Seite 1 von 1
vSphere und Schadcode wie aktuell z.B. Locky
Verfasst: 01.03.2016, 14:05
von bjoerg75
Hallo,
zu aktuellen Meldungen würde mich einmal interessieren, wie Ihr die Sicherheit der vSphere-Umgebung und deren gehosteten VMs gewährleistet und welche Schritte Ihr gezielt durchführen würdet, wenn Ihr merkt, dass sich ein Client einen Schadcode eingefangen hat und dieser sich auch im Netzwerk ausbreitet. Strom aus, ist ja nicht die perfekte Lösung.
Vielleicht ist diese Frage ja banal, aber ich würde mich über Experten-Tipps, Ansichten und Denkweisen zu dieser Frage freuen.
Gruß Björn
Re: vSphere und Schadcode wie aktuell z.B. Locky
Verfasst: 01.03.2016, 16:34
von rprengel
bjoerg75 hat geschrieben:Hallo,
zu aktuellen Meldungen würde mich einmal interessieren, wie Ihr die Sicherheit der vSphere-Umgebung und deren gehosteten VMs gewährleistet und welche Schritte Ihr gezielt durchführen würdet, wenn Ihr merkt, dass sich ein Client einen Schadcode eingefangen hat und dieser sich auch im Netzwerk ausbreitet. Strom aus, ist ja nicht die perfekte Lösung.
Vielleicht ist diese Frage ja banal, aber ich würde mich über Experten-Tipps, Ansichten und Denkweisen zu dieser Frage freuen.
Gruß Björn
Hallo,
so wie in jeder anderen Umgebung.
Vshpere ist da ja nur indirekt mit im Spiel.
Das wichtigste sind funktionierende Backups die idealerweise weit in die Vergangenheit reichen.
Gruss
Verfasst: 01.03.2016, 20:37
von Dayworker
Wenn du dir Locky oder dergleichen eingefangen hast, ist Schnelligkeit manchmal alles. Während Locky nach einem Reboot gerne einen neuen Schlüssel verwendet, kannst du bei anderen Bedrohungen manchmal schlimmeres verhindern, wenn du die VM doch hart abschaltest oder zumindest die Netzwerkverbindung unterbrichst. Pauschal läßt sich das aber in meinen Augen nicht entscheiden.
Wie bereits geschrieben bist du immer auf ein möglichst aktuelles Backup angewiesen. Unabhängig davon, ob irgendein Tool die Bedrohung neutralisieren konnte, ist das OS in meinen Augen verbrannt und sollte neu ausgerollt werden.
Verfasst: 02.03.2016, 06:52
von rprengel
Dayworker hat geschrieben:Wenn du dir Locky oder dergleichen eingefangen hast, ist Schnelligkeit manchmal alles. Während Locky nach einem Reboot gerne einen neuen Schlüssel verwendet, kannst du bei anderen Bedrohungen manchmal schlimmeres verhindern, wenn du die VM doch hart abschaltest oder zumindest die Netzwerkverbindung unterbrichst. Pauschal läßt sich das aber in meinen Augen nicht entscheiden.
Wie bereits geschrieben bist du immer auf ein möglichst aktuelles Backup angewiesen. Unabhängig davon, ob irgendein Tool die Bedrohung neutralisieren konnte, ist das OS in meinen Augen verbrannt und sollte neu ausgerollt werden.
Für eine einfache Server Client Backuplösung empfehle ich urbackup.
Gruss
Verfasst: 02.03.2016, 11:03
von bjoerg75
Hallo, vielen Dank für das Feedback.
Das wichtigste ist halt ein Backup. Dies versteht sich ja von selbst.
Ein weiterer Schritt wäre also, die einzelnen VMs durch deaktivieren der virtuellen Netzwerkkarte vom Netzwerk zutrennen. Physisch die Netzwerkstecker zu ziehen bringt in meinen Augen nichts, da wenn eine Bedrohung zum Beispiel auf einem virtualisierten Arbeitsplatz (z.B. Sitzung RDP-Host) stattgefunden hat, dieser über die virtuellen Switche trotzdem eine Verbindung zu den virtualisierten Servern erhält.
Thx Björn