand oder Funde. Das lässt sich nur über Monitoring lösen oder die Berichte aus dem SCCM. Habe mir die nie wirklich angeschaut.

snaxilian schrieb:
In besagtem alten Projekt haben wir uns aus diversen Gründen gegen die Proxmox-Lösung entschieden. Neben den o.g. Anbietern sollte auch jeder NGFW Anbieter eine passende Mailappliance anbieten oder dies als Cloudservice anbieten. Palo Alto & Proofpoint bieten das als Service an, Fortinet hat seine Fortimail als Appliance oder Service, Checkpoint hat bestimmt auch was passendes, Sophos will sowieso alles können angeblich^^
Sophos ist als eierlegende Wollmilchsau preislich vermutl. die beste mittelfristige Lösung bis Größe des Unternehmens und die Anforderungen entsprechend wachsen und entsprechende Mehrausgaben rechtfertigen. Mein Budget ist nicht klein aber auch nicht unbegrenzt.

snaxilian schrieb:
Whitelisting jeder einzelnen ausführbaren Datei ist auch ein Overkill aber mit ein paar generischen Regeln erreicht man einen hohen Schutz. Es reicht ja wenn C:\program files\, C:\program files (x86)\ und ne handvoll Windows Binaries laufen. c't hatte in die Richtung mal eine Artikelserie, ansonsten das hier auf die Schnelle gefunden: https://www.gruppenrichtlinien.de/a...triction-policies-loecher-im-sicherheitszaun/
Es gibt haufenweise gute frei zugängliche Tools und Methoden, wer sich jedoch nicht viel/gerne/hauptsächlich mit IT-Security beschäftigt muss eben für Zusatztools in die Tasche greifen. Ist ja nicht negativ gemeint und vielfach bleibt einem KMU auch nix anderes übrig.

Ich dachte daran alles was nicht in c:\Windows und c:\Programme liegt zu verbieten und nur gegen Freischaltung zu erlauben. Anwender haben Grundsätzlich keine Admin rechte. Daher sollte sich dort nur Anwendungen befinden die auch vorhanden sein sollten.


Für Deployment bzw. Updates schaue ich mir gerade batchpatch.com an. Ist günstig und auf den ersten Blick zum aktuellen Zeitpunkt ausreichend.

snaxilian schrieb:
Für Awareness Schulungen würde ich Richtung Heinlein Academy oder Secunet schielen, ggf. findest auch Kunden von denen als Referenz die man mal ansprechen kann. Ansonsten kenne ich noch SoSafe, IT-Seal, CycleSec

Danke!

LG, d33jay
 
dj-hotline schrieb:
Sophos ist als eierlegende Wollmilchsau preislich vermutl. die beste mittelfristige Lösung bis Größe des Unternehmens und die Anforderungen entsprechend wachsen und entsprechende Mehrausgaben rechtfertigen. Mein Budget ist nicht klein aber auch nicht unbegrenzt.
Ich selbst mach Check Point sehr gerne. Sophos ist aber "einfacher". Fortinet bietet in meinen Augen das beste P/L Verhältnis wenn Durchsatz eine Rolle spielt, da die Hardware sehr Leistungsfähig ist -> den ASICs sei Dank.
Ich würde mir daher an deiner Stelle Angebote zu Sophos und Fortinet reinholen.

Was ich bei Sophos allerdings nicht mag ist der Sandboxing Ansatz -> Sandboxing aus der Cloud kommt mir nicht in die Firma :D Aber das muss man ja nicht mitbestellen ;) Denk auch dran das du vermutlich einen Cluster betreiben möchtest. Das solltest du bei der Angebotseinholung berücksichtigen.
 
Ich werfe mal noch den NoSpamProxy und Cylance in die Runde. Fahre damit ziemlich gut.
 
guck dir Sophos Intercept X Advanced an
 
Zurück
Oben