Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est 
insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans 
le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de 
répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle 
génération d'AVs de poste fait de l'analyse comportementale pour bloquer les 
activités processus trop louches (ROP, nop sleds, etc...).

Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield 
& Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait 
venir à terme dans FortiClient. 
Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions 
AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que 
fonctionnait un des modules de MalwareBytes il y a quelques années). 

Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un 
travail conjoint en open source entre des universités françaises et 
américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire.

Michael
+33628781171

-----Message d'origine-----
De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Michel Py
Envoyé : mardi 26 juin 2018 23:54
À : David Ponzone <david.ponz...@gmail.com>; 
samuel.gaiani-porq...@infiniteconnection.fr
Cc : Xavier Beaudouin <k...@oav.net>; frnog <frnog@frnog.org>
Objet : RE: [FRnOG] [TECH] Solutions firewall NGN

> David Ponzone a écrit :
> Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?

Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le 
pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même 
constructeur, ce qui augmente les chances d'intercepter le virus.

> Il serait donc peut-être intéressant d’établir une liste des solutions AV 
> Endpoint sérieuses ?

Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
McAffee j'évite comme la peste.
Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).

J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la 
license à vie), mais récemment ils ont complètement pété les plombs. Non 
seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en 
plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une 
installation fraiche) ou j'ai du l'enlever).

Michel.

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à