Beleid omtrend antivirus in een bedrijf - hoe regeer je?

Een nieuwe image erop zetten is het verstandigst.

Op die manier weet je zeker dat je bijna alle malware kwijt bent.
Een nieuwe image is imho minder moeite dan meerdere scans draaien opzoek naar dat mogelijke stukje FUD malware.

Maar het belangrijkste is eigenlijk om het niet zover te kunnen laten komen. Want ik heb ook weleens persistent malware gezien die na meerdere keren verwijderen met de desbetreffende AV suite en met TrendMicro Housecall dat beide hem detecteerde en dat in beide gevallen de malware gewoon weer werd hersteld.

Wanneer krijg je de melding?

Als het een melding is van op het systeem zelf dan re-image. Als het een melding is vanuit een email / website die het probeert te installeren, lekker laten gaan (er zullen er nog vele volgen)

Oftewel : Zit het op het systeem dan bewezen untrustworthy systeem, probeert het op het systeem te komen dan niets.

Uitzonderingen zijn dan nog servers afhankelijk van de melding / plaats (ik ga geen fileserver opnieuw installeren omdat er wat in een home-directory staat) en "virussen / malware" die ik ken / die ik zelf veroorzaak (sysinternals wordt ook door tig anti-virii gezien als virus/malware, als ik het bij iemand anders aantref dan is het standaard regel. Tref ik het op mijn eigen lokatie aan dan is het uitzondering (staat bijv op mijn usb-stick, maar daarvan weet ik waar ik het gedownload heb, tref ik het aan in een openbare-share op een workstation dan heb ik geen idee waar het vandaan komt en re-imagen is wmb makkelijker dan hash trekken )

Format > bootsector scan > nieuwe image.

Ben ik iets vergeten? Loshalen lijkt me te veel werk.

Het ligt er maar allemaal net aan hoe lang een nieuwe image installeren duurt en hoe vaak je dit geintje moet uithalen. Als medewerkers te vaak bijvoorbeeld 1 uur niet kunnen werken dan krijg je het er denk ik bij het management niet doorheen.

Hoeveel groter is de kans dat malware (buiten het eventueel gedetecteerde) aanwezig is als een virusscanner alarm slaat vergeleken met als een virusscanner niets vindt? Want je weet natuurlijk nooit wat je beveiligingssoftware mist.

[ Voor 5% gewijzigd door begintmeta op 14-01-2014 23:16 ]

Een workstation herïnstalleer ik vrij snel eigenlijk, ik ga in clients geen moeite steken. Zeker in geval van twijfel is dat beter.

In mijn ervaring lopen tegenwoordig gebruikers meer een virus op tijdens een bezoek aan een gekaapte website. De advertenties serveren dan doorgaans een exploitkit en die weer op zijn beurt malware wil downloaden.

Maar in feite als het virus binnen is ben je te laat. Ik hou meer van preventie. Hardening van client PC's en hun browser middels group policy. Een goede gateway server neerzetten die ook websites en downloads controleert. En op de clients bij voorkeur ook een goede virusscanner. Helaas zie ik te vaak waardeloze pakketten als Symantec en McAfee terug. Die pakketten komen zo slecht uit tests, ik snap werkelijk niet dat ze nog steeds gebruikt worden.

Mocht een client een melding geven dat er iets opgeruimd is dan doen we in ieder geval alle temporary files verwijderen, ook het lokale profiel van de gebruiker. En nogmaals een scan op het workstation. Bij twijfel nieuw image.

Wordt die virusscanner lokaal bijgehouden óf zit er een managementconsole achter zodat er (als het goed is) al éérder een melding bij je sysadmins is dan dat jij die melding zélf gehad hebt?

F.Y.I.: Bij een beetje bedrijf draait er een enterpriseversie van een willekeurig pakket waarmee dat soort meldingen eerder bekend zijn bij de beheerders van die omgeving dan dat jij ze ziet op je laptopje/PC.

Q schreef op dinsdag 14 januari 2014 @ 23:24:
Dit gaat indeed om centraal beheer met management console en alerting, niet als in lokale berichtjes als pop-up naar de user toe.

Het is meer proces en hoe ga je om met een incident als dit: virusscanner zegt: er is malware tegengehouden en dan denk ik: 'tegengehouden'. Yeah, right. I don't trust you.

Ik wil er niet eens over na denken: virus melding = wissen van je computer.

Maar omdat dit natuurlijk tijd en moeite kost + gebruiker impact en collega's hier eigenlijk geen zin in hebben, wat ik snap, leuk is het niet, ontstaat er dus 'discussie'. Maar misschien ben ik te extreem.

Maar ik zou mijn positie niet te extreem vinden voor: zeg een ziekenhuis, of politie, of.... (niet dat ik daar werk).

En als de lokale virusscanner (ding draait altijd lokaal als de melding van een PC afkomstig is) een melding genereert waarbij het bestand op een netwerkschijf staat (Homedrive/Groupsdrive/Roaming profile/......). Dan her-installeer je de PC en ga je vrolijk verder met "nu.nl" bekijken..... óf??

Q schreef op dinsdag 14 januari 2014 @ 23:24:
Het is meer proces en hoe ga je om met een incident als dit: virusscanner zegt: er is malware tegengehouden en dan denk ik: 'tegengehouden'. Yeah, right. I don't trust you.

Ik wil er niet eens over na denken: virus melding = wissen van je computer.

Waarom reimage je dan niet gewoon preventief alle clients elk uur? Waarom wacht je dan nog op een virusscanner die je schijnbaar toch niet vertrouwt?

Maar ik hoop dat je serieus : Virus melding = wissen van je computer in een automatische policy durft te zetten (zonder onderscheid des persoons) dan leer je dit snel genoeg af als er iemand voor server onderhoud even psexec / pskill op een server zet en die compleet gewist wordt. Tja, policy is policy toch...

Maar omdat dit natuurlijk tijd en moeite kost + gebruiker impact en collega's hier eigenlijk geen zin in hebben, wat ik snap, leuk is het niet, ontstaat er dus 'discussie'. Maar misschien ben ik te extreem.

Maar ik zou mijn positie niet te extreem vinden voor: zeg een ziekenhuis, of politie, of.... (niet dat ik daar werk).

A: tijd is geld, dus jij bent tijd kwijt aan het reimagen en de klant/gebruiker kan niet productief zijn. Dit is vast heel leuk als je op een afdeling zit met onbeperkt geld, maar de meeste bedrijven hebben geen onbeperkt geld.
B : Gefeliciteerd, je hebt jezelf nu een simpel target gemaakt voor iedereen die jouw bedrijf / ziekenhuis / politie kwaad wilt doen. Ik hoef namelijk geen virus meer te maken, iets maken wat de heuristics triggert en daar jullie bedrijf mee volspammen volstaat om jullie compleet brodeloos te maken.

Blind wissen van willekeurig welke computer maakt de kuur erger dan de kwaal, als je de virusscanner compleet niet vertrouwt dan is het ook zinloos om te wachten tot er een melding komt (dan kunnen er al 100'en virussen onder de radar door zijn geslopen).
Oftewel schaf een betere virusscanner aan (eentje die je wel een beetje vertrouwt) en richt een reimaging strategie in zodat iemand binnen 5 minuten weer in de lucht is met al zijn open bestanden en ga dan selecties van clients maken (en je inlezen in wat virussen doen)

Zoals jij het nu brengt zou je bijv het hele bedrijf zo ongeveer moeten reimagen omdat nu.nl een exploit had, want wie heeft er op nu.nl gezeten en welke computers zijn er door die computers weer besmet.

Ik heb hele groepen clients waarop ik wel reimage (want het is toch geen werk en de client merkt er niets van) maar die clients zitten ook dan ook helemaal dicht, terwijl bijv laptops niet blind gereimaged worden en sysbeheer pc's die hebben nog niet eens een image om vanuit te reimagen (net zoals servers geen bruikbare image hebben, daar hebben we backups voor, als ik 20 100% identieke servers krijg dan wil ik er wel een image van maken, maar dat krijg ik bijna nooit)

Alternatief is om gewoon bij elke reboot de hele pc te reimagen, maar bij elke melding van een systeem wat je niet vertrouwt blind actie gaan ondernemen vind ik overdreven.

Als je uitbuiting van exploits (zero-day) wil voorkomen dan kun je er eens mee beginnen om alle "middle-ware" waarop die exploits (tegenwoordig en masse) ontwikkeld worden te minimaliseren. Sun Java / Adobe Flash..... Hebben de gebruikers in je omgeving dat allemaal persé nodig om d'r werk te kunnen doen of is 't alleen een "standaard" component omdat 't gemakkelijk is voor de gebruikers?

Q schreef op woensdag 15 januari 2014 @ 01:20:
Het is waar dat in mijn geval het wantrouwen van ons antivirusproduct meespeeld en daar heb ik weinig controle over.

Juist het begrip van al die exploit toolkits en die zooi er omheen maakt mij juist behoorllijk wantrouwend. En antivirus software is by design niet te vertrouwen. Het loopt altijd achter de feiten aan. Het is een laatste lijn van verdediging en die lijn is niet heel sterk. De kans dat av een exploit uit de cocktail mist is in mijn beleving aanzienlijk. Dat av ze allemaal mist niet zo.

Dat is op zich wel waar, maar in de praktijk is een melding niet altijd een melding vanwege één deel van een cocktail. Soms is het gewoon een slecht opgezette 'aanval' die niet (meer) werkt als je jouw AV draait.

Of je gaat reimagen na een besmetting hangt volgens mij gewoon volledig af van de bron van de besmetting, het gedetecteerde virus, de impact van een reimage en het gedrag van de client na de besmetting. Gewoon even in de gaten houden, die client.

Buiten de discussie om wel of niet een pc opnieuw te voorzien van een image, ben ik ook een voorstander van als een virus op een client is aangetroffen (en tegengehouden door product X antivirus) de gebruiker ook te laten zien / informeren hoe dit in de toekomst voorkomen kan worden.

Natuurlijk is besmetting zoals recentelijk gebeurt is op nu.nl met malware besmette ad servers niet te voorkomen. In mijn werk werd toen het eenmaal bekend was van de casus van nu.nl gelijk de site geblacklist (en de ad servers erom heen) tot het bericht kwam dat alles weer in orde was.

Eindgebruikers laten zien en desnoods extra informeren / opleiden over wat nu malware is en hoe het voorkomen kan worden lijkt mij ook een goed alternatief. Maar goed, daar zitten dan ook weer kosten aan verbonden.

Zoals hierboven al was aangegeven, hebben de gebruikers Java of andere malware gevoelige appliacties nodig? Zo nee, dan ook niet aanbieden aan de clients / gebruikers.

Q schreef op woensdag 15 januari 2014 @ 01:20:
Het is waar dat in mijn geval het wantrouwen van ons antivirusproduct meespeeld en daar heb ik weinig controle over.

Persoonlijk wantrouw ik enkel AV producten waarvan ik weet dat ze slecht zijn, zie pakketten die ik eerder noemde. Ik heb ook bij een bedrijf gewerkt waar we een Enterprise AV oplossing van Kaspersky hadden. Goed pakket, en een AV engine die in alle onderzoeken zeer hoog scoort. Als die aangaf dat iets weg was, dan was het ook weg.

Bij een nu.nl besmetting zou ik alle machienes traceren en op zijn minst extra controleren. Op zo'n schaal moet je afhankelijk van de business het rest risico maar accepteren. Als je dat niet kunt, waarom mogen die machines dan het internet op?

De NU.nl besmetting was een leuke. Heeft me destijds nog heel wat uurtjes extra werk opgeleverd. Overigens bleek toen dat het script dat de malware moest serveren netjes gestopt was al door de gateway server omdat die de exploitkit herkende die geladen werd.

Direct een nieuwe image is wat te sterk gesteld. In die zin, ik lees de melding eerst. Als je echt iets naars tegenkomt zeg de Zeus trojan, Blackole, Sinowal of dat soort fijne spullen dan wil ik wel die schijf wissen. Puur omdat die virussen zo extreem tot onmogelijk zijn om te verwijderen. Minder ernstige zooi dan is het gewoon temp files en profiel verwijderen en vervolgens kijken met nog een scan.

Niet elke melding is ook wat. Veel AV pakketten melden ook pogingen die niet geslaagd zijn. En ik heb zelfs een keer gehad een AV pakket was een bepaald soort pop-ups op websites als aanval markeerde. Wilde je een formulier op een website invullen kreeg je een melding van het AV pakket.

Maar hoeveel virusmeldingen krijg je per dag, week of maand? Ik heb bij bedrijven gewerkt met meer dan 10.000 werkplekken. Het aantal meldingen was zeer laag per maand. En een deel daarvan was ook melding van mislukte pogingen. Als je dan keek op de gateway server ving die praktisch alles af.

Het enige waar ik als beheerder altijd van gruwel zijn alle PC's die standaard uitgerust moeten worden met stokoude Java versies. Die antieke Java is dan nodig om een net zo antieke bedrijfsapplicatie te laten draaien. Tegenwoordig is Java meer bedoeld om die virussen extra goed te laten werken op je systeem.