Gegenargumente für ein Full Scan bei VMs

[d.claes]

Hallo zusammen,

folgendes Ticket haben wir von einem Kollegen bzgl. Kaspersky erhalten:

"Hi It’s there a way to exclude scan of VM’s files in scan.
I have many Vm on my device. There are used for testing software etc. They are static VM with single snapshot.. Scan those vm has nothing to do with security. It’s only killing my device.

It’s 3PM and still scan didn’t’ finished it work. After 3 hours of scan he did 70%."

 

Derzeit gibt es wöchentlich ein Full Scan, allgemein macht dies auch keine Probleme. Nur einer beschwert sich öfter darüber. Gibt es Gegenargumente für eine Änderung. 

 

Viele Grüße

Dennis

[alexcad]

Hallo Dennis,

warum hat der Kollege VMs lokal auf seiner Maschine liegen? Da gibt es ja weit bessere Möglichkeiten.

Aber zu deiner Frage: Wenn in den VMs eine zentral gesteuerte und überwachte EndpointSecurity läuft, hätte ich kein Problem damit das aus dem Scan zu nehmen.
Die Aussage deines Kollegen klingt hier aber nicht sehr vertrauensfördernd und ihr habt vermutlich über die VMs keine Kontrolle.

Daher nochmal: Das sollte nicht lokal und damit außerhalb jeglicher Standards und Reglementierung laufen. Zumal lokale Virtualisierungen oft bei weitem nicht so abgeschottet sind, wie manche denken. Auch gibt es immer mal wieder Sicherheitslücken, die ein Ausbrechen aus der VM erlauben. Vermutlich ist aber auch das Patchen dieser Lösung außerhalb eurer Kontrolle.

Stellt dem Kollegen eine Virtualisierungsumgebung zur Verfügung, am besten noch in einem abgeschotteten Netz mit restriktiven Firewall-Regeln, einem Monitoring, einem Patchmanagement und vielleicht sogar einer Scan-Engine auf Hypervisor-Ebene, z. B. über die Kaspersky Hybrid-Cloud-Security. Damit lassen sich auch virtuelle Maschinen in Cloud-Umgebungen schützen. Wäre ja für den Kollegen auch eine Option, das über Azure, AWS, GCP oder einen anderen Cloud-Provider abzubilden. 

Grüße
Alex