maba_de
Aktives Mitglied
- Dabei seit
- 15.12.2003
- Beiträge
- 20.524
- Reaktionspunkte
- 12.470
nein, tue ich nicht. Lesen und Verstehen sage ich dazu.
Windows Defender schlägt Alarm: "Trojan:Win32/Fuery.b!cl" gefunden, wie verfahren?
- Ersteller iPhill
- Erstellt am
Dito.
Wenn man Löcher in seinSystem machen will, die voher nicht da waren, dann ja.
Windows Defender, ansonsten Finger weg
Ah, die gute Endpoint Protection. Mal auf Exploit-DB gecheckt was man da zu dem Thema weiß?
Fireeye kann was. Da sind Gurus am Werk
Das ist oft so. Welcher Klein/Mittelständler leistet sich einen CISSP oder OSCP oder ähnliches? Sicherheit ist fast immer Sache der IT - nur da nahezu ausschließlich sind Admins, keine Security-Spezialisten. Und ja, es ist ein Riesenunterschied ob man gelegentlich eine Schulung macht oder explizit Spezialist ist.
In Großunternehmen ist es oft so, daß es zwar Spezialisten und entsprechende Policy gibt - wo das Bewusstsein durchaus vorhanden ist, dass AV kontraproduktiv sind. Allein - niemand zieht sich den Schuh an, zur Verantwortung gezogen zu werden, wenn mal was passiert ("warum haben Sie die Virenscanner abgeschafft? Das haben wir jetzt davon").
Nach der so vertrauenserweckenden wie falschen Prämisse "viel hilft viel" lässt man die AV verpflichtend laufen... wenn da was passiert: ist es halt Pech/höhere Gewalt, denn man hat ja so viel Geld in Abwehrsoftware gesteckt...
Technisch gesehen ist Fakt: Virenscanner an Clients bringen kaum Schutz vor Schadsoftware (Defender ausgenommen), öffnen aber gefährliche Löcher.
Der Vergleich hinkt massiv, denn die Wirkung des Airbags ist eindeutig, die der AV-Lösung eindeutig nicht.
Eher passender Vergleich: Man kann auch Homöopathie (oder Placebos) anwenden. Die technische Wirksamkeit ist zwar wissenschaftlich eindeutig widerlegt. Aber wenn's nicht hilft, so schadet's schon nicht. Oder auch: blinde Hühner finden auch mal ein Korn
Zuletzt bearbeitet:
Erstmal rede ich von Airbags, nicht von Gurten ;-) Letztes Jahr kamen 18 Menschen durch defekte Airbags von Takakta ums Leben, 180 wurden verletzt. Das ist schlimm, aber eben auch kein Argument GEGEN Airbags. Soviel zum Vergleich.
Zum anderen sehe ich das im Kern komplett anders : Natürlich ist die Wirkung eines Virenscanners eindeutig und belegt. Wenn eine Bedrohung bekannt ist, haut der AV die auch weg. So einfach ist das. Die Schutzwirkung ist also im Rahmen dessen, was ein Virenscanner kann und tun soll absolut gegeben. Softwarefehler werden und wurden immer ausgenutzt, auch bei Virenscannern. Das ist nichts Neues, gab es schon immer und mir ist nicht klar wo die neuerliche Panikmache herkommt. Die Hersteller reagieren in der Regel flott wenn Exploits ihre eigenen Produkte betreffen und liefern die simpel per Engine-Update aus, da bekommt der Anwender quasi nichts von mit. Es gibt natürlich auch gröbere Klötze, aber "in the wild" muss sowas auch erstmal ausgenutzt werden; was selten passiert, da das Zeitfenster für Angriffe hier einfach sehr klein ist.
Er ist halt nur kein Allheilmittel sondern, wie ich schon mal schrieb, der allerletzte Notnagel wenn alle anderen Stricke reissen. Wozu man es tunlichst nicht kommen lassen sollte.
Panikmache? Nicht man annähernd.
Die AV Hersteller verkaufen Schlangenöl, und dies wird hier - und das finde ich positiv - thematisiert.
AVs (von Defender abgesehen, wie mehrfach angesprochn) haben den Effekt von Placebos: sie geben ein gutes Gefühl, wiegen in vermeintlicher Sicherheit. Wobei vermeintlich hier das wesentliche Wort ist.
Die AV Hersteller verkaufen Schlangenöl, und dies wird hier - und das finde ich positiv - thematisiert.
AVs (von Defender abgesehen, wie mehrfach angesprochn) haben den Effekt von Placebos: sie geben ein gutes Gefühl, wiegen in vermeintlicher Sicherheit. Wobei vermeintlich hier das wesentliche Wort ist.
electricdawn
Aktives Mitglied
- Dabei seit
- 01.12.2004
- Beiträge
- 11.820
- Reaktionspunkte
- 9.322
Wir haben hier schon so oft Rechner von Leuten mit verhunztem OS gehabt, die TROTZ AV-Software zumindest (bekannte!) Adware auf dem Rechner hatten, die die AV-Software NICHT gefunden hat.
Dazu kommt das Problem, dass sich AV-Software in die Browser einhackt, und deren eigene Sicherheit massiv herabsetzt, in dem sie ihre eigenen Routinen - teilweise mangelhaft - hineinschiebt. Dazu dann teilweise unterirdische Performance (was zugegeben nicht nur an AV-Software liegt), und das macht AV eher zu einem zweifelhaften Schutz. Ich sage nicht, dass sie komplett nutzlos ist. Aber es ist kein Allheilmittel.
Dazu kommt das Problem, dass sich AV-Software in die Browser einhackt, und deren eigene Sicherheit massiv herabsetzt, in dem sie ihre eigenen Routinen - teilweise mangelhaft - hineinschiebt. Dazu dann teilweise unterirdische Performance (was zugegeben nicht nur an AV-Software liegt), und das macht AV eher zu einem zweifelhaften Schutz. Ich sage nicht, dass sie komplett nutzlos ist. Aber es ist kein Allheilmittel.
maba_de
Aktives Mitglied
- Dabei seit
- 15.12.2003
- Beiträge
- 20.524
- Reaktionspunkte
- 12.470
wir erhalten in der Stunde (!) hunderttausende von verseuchten Mails. IN DER STUNDE, AN NORMALEN TAGEN!
Da kann man noch so ein gutes Sicherheitskonzept haben, noch so viele Forensiker, Spezialisten, Firewalls, IDS und IPS Systeme, da kommt IMMER mal was durch. Und ohne Virenscanner geht es in dem Kontext schlicht nicht.
Und ich arbeite in einem Bereich, da MUSS alles Sicher sein. Und da gehört ein Virenscanner schlicht und ergreifend zum Konzept.
Denn die ganzen Schlangenöl Quatscher haben nämlich auch keine Lösung, das ist zumindest meine Erfahrung.
Und wenn, dann maximal Einzelplatz Lösungen, nichts, was auch nur im Ansatz Enterprise Fähig ist.
edit: Und, bevor jetzt wieder Missverständnisse aufkommen, ich meine damit nicht User wie Loki sondern eher so Artikel wie der von Golem vor einiger Zeit.
Da kann man noch so ein gutes Sicherheitskonzept haben, noch so viele Forensiker, Spezialisten, Firewalls, IDS und IPS Systeme, da kommt IMMER mal was durch. Und ohne Virenscanner geht es in dem Kontext schlicht nicht.
Und ich arbeite in einem Bereich, da MUSS alles Sicher sein. Und da gehört ein Virenscanner schlicht und ergreifend zum Konzept.
Denn die ganzen Schlangenöl Quatscher haben nämlich auch keine Lösung, das ist zumindest meine Erfahrung.
Und wenn, dann maximal Einzelplatz Lösungen, nichts, was auch nur im Ansatz Enterprise Fähig ist.
edit: Und, bevor jetzt wieder Missverständnisse aufkommen, ich meine damit nicht User wie Loki sondern eher so Artikel wie der von Golem vor einiger Zeit.
Ich unterscheide AV Lösungen nicht nach Defender und dem Rest. Es gibt auch bei den Drittherstellern gute Produkte, sie sind mittlerweile aber aus meiner Sicht überflüssig da der Defender einfach gut läuft und keinen Bullshit mitbringt.
Antivirensoftware als Snakeoil zu bezeichnen ist mir allerdings zu platt, ebenso wie die Behauptung sie setzen grundsätzlich die Sicherheit des Systems herab.
Virenscanner sind nicht perfekt, halten Dir aber schon ne Menge shice vom System fern. Weshalb drauf verzichten?
Hier mal ein kleiner Auszug des letzten Monats aus unserer Auswertung, was der Defender so abräumt:
Das meiste ist Kleckerkram (der aber auch nervt und auf Unternehmensrechnern nichts verloren hat), aber den einen oder anderen härteren Brocken hauts halt auch weg.
Das fängst Du Dir ohne Virenscanner ZWANGSWEISE ein, und merkst es noch nicht einmal. Geht übern Browser, braucht keine Adminrechte, lässt sich in der Praxis gar nicht verhindern.
Antivirensoftware als Snakeoil zu bezeichnen ist mir allerdings zu platt, ebenso wie die Behauptung sie setzen grundsätzlich die Sicherheit des Systems herab.
Virenscanner sind nicht perfekt, halten Dir aber schon ne Menge shice vom System fern. Weshalb drauf verzichten?
Hier mal ein kleiner Auszug des letzten Monats aus unserer Auswertung, was der Defender so abräumt:
Das meiste ist Kleckerkram (der aber auch nervt und auf Unternehmensrechnern nichts verloren hat), aber den einen oder anderen härteren Brocken hauts halt auch weg.
Das fängst Du Dir ohne Virenscanner ZWANGSWEISE ein, und merkst es noch nicht einmal. Geht übern Browser, braucht keine Adminrechte, lässt sich in der Praxis gar nicht verhindern.
Hier sieht es ähnlich aus: Aktuelle Statistik sagt 3,5 Millionen herausgefischte Spammails und 100.000 entdeckte Viren in Mails auf unserem Exchangecluster. Pro Monat, wohlgemerkt...Und trotzdem geht immer noch Zeug durch...
electricdawn
Aktives Mitglied
- Dabei seit
- 01.12.2004
- Beiträge
- 11.820
- Reaktionspunkte
- 9.322
Und wo faengt man die am besten ab? Am Gateway, da wo der ganze Traffic reinkommt. Nicht auf dem Client. 
electricdawn
Aktives Mitglied
- Dabei seit
- 01.12.2004
- Beiträge
- 11.820
- Reaktionspunkte
- 9.322
Ich bezweifele ja nicht, dass es Infektionen auf dem Client geben kann. Und bei uns sind die USB-Ports fuer Sticks und Festplatten blockiert.
Aber jetzt muss ich doch mal dumm fragen, wenn eine dedizierte Soft/Hardware fuer solche Faelle das Zeugs nicht am Gateway oder auf dem Exchange-Server abfaengt, warum soll es dann eine popelige Antivirensoftware auf dem Client richten?
Aber jetzt muss ich doch mal dumm fragen, wenn eine dedizierte Soft/Hardware fuer solche Faelle das Zeugs nicht am Gateway oder auf dem Exchange-Server abfaengt, warum soll es dann eine popelige Antivirensoftware auf dem Client richten?
agrajag
Aktives Mitglied
- Dabei seit
- 25.08.2004
- Beiträge
- 5.462
- Reaktionspunkte
- 2.477
Ja, im Positiven, wie auch im Negativen.
Ach ja? Dann erkläre doch mal bitte, wieso dennoch derart viele Systeme völlig verwarzt sind, wo sie doch einen ach so tollen AV drauf haben? Nichts haben die Dinger geholfen. Und nach meiner Wahrnehmung ist es egal, welche AV-Lösung installiert war.
Nun, das ist aber eines der Hauptkritikpunkte: AV-SW erhöht die angreifbare Fläche (genauso wie bei personal FW). Sie wiegt User in falsche Sicherheit. Sie geben schlicht ihr Hirn an die AV-SW ab. Und wenn das Ding anschlägt, wissen sie kaum wie sie korrekt reagieren sollen.
Und genau das wird infrage gestellt. Nach allem, was ich und die meisten meiner computer-affinen Bekannten in den letzten 20 Jahren feststellen konnten: es hindert die Leute nicht daran sich zu verseuchen. Es taugt schlicht nicht. Wozu dann also die Angriffsfläche (durch die installierte, potenziell fehlerbehaftete AV) auch noch unnötig erhöhen?
electricdawn
Aktives Mitglied
- Dabei seit
- 01.12.2004
- Beiträge
- 11.820
- Reaktionspunkte
- 9.322
Wobei man hier schon klar zwischen Enterprise-Umgebung und Privatleuten unterscheiden muss.
agrajag
Aktives Mitglied
- Dabei seit
- 25.08.2004
- Beiträge
- 5.462
- Reaktionspunkte
- 2.477
Ach, und wie gesagt, haben es einige der AV-Buden ja auch mehr oder weniger direkt zugegeben, daß das mit dem AV-Schutz so nicht wirklich funktioniert. Und der von mir gepostete Link, wo die AV-Bude eine Lösung gegen fehlerhafte AV-Lösungen anbietet ist doch an Satiere kaum zu überbieten.
@electricdawn
Man kann es nicht abfangen, das geht technisch einfach nicht. Selbst sehr gute Appliances brauchen Signaturen oder verhaltensbasierte Regelwerke um Malware oder Angriffe zu erkennen. Damit ist an der Stelle schon klar das es auch hier keine 100% Sicherheit geben kann. Die kloppen natürlich gut was weg, keine Frage. Aber selbst wenn Du 10 von den Dingern in Reihe schaltest geht da am Ende des Tages was durch, zumal man große Mengen Traffic auch erstmal gescannt kriegen muss. Wir haben hier - nicht ohne Grund - eine 10GBit Internetanbindung, weißt Du was da so eine fette Fireeye kostet die das auch INLINE stemmt?
Du kannst Technik so dolle bauen wie Du willst, im Endeffekt spielst Du aber immer "Tower-Defense" - man braucht so viele Schutzringe wie möglich.
Auf den lokalen Virenscanner zu verzichten ist dämlich, und ich kenne keine gescheite Firma (bzw. IT) im größeren Maßstab die darauf verzichtet. Ist jetzt auch nicht so, das in den IT-Abteilungen dieser Welt nur Idioten sitzen die keine Ahnung haben. CISSP oder TISP Zertifizierung hin oder her, aber ich für meinen Teil mache IT-Security jetzt schon ein paar Jahre, und anscheinend so gut das wir in den letzten 10 Jahren keinerlei gravierenden Angriffe oder Ausfälle hatten.
Natürlich kann morgen einer um die Ecke kommen und Dir das System lahmlegen, aktuell sprechen unsere externen Sicherheitsaudits hier aber eine andere Sprache. KEIN SCHWEIN empfiehlt einem derzeit auf AV zu verzichten, den Consultant würde ich gerne mal kennenlernen..
Man kann es nicht abfangen, das geht technisch einfach nicht. Selbst sehr gute Appliances brauchen Signaturen oder verhaltensbasierte Regelwerke um Malware oder Angriffe zu erkennen. Damit ist an der Stelle schon klar das es auch hier keine 100% Sicherheit geben kann. Die kloppen natürlich gut was weg, keine Frage. Aber selbst wenn Du 10 von den Dingern in Reihe schaltest geht da am Ende des Tages was durch, zumal man große Mengen Traffic auch erstmal gescannt kriegen muss. Wir haben hier - nicht ohne Grund - eine 10GBit Internetanbindung, weißt Du was da so eine fette Fireeye kostet die das auch INLINE stemmt?
Du kannst Technik so dolle bauen wie Du willst, im Endeffekt spielst Du aber immer "Tower-Defense" - man braucht so viele Schutzringe wie möglich.
Auf den lokalen Virenscanner zu verzichten ist dämlich, und ich kenne keine gescheite Firma (bzw. IT) im größeren Maßstab die darauf verzichtet. Ist jetzt auch nicht so, das in den IT-Abteilungen dieser Welt nur Idioten sitzen die keine Ahnung haben. CISSP oder TISP Zertifizierung hin oder her, aber ich für meinen Teil mache IT-Security jetzt schon ein paar Jahre, und anscheinend so gut das wir in den letzten 10 Jahren keinerlei gravierenden Angriffe oder Ausfälle hatten.
Natürlich kann morgen einer um die Ecke kommen und Dir das System lahmlegen, aktuell sprechen unsere externen Sicherheitsaudits hier aber eine andere Sprache. KEIN SCHWEIN empfiehlt einem derzeit auf AV zu verzichten, den Consultant würde ich gerne mal kennenlernen..
agrajag
Aktives Mitglied
- Dabei seit
- 25.08.2004
- Beiträge
- 5.462
- Reaktionspunkte
- 2.477
Netflix hatte 2015 ihre AV-Lösungen komplett von ihren Clients geschmissen. Das wird vermutlich nicht der einzige Laden sein, der das getan hat.
electricdawn
Aktives Mitglied
- Dabei seit
- 01.12.2004
- Beiträge
- 11.820
- Reaktionspunkte
- 9.322
@Deep4:
Ok, wenn Du aber selbst sagst (und ich glaube Dir wirklich, dass Du da weitaus mehr Erfahrung hast, als ich), dass die nicht alles abfangen koennen, warum sollte es dann eine Client-AV-Loesung ploetzlich koennen? Das interessiert mich jetzt wirklich. Oder setzt Du auf das Prinzip moeglichst verschiedener Hersteller, einer wird's schon richten? Das meine ich jetzt nicht negativ.
Ok, wenn Du aber selbst sagst (und ich glaube Dir wirklich, dass Du da weitaus mehr Erfahrung hast, als ich), dass die nicht alles abfangen koennen, warum sollte es dann eine Client-AV-Loesung ploetzlich koennen? Das interessiert mich jetzt wirklich. Oder setzt Du auf das Prinzip moeglichst verschiedener Hersteller, einer wird's schon richten? Das meine ich jetzt nicht negativ.