Ajánljatok vírusírtót kis cégnek

Security-all

Sziasztok!

 

mostanában kellene frissíteni a vírusírtót kb. 15 munkatárs gépén. Az a fő problémám hogy a pandémia alatt mindenki kapott kivétel nélkül plusz egy laptopot, így a 15 benti gép helyett, lett lényegében 15 benti és 15 hordozós.

Eddig eset-et használtunk, csak most konkrétan 30 licenszet kellene venni.

Egy gép kiesett, mert az egyik munkatárs egy év alatt egyszer se kapcsolta be a vadi új laptopját, így az teljesen megadta magát (garanciaidőn túl).

Van esetleg olyan vírusírtó cég, amelyik valahogy a desktop+laptop -ot egy licensznek kezeli?

 

Ki hogy vélekedik, kell még antivirus szoftver 2023-ban? Rengeteg cikk van, hogy az egész antivírus iparág obsolete 2023-ban:

https://www.forbes.com/sites/forbestechcouncil/2023/02/24/why-anti-malw…

  • 3091 megtekintés

( gemnon v | 2023. 05. 03., sze – 12:55 )

Mi a baj a Windows Defenderrel? 

Hát a "Zero trust security model" közelít hozzá :)

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Na igen, de akkor már ott vagyunk, ha fizetni kell, vehetnénk akár mást is. Az ESET Endpoint pl eléggé szimpatikus. De volt időszak, amikor a TrendMicro-val is együtt tudtam élni (az volt adott), úgyhogy inkább nem nyilatkozom :D

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Meg kellene elsőkörben forgalmazni hogy pontosan mitől szeretnéd megvédeni őket.

Defender for Windos elérhető a Windows-os gépeken by default, fájlokat és folyamatokat ellenőriz. 

Amennyiben ezen felül szükség van central management-re, internetes forgalom szűrésére és a gépek feletti kontrollra, akkor Microsoft-os vonalon a Microsoft Defender for Endpoint P1 tudja ezt biztosítani, ez a Microsoft 365 E3 csomag része. Ebben az Office 365 desktop alkalmazások, levelezés, 1 TB OneDrive tárhely, Intune (mobil és desktop management), Defender for Endpoint van benne, havi 40 USD körül.

Amúgy central managementel mit lehet managelni vagy mégjobb kérdés a 15 fős cégnél ki fogja ? ;)

Nekem jó a defender, mert nincs pénz semmire, ha valamit talál a logserver küld róla emailt/push notificationt, szerintem az internet forgalmat ellenőrizni meg szerintem nem a végpont dolga. 

Ezt kicsit kirészleteznéd?

Itt van ez a gyöngyszem egy órás sincs:

https://www.virustotal.com/gui/file/af85d0116cb919451d6d778fa564bebe510…

A Defender elvileg már felismeri. :)

Amúgy magyar seggbe, magyar lófaszt. Akarom mondani magyar payloadot. Én a DoclerWeb helyében ránéznék a Relations tab alatt található IP-re/domain-ra.

Azt én sem értem, ingyenes, beépítve jön, naponta frissül, működik. Nem nagy szám, de arra jó, amire kell. Ha valakinek nem elég, akkor szerveres oldalról kiegészíti extra vírusvédelemmel, pl. proxy és emaili-szerver oldaláról, előszűrve a sok letöltött szutykot, erre viszont egy clamav is jó, vagy egy akármelyik fizetősből egy licenc, pl. NOD, ha most azt használnak, és az bevált.

Esetleg a mostani vírusirtóra próbálnak kérni valami külön ajánlatot, 30 licencre. Értem, hogy egy gép kiesett, de nem árt ha van 1-2 extra licenc, ha jön valami új munkatárs, vagy pótolják a tönkrement notit, akkor ne kelljen megint +1 licencért retail árat lecsengetni.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Nem csak abból, hogy nekem nem volt még vele bajom, de másokat se hallok róla panaszkodni sehol, hogy ezt meg azt nem fogta meg. Vagy te tudsz valami infót, ami alapján mégis lenne vele valami baj?

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Onnan, hogy az ids nem sípol. Ja 15 főnél olyan nincs ;)

Szerintem amikor beesik az email baszhatod a végpont védelmed lehet az központi menedzselt vagy nem mert , katti-katt rá fog kattintani . És jó eséllyel majd két órára rá felismeri a vírusirtó ;) Úgyhogy a cél, hogy katti-katt ne is találkozzon vele, mert katti-katt a leggyengébb IT sec láncszem ;)

Azért küldjenek a minisztériumból még több makróval teleszart Excel táblát, aztán amikor megkapják a választ ne értetlenkedjenek , hogy megkaptuk vagy sem, attól , hogy kaptak egy szép választ , hogy nem díjazzuk a közeledést ,  van egy barom aki naponta kiszedi a loosers mappából a makrós tákolmányokat és átküldi oda ahová való :) azaz oda ahová szánták, mert a /dev/null-ba való ;)

Lehet kombinálni DNS alapú történettel, és a esetleg valami egyszerű proxy szűréssel legalább a 80-as porton. Csodát ettől sem lehet várni, de legalább több szinten lehet védekezni, és ha valami bejön, akkor legalább lehet mutogatni, hogy itt minden volt, de a felhasználók képzése nem spórolható meg. Erről már volt topik, szerintem több is. :)

Lehetne sokmindent, de levél nem veszhet el, mindent is át kell venni max a spam mappába kerül amit úgy sem néz meg senki (ami szerintem hülyeség, de ez az ukász).

Mikor még a párt is elhajtja őket dnsbl alapján picsába  (ezt spec logokkal tudom bizonyítani, mert feltört románoktól (powermta admin panelt jelszó nélkül internetre rakni ősi román szokás?) letöltöttem pár GB-nyit, nekem át köll venni mikor a fidesz.hu elhajtja őket dnsbl alapján, fuck logic.)

Még a rolexesek is elzavarták őket a picsába.  ;)

Trey: gyurcsányiék átvették 200-al lehetne belőle nyitni egy flame topikot ;)

van olyan dns szerver szolgaltato ami elegge gyorsan felveszi a malwares spames domaineket? mondjuk mert pl. virusirto keszito ceg uzemelteti.

en bind-ben mindig felveszek egy ures zonat az ilyenekre, de csak mikor az elso emailt megkapom, vagyis nem elegge gyorsan.

neked aztan fura humorod van...

( n.balazs v | 2023. 05. 03., sze – 13:02 )

Ha jól értem, akkor költséget akarsz csökkenteni, ugye?

Én a helyedben kérnék árajánlatot a nagyobb vírusirtókra több helyről. Aztán utána lehet finomítani, számolni.

A Forbesban annyi butaságot írtak már, hogy tapétázni lehetne vele egy lakótelepet. A vírusirtó pedig 2023-ban már tényleg többet kell jelentsen. Komplett végponti védelmet kell kínálnia központilag menedzselhető módon. Véleményem szerint.

Komplett végponti védelmet kell kínálnia központilag menedzselhető módon. Véleményem szerint.

+2

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( gyuri23 | 2023. 05. 03., sze – 13:07 )

Szerkesztve: 2023. 05. 03., sze – 13:14

Én olyat még nem láttam, hogy 1 víruskereső licenc 2 gépen menjen, de hátha. Viszont nem víruskeresőt ajánlok, hanem annál többet, mert szerintem már rég kevés egy sima víruskereső.

Én szinte az összes cégemnél erre álltam át:

https://heimdalsecurity.com/

Két nagyságrenddel tud többet egy átlagos víruskeresőnél és élesben láttam tőle megfogni ransmomware-t titkosítás közben (egy fájlt sem tudott titkosítani), ellentétben jó sok víruskeresővel, amiken úgy ment át, hogy "öröm" volt nézni. Nem kezdem felsorolni, hogy mennyivel tud többet nézz szét náluk.

Ja és kifizethető, ár értékben meg szvsz jelenleg ver mindenkit.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Az nem valami home családi licenc?

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( djsmiley v | 2023. 05. 03., sze – 16:39 )

BitDefender egész használható.

- Device Control
- Alkalmazástűzfal (SSL-es is)
- Víruskereső/irtó

Kb. komplett végpontvédelem, cloud managementtel, nekem eddig tetszett.

Az a jó benne, hogy lehet alkudozni bizonyos határok között. Elsírod, hogy ennyit nem tudsz rászánni, de amúgy nagyon tetszik. Erre adnak egy "csak neked, csak most" ajánlatot. Mint a piacon. Ha 3 évre megveszed, még sokkal olcsóbb. Gondolom, ha sok gépre veszed, még annál is olcsóbb. Engem is bepaliztak 5 licenszre, ebből 3 Windows desktop, 2 Android mobil. Nagyon ritkán jelez, hogy megfogott valamit, de inkább csak ajánlgatja egyéb termékeiket felugró ablakban, valamivel a zavaró ingerküszöb alatt.

( GaLbi | 2023. 05. 03., sze – 16:44 )

- Az miért nem opció, hogy a kliensek számát csökkented újra 15 darabra, meghagyva csak a noteszeket a felhasználóknál? (2 x több gépet adminisztrálni, üzemeltetni, licenszelni sokkal drágább mintha csak a felével kellene foglalkozni)

- Én még nem találkoztam olyan vírus irtóval, ami nem darabszám alapú lenne.

- nem olyan antivírus program kell, ami mindent megfog (mert ilyen nincs), hanem egy jó mentési stratégia, amiből fel lehet állni, ha szükséges

- talál nézd meg ezt: Emsisoft - Award-Winning Anti-Malware & Anti-Virus Software 

- ha valós tapasztalat kell, akkor inkább olvas fórumokat, vagy Gartner Insights-t Select a market to read reviews (gartner.com)(szerintem)

Lehet, hogy én egy igavonó barom vagyok, hogy folyton cipelem :-)

Ugyanakkor a gyenge kis nádszál hölgyek, akik ráadásul autóval járnak, folyton nyüszítenek, hogy a direkt nekik vett alig egy kilós gép is mennyire megterhelő. Bezzeg amikor bevásárolnak a Mariahilferen, akkor tudják cipelni a tíz kilónyi rongyot meg cipőt.

mondjuk ceges kornyezetben eleg ritka az 1kg laptop, jellemzoen a nagy (15-16") es vastag (hosszu akkuido ugye), 3-4kg gepeket veszik (dell, hp stb enterprise vonala).

persze vehetnenek ultrabookot vagy macbook air-t is dupla-tripla annyi penzert, de nem vesznek, azt max a vezetok kapnak.

amugy is ha megkerdezik a dolgozot hogy mire van szuksege, mire fogja hasznalni a gepet, akkor termeszetesen: mindenre is!

nálunk kis fos 14-es lenovo-kat szórták, megvakulok olyan kicsi a sajat kijelzője, (egy másik korábbi gépnél: nincs teljes méretű LAN csatlakozója, csak az a undorító rúgós kinyílós, minden alkalommal szenvedés ki-be dugdosni az UTP-t). Cserébe vékony, és bármitől azonnal zúg mint az ökör ha dolgoztatni kezdem, és a hűtése nem bírja az iramot.

Tapasztalatom ennek sok oka van. Néhány közülük:
- pl: 2x1,5 órás napi tömegközlekedéssel súlyosbítva senki se akar plusz terhet vinni.
- A noti szállítás közben sérülhet, leeshet, belerúghatnak stb.
- Könnyű elhagyni a szükséges kütyüket (töltő, füles stb.).
- Autóval vagy és hazafelé bemész vásárolni, közben az autót feltörik, notit elviszik. Senkinek nem hiányzik ez a hercehurca. Még cikibb, ha a noti nem volt szakmailag elvárható módon titkosítva.

( andrej_ v | 2023. 05. 04., cs – 13:01 )

Szerkesztve: 2023. 05. 04., cs – 13:05

Jellemzően mindenhol per telepítése licenszelnek, mert az 1 user két gép jellemzően nem opció. Használja mindenki a notit, hordozzák és kész, vagy döntse el mindenki mit akar, és akkor annak megfelelően lesz a dolog. Ha 10+ gép van, akkor egy Windows domain jellegű sem lenne rosz, hogy néhány dolgot lehessen group policy-vel szétszórni. Ugye nincs admin joga a felhasználóknak a gépeken?

A végpontvédelem egyre kevésbé megspórolható, mert egyre jobban tobzódnak a mindenfélék. Ahogy írták fontos a mentés, de ha rendesen odavágnak, akkor lehet nem örül a vezetés egy 2 napos leállásnak, amíg visszamazsólázódik minden. Azt hogy óhát itten 10 perc alatt visszatoljuk, piffpuff huha, azt nem lehet komolyan venni, pláne nem egy 10-20 fős cégnél, ahol jellemzően nagyon minimális van ájti, és a szápport külsős.

( zdesigner | 2023. 05. 04., cs – 17:45 )

"Rengeteg cikk van, hogy az egész antivírus iparág obsolete 2023-ban:"

Érdekes, én pont ezt gondolom az újságíró-iparágról.

( wladek1 | 2023. 05. 04., cs – 18:23 )

Tudom, hogy putyinpincsi vagyok, de szerintem a kaspersky a legjobb. Tapasztalat szerint eddig ez fogta meg a legtöbb szart. Viszonylag korrekt az árazás is. 

Error: nmcli terminated by signal Félbeszakítás (2)

> putyinpincsi vagyok

mar eleg regota nem orosz

> szerintem a kaspersky a legjobb

szerintem is

> eddig ez fogta meg a legtöbb szart

igen, mailszerveren szoktam ev vegen (nov-dec, black friday-xmas korul omlik a legtobb szar) tesztelgetni, felrakok 6-8 antivirust (trial) es mindet rafuttatom a levelekbol kitermelt fileokra. szep statisztikat lehet belole januarra prezentalni az ugyfeleknek, melyik mennyit kapott el.

> Viszonylag korrekt az árazás is. 

hat alapbol sose volt olcso, de regen is le lehetett alkudni a disztributoroknal (eleg ha megemlited, hogy a nod32 olcsobb, es maris ala mennek arban), a haboru ota meg plane...

Pontosan...itt már 2-3 nap is teljesen más eredményt mutat +az is érdekes, hogy a cég jogásza /DPO-ja adatvédelmi szempontból mit szól hozzá, hogy te a userek mailboxában turkálsz, leveléből kiszedsz fileokat (gondolom nem járultak ehhez egyesével hozzá) és a tök tudja milyen, szerződés nélküli, trial  AV verziókat ráengedsz. A legtöbb cégnél ezt egy kartondobozzal díjaznák kapásból. :-)

Magyarul a kolléga preventív, oktatási célú művelete probléma, de egy ransomware miatt szetfosott infra jó, mert az GDPR - konform.

Mondjuk nem, hiszen a ransomware úgy firkal/vág szét mindent, hogy közben nem kötöttel az írójával adatvédelmi megállapodást. Ezt mivel jutalmazzák? 

Error: nmcli terminated by signal Félbeszakítás (2)

Ebben mi a preventív és mi az oktatási cél? (volt kollégám aki csinált ilyet, igaz kicsit komolyabban, de neki fizettek is IT-s újságok az elemzésért, olyan szintű lett)

Én, mint cégvezető qrva ideges lennék, ha jóváhagyás nélkül, a cég éles levelezésén párhuzamosan trialokkal tesztelget valaki. Van erre secu szakember, aki megmondja melyik engine legyen, milyen beállításokkal  és pont. Ez nem mail szerver üzemeltetői feladat "szokott" lenni. (secu-s meg nem üzemeltet mail szerver-t) Ő vállalja is a felelősséget, ezért kapja a fizetését.

Kifogsz pl egy szar szignatúra update-et vagy csinálsz egy rossz beállítást - mert nem értesz hozzá-, ami pl. FP-t ad és kiszór egy csomó csatolmányt, levelet. Mi a tököt csinálsz? Nézegeted a logjaidat? A gyártó is elhajt a p.ba, triallal bohóckodtál, nincs hozzá semmi support.

+ nem egy gyártónál találkoztunk már olyannal, hogy "do nothing, just log" action nem teljesen ugyanúgy viselkedett mint a "Clean", "delete",... opciók detektálási szempontból.

Itt a lényeg hogy a kolléga ne kísérletezzen így, ill. ebből ne vonjon le messzemenő következtetést.

Szerintem....

+ van ügyfelünk ahol tőzsdei, szenzitív insider infók esetén (ami jöhet e-mailben is akár) már a logok betekintése is qrva erősen kontrollált, mivel a filenevek is tartalmazhatnak nagyon szenzitív információt pl egy tervezett felvásárlás kapcsán. És ez meg lesz így a logodban is a tudtuk nélkül. 

Aztán olyanról ne is beszéljünk, ha pl van egy felhős sandbox mögötte, akkor mi lesz/lehet a file-jaiddal egy trial esetén. 

> Ez nem mail szerver üzemeltetői feladat "szokott" lenni.

de. legalabbis amerre en mozgok, a mailszerver uzemeltetotol kerdezik meg milyen AV-t vegyenek a mailszerverre.

nyilvan ez cegtipustol/merettol fugg erosen, meg a koltsegvetestol, meg a kezelt adatok titkossagatol stb

> ami pl. FP-t ad és kiszór egy csomó csatolmányt, levelet

ez sajnos elofordul a megvasarolt, licenszelt, fent egekbe magasztolt eset nod32-vel is, ugy evente 1-2x...

ilyenkor rejecteljuk a mailt, aztan majd a felado megoldja maskepp (pl. elkuldi a cimzett privat gmail-es cimere :))

amugy meg mindig jobb neha egy FP mint beengedni a virusokat. a spamszuro amugy is gyakrabban teved, mint az AV...

> gyártó is elhajt a p.ba

akkor is elhajt ha fizettel erte. nyilvan idovel javitjak az elcseszett signaturet, de karteritest nem fognak fizetni emiatt, hidd el.

> szenzitív insider infók

hat azt inkabb ne is kuldjek mailbe. vagy ne engedjenek senkit a logok kozelebe, mert mar az email cim is arulkodo lehet :) vagy egy dns lekerdezes... vagy a tuzfalon az ip cimek stb.  nemhogy a content filter... ennyi erovel hasznaljanak inkabb postagalambot :)

> te a userek mailboxában turkálsz

ezt mibol szamoltad ki? miert kene turkalnom?

> leveléből kiszedsz fileokat

en? en nem. a mailfilter (amavis/pymavis) szedi ki tempbe es ereszti ra a beallitott AV programokat, amikor atmegy a mail a contentfilteren

> szerződés nélküli

te pl. a clamav-al kotsz szerzodest?

> trial  AV verziókat

de nem pont ez a lenyege a probaverzionak? hogy kiprobald, leteszteld?

> de még jobb lenne azt tudni, hogy a vírusirtó az első bejövő email idején már felismerte-e volna a cuccokat

ez a lenyeg, hogy pont azt tudjuk meg belole, a mailfilter logok parsolasaval es abbol statisztika keszitesevel

Rendes helyeken a munkaszerződéssel együtt írják alá, hogy a munkáltató által adott emailfiók, rendszerek kizárólag munkára használhatóak, és bármikor ránézhet a munkáltató mindenféle okokból. Az különösen érdekes koncepció, hogy bárki a munkáltató által biztosított erőforrásokat privátnak tekinti... Pont a jogi embere lesz az első, aki ezt odairatja. :)

Ráadásul nem turkál senki, hanem automatikus scriptek futnak.

Nem teljesen. A "bármikor" és a "mindenféle" nem áll meg, kell eseti jogi hozzájárulás "rendes" helyeken.+  Ezt azért íratják alá, hogy adatszivárgás esetén a cég letolja magáról a felelősséget, hogy privát személyes adataidat is kezelte, mivel te aláírtad, hogy ilyen jellegű adatot ott nem tárolsz.

Nagy multinál ha lelépsz, csak simán disabled-be rakja az IT a fiókodat, és törlik kb azonnal a mailboxodat. Ha a (volt) főnököd akarná, se tudna hozzáférést kapni a régi levelezésedhez. Max. a HR adhatna ki ilyennparancsot ha valami munkaügyi v. büntetőjogi eset felmerül, sima mezei csapatvezetőnek az alvégeken nem adtak ki accountot csak mert "jó lenne".

Mesélte volt főnököm előző helyen h. szerettek volna (a csapatával) hozzáférést kapni valamelyik épp akkor felmondott emberének a mailbox-ához, de a mail team elhajtotta őket a picsába. Mondjuk annál a cégnél az exchange-es emberek mindenkit elhajtottak a picsába minden kérdés/kéréssel. Nekem is volt szerencsém pár alkalommal a segítőkész együttműködési hajlandóságukat tesztelni (társ-csapatban dolgozva, de hát az exchange üzemeltetők azok istennek képzelték magukat minden más kapcsolódó pl. AD üzemeltezökhöz képest). Hálistennek azóta eljöttem onnan, meg az exchange-es csapatból is jópáran azóta.

Üzleti döntés az, hogy aki elmegy annak az anyagaival mi történjen, mert amit a céges környezetben előállítottál az a cég tulajdona.

Ha az IT meg tudja indokolni azt, hogy minden kilépőnek az adatairól másolatot kell készíteni és tárolni hosszabb távon (pl. mert olyan projekteken dolgozott ami 2-4 év is lehet) és erre a CEO rábólint, akkor másolatot kell készíteni a felhasználó postafiókjáról.

Természetesen ennek követelményei is vannak:

- felhasználó tájékoztatása, hogy mi történik az adataival kilépéskor

- ki-hogyan férhet hozzá a letárolt adatokhoz

Alapszabály, hogy céges környezetben nem tárolunk privát adatokat, és erre rendszeresen felhívjuk a felhasználók figyelmét.  

Alapszabály, hogy céges környezetben nem tárolunk privát adatokat, és erre rendszeresen felhívjuk a felhasználók figyelmét.

Ez az elmélet, de ember legyen a talpán, aki a gyakorlatban is meg tudja csinálni. :)

Már önmagában a munkaviszonyod kapcsán generálódnak személyes, vagy sokszor akár különleges adatok. A dolgozónak adókedvezményre jogosító egészségügyi állapota van, beszkenneli az orvosi igazolását, elküldi a bérszámfejtésnek. Privát adat? Hogyne. Meg tudod oldani, hogy ne kerüljön bele az archívumba, amit az IT bármikor megnézhet, mert "kell a projekthez"?

Ezek külön szabályzás alá esnek, mert az adatkezelés célját a számviteli, és az adózásról szóló törvények, meg a munka törvénykönyve írja elő. Ugyanakkor ezeket a cégnek rendesen kell kezelnie, nem szétszórni a szélben ezeket.

Például egy régi munkahelyemenem hiába voltunk ájti, csak annak a két kollégának volt hozzáférése a HR-re (is) használt rendszerhez, akik fejlesztették/karbantartották.

Ugyanakkor ezeket a cégnek rendesen kell kezelnie, nem szétszórni a szélben ezeket.

 

ROTFL.... kb. minden céges kérvényre, beadványra, igénylőre, formanyomtatványra meg kell adnom mindig az összes adatomat. Újra meg újra. Az évente ismétlődőkre is. Mert h. olyan jól kezelik elméletben!

De én nem a HR rendszerről beszélek, hanem arról az útvonalról, ahogy az adat a szkennerből a HR rendszer diszkjére került. :)

Gondolom nálatok sem olyan profi az email archiváló megoldás, hogy a beszkennelt .jpg-t felismeri, hogy ez most bizony eü adat, nem kell archiválni. Így viszont álszentség az egész "ne tárolj privát adatot" című szöveg, és ez csak egy példa volt, tudnék még mondani.

Amit céges erőforrásokon készítesz az céges, és a cégnek teljes hozzáférése van, és ezt a GDPR és hasonlóak óta alá is iratják bizony. Audit miatt, bármi miatt. Nézd csak meg az Office365 vonatkozó fejezetét, durva szűréseket lehet benne csinálni, és megy a riport a compliance departmenthez, mármint a saját cégeshez. Ilyesmi szabályok, hogy "állítsa meg a levelet, ha X, és értesítse a compliance officert" c. dolgok. Ezek mind valamilyen szabályzásból, biznisz igényből jöttek. Ez csak úgy megy, hogy értesítés nélkül bármikor ellenőrizhetik, mint pl. szúrópróba.

Pont ezt írtam, a GDPR miatt íratják alá, hogy ha kikerül az adat/elhagyod az eszközt,.. akkor azt lehessen mondani hogy csak céges adat volt rajta.  Így a cégnek a te személyes adataid (családi fotók) része miatt nem kell plusz kontrollokat alkalmazni és ezért felelősséget vállalnia.

Ha valamire rule van felvéve az nem szúrópróba. Keverjük a fogalmakat.

Amögött van valami üzleti vagy megfelelőségi indok, azt valaki jóváhagyta, nem az admin állított be, csak mert statot akar csinálni valamiről.

 

+ a válasz benne van a hozzászólásodban is:

A compliance csapat kapja és nézegeti ezt, nem a mail szerver adminja. Azért mert nekik ezt jóváhagyták, ez a munkájuk. Sima IT-s nem nézeget semmit.

Volt tavaly , de azt hiszem már idén is ez az Emotet téma. Tudod amikor a user egy általa küldött levél , vagy olyan bejövő ahol a küldő nem tudja mi az a BCC (és elküldi 3000 email címre) szövegével visszakapja a víruskát. Ha most nem nézhetem meg mi történt az eredeti levéllel, ki fért hozzá , honnan a picsából derítem ki, hogy nem tőlünk vitték el? Vagy adatvédelemileg az egyáltalán nem aggályos, hogy a ruszki barátaink olyan levelekre válaszolnak az eredeti quote-al ami tőlünk ment ki vagy megkaptuk már egyszer?

Ez teljesen más. Ennek incidens kezelés a neve és egy konkrét levél mintára keresel (feladó, címzett,..), nem a teljes mailboxban turkálsz. Ehhez kaphatsz eseti vagy "bianco" hozzájárulást a jogtól, de kell hogy ilyen típusú információbiztonsági esemény legyen. 

Ezt nehéz általában fejben szétválasztani üzemeltetőnek, hogy mert a "te" szervereden vannak adatok, azok nem a te adataid, nem neked kell kitalálnod és kontrollálni a hozzáféréseket. Te csak végrehajtod amire megkérnek, engedélyeznek,... sokan szereptévesztésben vannak, csak mert van root joguk a rendszerhez.

+ ezek már komplex dolgok, nem csak a mail szerver log kell hozzá hanem végponti AV/EDR, tűzfal, IDs/IPS,...ha fel akarsz egy ilyen ügyet deríteni. Ezek jó részéhez hozzá tudsz férni simán, de pl a proxy log megint hasonló lehet adatvédelmi szempontból. Abban sem szoktak turkálni "csak úgy" jobb helyeken.

Incidenst nem csak akkor tudok kezelni ha megbizonyosodtam róla, hogy van incidens? 

Itt például simán kiderült, hogy nem tőlünk került ki, sőt úgy 75%-ban abban is biztos vagyok, hogy kitől (volt pár ami a saját MX-ükön keresztül jött :)), de mérget mernék rá venni, hogy ott sem lett belőle incidens (tippre észre se vették :(). :D

Nem.

"ISO 27001 defines a security incident as an unwanted event that could endanger the confidentiality, integrity, or availability of information."

Egy vírusos csatolmány detektálása már az, és ha te összeszeded, hogy ki kapott/küldött még ilyet az már az incidens kezelése része. Valami infód valahonnan csak volt, ami alapján úgy gondoltad, hogy bele kell nézni milyen levek jöttek/mentek. Vagy csak megérzés volt? :-)

Valami infód valahonnan csak volt, ami alapján úgy gondoltad, hogy bele kell nézni milyen levek jöttek/mentek. 

Két kolléga is jelezte , hogy ilyet kapott. Aztán átnéztem a logokat, hogy ki kapott ez elmúlt pár napban UNCHECKED (jelszavas zip-be jött a jószág) abból kiderült , hogy olyan is kapott aki nem jelezte. Ezeknek  a leveleknek az eredetijét néztem át. Nagy része körlevél volt amit azóta is BCC-nélkül küldenek a felettes szervek, jó esélyel a 300 címzetből egyet megtörtek akik épp lehettünk volna mi is (mindenesetre azon kívül, hogy igénytelen nehezíti annak kiderítését , hogy hol leakelődött). Volt pár ami kétszereplős , de ott meg a másik oldal mx-étől jött be a vírusos válaszlevél (azaz jó esélyel megtörték/megadta a delikvens a jelszavát az ottani fióknak).

Ha minden vírusos emailt jelentenék az NKI-nek mint biztonsági incidenst/eseményt (úgy rémlik mintha kellene,de nem vagyok jogász szerencsére) szerintem nem növekedne a népszerűségi indexem. ;)