Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle génération d'AVs de poste fait de l'analyse comportementale pour bloquer les activités processus trop louches (ROP, nop sleds, etc...).
Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait venir à terme dans FortiClient. Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que fonctionnait un des modules de MalwareBytes il y a quelques années). Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un travail conjoint en open source entre des universités françaises et américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. Michael +33628781171 -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Michel Py Envoyé : mardi 26 juin 2018 23:54 À : David Ponzone <david.ponz...@gmail.com>; samuel.gaiani-porq...@infiniteconnection.fr Cc : Xavier Beaudouin <k...@oav.net>; frnog <frnog@frnog.org> Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > David Ponzone a écrit : > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même constructeur, ce qui augmente les chances d'intercepter le virus. > Il serait donc peut-être intéressant d’établir une liste des solutions AV > Endpoint sérieuses ? Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. McAffee j'évite comme la peste. Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la license à vie), mais récemment ils ont complètement pété les plombs. Non seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une installation fraiche) ou j'ai du l'enlever). Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
