Anti-Virus Vendor of Choice 2015?

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3607

10.05.2017 - 18:39

Zitat aus einem Post von Viper780
Wie machst du das im Firmenumfeld?
Wir hatten durch eine Verbund Rechnung einen Crypto Trojaner befall. Der auch gleich alle Netz shares unbrauchbar gemacht hat. Trotz McAfee Enterprise. Obwohl alle sensibilisiert sind und wir eine Softwarefirma.

Backup hats gerichtet, aber nur am Server und dort hatten wir gut 48h Datenverlust. Befallene Clients mussten neu aufgesetzt werden (hier gibt's kein Back, somit alle Daten weg). Im Grunde war ein Arbeitstag für die ganze Firma dahin und alle Befallenen und die IT war a knappe Woche damit beschäftigt.

Im Firmenumfeld is das ungleich schwerer - schon klar

.

Zahlen würd ich bei sowas nicht. Wenn das System einmal kompromittiert ist, kann man ihm nichtmehr vertrauen, Punkt.

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

10.05.2017 - 18:46

Wenn deine Buchhaltung auf dem Laufwerk ist und du kein Backup hast, zahlst du auch

Neu aufgesetzt wurde dann sowieso.

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3607

10.05.2017 - 18:56

Wichtig kanns ja nicht gwesen sein, wenns kein Backup gibt :P

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

10.05.2017 - 18:58

Tja.. ich glaub jetzt habens ein Backup

Unholy

Freak

Registered: Jan 2001
Location: Vienna
Posts: 3571

10.05.2017 - 19:13

wir haben Traps im Einsatz
https://www.paloaltonetworks.com/pr...-endpoint/traps

klar war nicht billig aber tut brav was es soll, davor hatten wir sehr oft den Fall einer Verschlüsselung - aber hey das Backupkonzept wirkte/funktionierte

mussten daher nie zahlen

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15868

10.05.2017 - 22:34

ne palo alto muss man sich halt auch erstmal leisten können (und bedienen)

im letzten jahr habe ich sicher 7 oder 8x einen crypto bei kunden gehabt
die die wir direkt verwalten waren kein problem weils ein backup gab, die die nur infrastruktur nutzen mussten teilweise zahlen und das eben nicht wenig

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9051

11.05.2017 - 08:21

bei uns ist inzwischen wenigstens ruhe.
wir hatten vorher eine Cisco ASA im einsatz und zwischendurch doch immer wieder mal den einen oder anderen befall. unter anderem natürlich auch cryptolocker, die dann gleich auch alle netzwerklaufwerke auf die die betroffenen kollegen zugriff hatten, verschlüsselt haben. zum glück haben wir ein gutes backup konzept am laufen...

seit wir aber auf barracuda gewechselt haben ist ruhe im karton! deren advanced thread detection ist nicht unintressant. verdächtige dateien (besonders executables) werden beim download abgefangen und zu barracuda gesendet. dort werden sie dann praktisch in einer isolierten VM ausgeführt und bei verdacht ein report an dich gesendet. ansonsten wird der download wie gewohnt abgeschlossen, dauert halt nur ein wenig länger.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

11.05.2017 - 10:42

Kostet halt einiges das ATD Feature. Kann aber Cisco asa BTW auch. vermutlich aber derzeit das beste um es vorab zu prüfen ohne in zuviele false positives zu laufen.

questionmarc

Here to stay

Registered: Jul 2001
Location: -
Posts: 5054

11.05.2017 - 11:12

Sophos UTM kann das auch: https://www.sophos.com/de-de/produc...management.aspx
da kam vor geraumer zeit zusätzlich zu den ganzen fullguard features noch eine extra subscription dazu,
sandstorm: https://www.sophos.com/de-de/medial...na.pdf?la=de-DE

lösungen gäbs ja am markt, aber security wird grade bei den österreichischen kmu's halt meist noch stiefmütterlich behandelt,
entweder hams glück ghabt und es ist ihnen noch nie was passiert, oder sie haben gar kein bewusstsein dafür. und budget für ordentliche lösungen muss auch erst mal locker gemacht werden

ein funktionierendes backup ist natürlich sowieso pflicht, wir fahren da schon länger mit arcserve udp ganz gut, tolle features jetzt in 6.5, virtual standby zb, fährt eine vm direkt aus dem backup hoch und die produktivumgebung ist schnell wieder am laufen

edit: das feine an sophos ist, dass die enterprise features von der kleinsten box bis zur größten immer dieselben sind,
somit ist das auch für kleinere umgebungen absolut leistbar, die ausrede, bestmögliche sicherheit kostet ein vermögen lass ich somit bei unseren kunden nicht gelten

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19836

11.05.2017 - 11:30

Das "feine", für mich ist Sophos nur eine unnötige Krücke, und das eine mal als das Netzwerk infiziert wurde war nichts in der Definition File von dem >1 Jahr alten Trojaner

/Edit:

btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt:

"SophosAdministrator"
"SophosOnAccess"
"SophosPowerUser"
"SophosSAUDOMAINCONTROLLERNAME"
"SophosUser"

Der ist ja selbst schon ein Trojaner

Bearbeitet von daisho am 11.05.2017, 11:33

questionmarc

Here to stay

Registered: Jul 2001
Location: -
Posts: 5054

11.05.2017 - 14:48

Zitat aus einem Post von daisho
Das "feine", für mich ist Sophos nur eine unnötige Krücke, und das eine mal als das Netzwerk infiziert wurde war nichts in der Definition File von dem >1 Jahr alten Trojaner
/Edit:

btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt:

"SophosAdministrator"
"SophosOnAccess"
"SophosPowerUser"
"SophosSAUDOMAINCONTROLLERNAME"
"SophosUser"

Der ist ja selbst schon ein Trojaner

wir reden hier nicht von den endpoint-produkten sondern von gateway security (siehe cisco asa und palo alto weiter oben).
sophos utm hat nichts mit den endpoint-produkten von gemein sondern kommt eigentlich vom zukauf der astaro ag, bald 10? jahre her..
heartbeat verknüpft zwar endpoint mit gateway (stichwort synchronized security), aber dennoch ist sophos utm am markt top platziert und definitiv bei vielen entscheidungsträgern in der engeren auswahl, wenns darum geht, sein netzwerk zu abzusichern.
mit den sg-appliances haben sie auch ein imho tolles portfolio, reporting und logging ist btw auch absolut top.

Bearbeitet von questionmarc am 11.05.2017, 14:51

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11330

11.05.2017 - 17:05

Zitat aus einem Post von daisho
btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt:

"SophosAdministrator"
"SophosOnAccess"
"SophosPowerUser"
"SophosSAUDOMAINCONTROLLERNAME"
"SophosUser"

Der ist ja selbst schon ein Trojaner

Du hast schlicht und einfach RTFM vergessen - steht im Detail im Admin Guide

In größeren Firmen ist es üblich entsprechende Rechte per AD Gruppen zu definieren. Es soll ja nicht jeder mit lokalen Adminrechten am AV herumpfuschen dürfen.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19836

11.05.2017 - 18:01

Der Client ist auf meinen Maschinen nur drauf weil er per Firmen-Policy vorgeschrieben ist (da lese ich kein Manual vorher wenn ich ihn eh installieren MUSS).

Ich habe es nur im Nachhinein halt bemerkt das er sich schön in meine Domäne eingenistet hat.

eitschpi

meeega cool

Registered: Dec 2004
Location: eierbärhausen
Posts: 4408

24.05.2017 - 09:08

Schnell, 6 Monate Gratis McAfee.

https://www.preisjaeger.at/deals/so...lus-2017-171722

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

25.05.2017 - 00:35

Geschenkt ist noch zu teuer...

UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3607	10.05.2017 - 18:39 Zitat aus einem Post von Viper780 Wie machst du das im Firmenumfeld? Wir hatten durch eine Verbund Rechnung einen Crypto Trojaner befall. Der auch gleich alle Netz shares unbrauchbar gemacht hat. Trotz McAfee Enterprise. Obwohl alle sensibilisiert sind und wir eine Softwarefirma. Backup hats gerichtet, aber nur am Server und dort hatten wir gut 48h Datenverlust. Befallene Clients mussten neu aufgesetzt werden (hier gibt's kein Back, somit alle Daten weg). Im Grunde war ein Arbeitstag für die ganze Firma dahin und alle Befallenen und die IT war a knappe Woche damit beschäftigt. Im Firmenumfeld is das ungleich schwerer - schon klar . Zahlen würd ich bei sowas nicht. Wenn das System einmal kompromittiert ist, kann man ihm nichtmehr vertrauen, Punkt.
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	10.05.2017 - 18:46 Wenn deine Buchhaltung auf dem Laufwerk ist und du kein Backup hast, zahlst du auch Neu aufgesetzt wurde dann sowieso.
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3607	10.05.2017 - 18:56 Wichtig kanns ja nicht gwesen sein, wenns kein Backup gibt :P
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	10.05.2017 - 18:58 Tja.. ich glaub jetzt habens ein Backup
Unholy Freak Registered: Jan 2001 Location: Vienna Posts: 3571	10.05.2017 - 19:13 wir haben Traps im Einsatz https://www.paloaltonetworks.com/pr...-endpoint/traps klar war nicht billig aber tut brav was es soll, davor hatten wir sehr oft den Fall einer Verschlüsselung - aber hey das Backupkonzept wirkte/funktionierte mussten daher nie zahlen
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15868	10.05.2017 - 22:34 ne palo alto muss man sich halt auch erstmal leisten können (und bedienen) im letzten jahr habe ich sicher 7 oder 8x einen crypto bei kunden gehabt die die wir direkt verwalten waren kein problem weils ein backup gab, die die nur infrastruktur nutzen mussten teilweise zahlen und das eben nicht wenig
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9051	11.05.2017 - 08:21 bei uns ist inzwischen wenigstens ruhe. wir hatten vorher eine Cisco ASA im einsatz und zwischendurch doch immer wieder mal den einen oder anderen befall. unter anderem natürlich auch cryptolocker, die dann gleich auch alle netzwerklaufwerke auf die die betroffenen kollegen zugriff hatten, verschlüsselt haben. zum glück haben wir ein gutes backup konzept am laufen... seit wir aber auf barracuda gewechselt haben ist ruhe im karton! deren advanced thread detection ist nicht unintressant. verdächtige dateien (besonders executables) werden beim download abgefangen und zu barracuda gesendet. dort werden sie dann praktisch in einer isolierten VM ausgeführt und bei verdacht ein report an dich gesendet. ansonsten wird der download wie gewohnt abgeschlossen, dauert halt nur ein wenig länger.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	11.05.2017 - 10:42 Kostet halt einiges das ATD Feature. Kann aber Cisco asa BTW auch. vermutlich aber derzeit das beste um es vorab zu prüfen ohne in zuviele false positives zu laufen.
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5054	11.05.2017 - 11:12 Sophos UTM kann das auch: https://www.sophos.com/de-de/produc...management.aspx da kam vor geraumer zeit zusätzlich zu den ganzen fullguard features noch eine extra subscription dazu, sandstorm: https://www.sophos.com/de-de/medial...na.pdf?la=de-DE lösungen gäbs ja am markt, aber security wird grade bei den österreichischen kmu's halt meist noch stiefmütterlich behandelt, entweder hams glück ghabt und es ist ihnen noch nie was passiert, oder sie haben gar kein bewusstsein dafür. und budget für ordentliche lösungen muss auch erst mal locker gemacht werden ein funktionierendes backup ist natürlich sowieso pflicht, wir fahren da schon länger mit arcserve udp ganz gut, tolle features jetzt in 6.5, virtual standby zb, fährt eine vm direkt aus dem backup hoch und die produktivumgebung ist schnell wieder am laufen edit: das feine an sophos ist, dass die enterprise features von der kleinsten box bis zur größten immer dieselben sind, somit ist das auch für kleinere umgebungen absolut leistbar, die ausrede, bestmögliche sicherheit kostet ein vermögen lass ich somit bei unseren kunden nicht gelten
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19836	11.05.2017 - 11:30 Das "feine", für mich ist Sophos nur eine unnötige Krücke, und das eine mal als das Netzwerk infiziert wurde war nichts in der Definition File von dem >1 Jahr alten Trojaner /Edit: btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt: "SophosAdministrator" "SophosOnAccess" "SophosPowerUser" "SophosSAUDOMAINCONTROLLERNAME" "SophosUser" Der ist ja selbst schon ein Trojaner Bearbeitet von daisho am 11.05.2017, 11:33
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5054	11.05.2017 - 14:48 Zitat aus einem Post von daisho Das "feine", für mich ist Sophos nur eine unnötige Krücke, und das eine mal als das Netzwerk infiziert wurde war nichts in der Definition File von dem >1 Jahr alten Trojaner /Edit: btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt: "SophosAdministrator" "SophosOnAccess" "SophosPowerUser" "SophosSAUDOMAINCONTROLLERNAME" "SophosUser" Der ist ja selbst schon ein Trojaner wir reden hier nicht von den endpoint-produkten sondern von gateway security (siehe cisco asa und palo alto weiter oben). sophos utm hat nichts mit den endpoint-produkten von gemein sondern kommt eigentlich vom zukauf der astaro ag, bald 10? jahre her.. heartbeat verknüpft zwar endpoint mit gateway (stichwort synchronized security), aber dennoch ist sophos utm am markt top platziert und definitiv bei vielen entscheidungsträgern in der engeren auswahl, wenns darum geht, sein netzwerk zu abzusichern. mit den sg-appliances haben sie auch ein imho tolles portfolio, reporting und logging ist btw auch absolut top. Bearbeitet von questionmarc am 11.05.2017, 14:51
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11330	11.05.2017 - 17:05 Zitat aus einem Post von daisho btw, was ich auch sehr "fein" finde ist, dass Sophos auf meinen VMs (eigene Testumgebung/-domäne) gleich mal still und heimlich neue Domänenuser usw. hinzufügt: "SophosAdministrator" "SophosOnAccess" "SophosPowerUser" "SophosSAUDOMAINCONTROLLERNAME" "SophosUser" Der ist ja selbst schon ein Trojaner Du hast schlicht und einfach RTFM vergessen - steht im Detail im Admin Guide In größeren Firmen ist es üblich entsprechende Rechte per AD Gruppen zu definieren. Es soll ja nicht jeder mit lokalen Adminrechten am AV herumpfuschen dürfen.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19836	11.05.2017 - 18:01 Der Client ist auf meinen Maschinen nur drauf weil er per Firmen-Policy vorgeschrieben ist (da lese ich kein Manual vorher wenn ich ihn eh installieren MUSS). Ich habe es nur im Nachhinein halt bemerkt das er sich schön in meine Domäne eingenistet hat.
eitschpi meeega cool Registered: Dec 2004 Location: eierbärhausen Posts: 4408	24.05.2017 - 09:08 Schnell, 6 Monate Gratis McAfee. https://www.preisjaeger.at/deals/so...lus-2017-171722
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	25.05.2017 - 00:35 Geschenkt ist noch zu teuer...

Anti-Virus Vendor of Choice 2015?

Forum Index > Software > Applications, Apps & Drivers

UnleashThebeast

Obermotz

UnleashThebeast

Obermotz

Unholy

userohnenamen

Umlüx

Smut

questionmarc

daisho

questionmarc

spunz

daisho

eitschpi

Crash Override