UnleashThebeast
unsäglicher Prolet
|
Für sowas gibts halt hot & cold spares, und wenns die nicht gibt, würd ich direkt amal anfangen, den ISO und alle Infrastrukturverantwortlichen beim AMS anzumelden.
|
Smut
takeover & ether
|
Semmerl hats eh schon gesagt.
Das System ist kompromittiert, da spiel ich keine Backups mehr ein sondern haus weg und fang vo vorne an, alles andere is grob fahrlässig. Hm. Gibt schon Methoden wie du das hinbekommst. Oft genug gemacht mit monatelangen Intensiv Kontrollen ob noch etwas im Netzwerk auftaucht. Wichtig ist halt dass man die notwendige Sichtbarkeit und auch Werkzeug hat. Wenn es wirklich 10 Tage sind dann ist das eh nichts. In der Regel sind die Angreifer Monate voraus wenn sie zuschlagen.
|
Viper780
ModeratorEr ist tot, Jim!
|
Du kannst nicht 100% im Coldstore vorhalten und dann ohne Spare für Jahre Live gehen
Wenn ich nicht irre haben wir im Server Bereich gut 15% Spare und im Infrastruktur um die 5-8%
Für beides wurden wir gerügt von unabhängigken Prüfern weils deutlich über der Ausfallrate ist.
(für Wachstum wurde von vornherein überprovisiniert um OPEX gering und Flexibilität hoch zu halten)
|
Michi
¯\_(ツ)_/¯
|
Semmerl hats eh schon gesagt.
Das System ist kompromittiert, da spiel ich keine Backups mehr ein sondern haus weg und fang vo vorne an, alles andere is grob fahrlässig. ... wenns blöd hergeht, kanns auch passieren, dass du die komplette Hardware kübeln kannst, wie es letztes Jahr einem großen Österr. Unternehmen passiert ist...
|
Viper780
ModeratorEr ist tot, Jim!
|
@Smut Was für Werkzeuge empfiehlst du? Wenn es wirklich 10 Tage sind dann ist das eh nichts. In der Regel sind die Angreifer Monate voraus wenn sie zuschlagen. Aktuell scheint sich die Frist zu verkürzen. Die Verschlüsselungsalgos sind deutlich flotter geworden (TB in Minuten) und die Früchte der Arbeit wollen gemolken werden. Sind ja auch Ressourcen die bei den Gruppen gebunden ist und die Lizenzkosten für die Frameworks und Exploits scheint auch in die Höhe zu gehen. Nicht zu selten werden die zu gemietet oder Anteilig am Profit bezahlt. Jedenfalls was ich aus den Whitehat Kreisen der CERT höre
|
COLOSSUS
AdministratorGNUltra
|
Die Verschlüsselungsalgos sind deutlich flotter geworden (TB in Minuten) DAS war aber echt noch nie ein Bottleneck bei der Sache.
|
Smut
takeover & ether
|
@Smut
Was für Werkzeuge empfiehlst du? Es hängt extrem von der Umgebung und eingesetzten ransomware toolchain ab. Wenn es keine application exploits sind sondern auf Systemebene, was imho am häufigsten ist bei ransomware, dann sofort eine EDR Software im prevention mode aufbringen. Dadurch hast du mal Sichtbarkeit und kannst zentral hosts Isolieren. Parallel schauen woher der Angriff gekommen ist und diese Lücken schließen. Wenn die Domäne kompromittiert wurde beginnen alle Privilegierten Accounts das Passwort zurückzusetzen inkl. Granting tickets etc. dann beobachten zb mit Microsoft ATA und mit zeitlichen abstand alle Accounts zurücksetzen. Gibt natürlich verschiedene vorgehensweisen und ist ganz stark abhängig davon was passiert ist, was eingesetzte wird und wieviel manpower+know how bereitsteht. EDR ist aber imho der fix startet weil es einfach extrem viel Sichtbarkeit bringt. DAS war aber echt noch nie ein Bottleneck bei der Sache. ack. AES-NI in intel CPUs hat schon lange jeden storage outperformed. selbst ein einfacher laptop schafft da schnell mal 5gb/s. problem heute ist eher der extrem performante NAS storage basierend auf flash speicher. da geht ein wipen heute leider verdammt schnell.
Bearbeitet von Smut am 28.05.2022, 13:09
|
Viper780
ModeratorEr ist tot, Jim!
|
DAS war aber echt noch nie ein Bottleneck bei der Sache. Jein - damals so um 2015/2016 herum hatten wir einen recht einfachen Verschlüsselungs Trojaner (eingeschleust über ein Macro im Word) recht rasch erkennen können und entsprechend alles wichtige abgeschottet. Aber das Limit waren da vorallem die HDD. @smut Vielen Dank. Endpoint security Software sollte eh recht flott Standard sein. Bei uns sind alle Admin Zugänge über 2FA gesichert und nur intern oder per VPN (ebenfalls 2FA nicht in einer Domain) verwendbar
|
UnleashThebeast
unsäglicher Prolet
|
Du kannst nicht 100% im Coldstore vorhalten und dann ohne Spare für Jahre Live gehen
Wenn ich nicht irre haben wir im Server Bereich gut 15% Spare und im Infrastruktur um die 5-8%
Für beides wurden wir gerügt von unabhängigken Prüfern weils deutlich über der Ausfallrate ist.
(für Wachstum wurde von vornherein überprovisiniert um OPEX gering und Flexibilität hoch zu halten) Also wenn man Business Critical Infrastructure hat mit 5Jahren Lieferzeit, dann hat man da schon 100% coldspare zu haben, egal was so ein Firmanzugträger con McKinsey dazu sagt…
|
spunz
Super ModeratorSuper Moderator
|
Sorry, aber ich kenne niemanden der seine redundante Umgebung nochmals komplett als "Coldspare" vorhält. Die meisten Unternehmen haben ja nicht mal redundante Systeme. Wenn die verbauten Fortigate Firewalls eines der möglichen Einfallstore waren, würde ich die Coldspares eher entsorgen als damit eine neue Umgebung aufzubauen 
|
UnleashThebeast
unsäglicher Prolet
|
Naja, welche Fortigate (brrr) hat denn 1-5Jahre Lieferzeit?
|
spunz
Super ModeratorSuper Moderator
|
Ich weiß jetzt nicht was du überhaupt mit diesen random Liferzeiten willst? Ev reden wir gerade aneinander vorbei.
Hättest du vor 2 Jahren mit 200-250 Tagen Lieferzeit für einen 08/15 Cisco ISR4300 oder 8300 gerechnet?
|
böhmi
AdministratorSpießer
|
Ich stell mir gerade unsere GF vor, wenn ich unsere gesamten Siemens OT-Linienswitches als Coldspare noch einmal bestelle, weil‘s plötzlich 12 Monate Lieferzeit haben  Am besten alle S7-1200 und 1500 auch dazu. Da kann ich mich auch gleich beim AMS anmelden
|
UnleashThebeast
unsäglicher Prolet
|
Ich weiß jetzt nicht was du überhaupt mit diesen random Liferzeiten willst? Ev reden wir gerade aneinander vorbei.
Hättest du vor 2 Jahren mit 200-250 Tagen Lieferzeit für einen 08/15 Cisco ISR4300 oder 8300 gerechnet? Ich hab nicht damit angefangen Wir haben das mal durchgerechnet und für das bissl was wir haben würden wir trotz Hilfe der Muttergesellschaft Lieferzeiten von 1-5 Jahre haben. Vom Finanziellen sprechen wir da nicht mal (wären eh CAPEX und würden nur die Zinsen relevant sein) Ich stell mir gerade unsere GF vor, wenn ich unsere gesamten Siemens OT-Linienswitches als Coldspare noch einmal bestelle, weil‘s plötzlich 12 Monate Lieferzeit haben
Am besten alle S7-1200 und 1500 auch dazu.
Da kann ich mich auch gleich beim AMS anmelden Ich stell mir auch eure GF vor, wenn die tollen Siemensdinger auf einmal alle hinich sind und die Bude dann 12 Monate steht... Aber das is halt das Standardproblem in der IT. Wenn alles läuft und funktioniert, kannst dir anhören, wofür du eigentlich bezahlt wirst. Und wenn was hinich is dann auch...
|
Viper780
ModeratorEr ist tot, Jim!
|
Wurscht welche Netzwerk Hardware ab einer gewissen größe musst mit 2-9 Monaten rechnen.
Alleine unsere Cisco Top of Rack Switches haben über ein Jahr Lieferzeit.
November 2021 bestellt und aktuell siehts so aus dass sie erst 2023 geliefert werden.
Eine kleine Palo Alto Firewall mit VPN für unsere OOB Verbindung hatte jetzt ein 3/4 Jahr gedauert.
HP DL380 Gen8 oder Gen10 3Monate (für kleine Mengen)
Fortigates hab ich jetzt kein aktuelles Angebot. Würd mich aber wundern wennst da 2-3 Stück welche 100Gbit können heuer noch bekommst.
|
Anmeldung