Hello, On Sat, Feb 24, 2024, at 18:21, Maxime DERCHE wrote: > Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit : >> Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/.... ? > > Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non > connectée au réseau. Et oui si c'est infecté ça peut servir de relais,
OK, donc d'apres toi il faut des anti-virus sur tous les iDRAC/iLO/tout autre dispositifs "embedded"/"black box". Parce qu'il faut pas oublier, les iDRAC/iLO sont des machines a part entiere, avec leur propre pile IP, leur propre table de routage et regle de filtrage. Tres souvent avec les cartes reseau dedies, non-accessible pour la machine geree. Et la myriade de dispositifs "proprietaires"/"embedded"/"black-box" (limite IoT, quoi-que....), ils sont dans leur vaste majorite bases sur un Linux (d'habitude PAS recent, et dont il n'est PAS possible de le mettre a jour - dernier "firmware" etant avec un noyau + utils datant de plusieurs annees). Ceux-la, aussi, faut donc qu'ils ont un anti-virus chacun ? Ca commence a devenir TRES complique ! Mon point c'est qu'exiger que *TOUTES* les machines tournent un anti-virus, c'est une debilite absolue. L'exemple de la machine non-connecte au reseau (ce qui peut quand-meme etre vrai) est juste un cas; la, je presente d'autres. Et parfois il est juste impossible d'installer un anti-virus sur *TOUTES* les machines. A, on parlait de "Serveur". C'est quoi la definition exacte ? > or sur ton réseau d'administration t'as généralement pas envie d'avoir > d'emmerde, > et surtout pas d'emmerde *anticipable*. Vu comme ca, c'est juste question d'imgaination pour dire que tu n'as pas gere tel ou tel "risque". > Euh tu confonds tellement de choses qu'on se demande quoi répondre... > > Un antivirus à base de signature n'a pas pour objectif de protéger contre des > exploits 0-days qui précisément n'ont aucune chance d'être dans sa base. Ah bon ? Donc les anti-virus ne font rien d'autre ? Moi j'etais toujours au chapitre que plus les annees passent, plus il faut passer du temps a de-activer des fonctionalites sur un anti-virus fraichement installes, fonctionalites qui n'ont rien a voir avec l'analise a base de signatures (qui est juste UNE des fonctionalites d'un anti-virus d'aujourd'hui). > Et vu le prix des 0-days on évite de les gâcher : ton scénario est absurde. > :-( Effectivement, jusqu'au jour ou .... ... ou au pif le 0-day c'est pas vraiment 0-day mais j-7, et le backlog de travail de l'equipe secu est de 8 jours ... Jamais eu des mises a jour "de securite" qui ont casse beaucoup plus de fonctionalites que les failles de securite corriges ? Ou alors "pour corriger le CVE-XYZT-ABC, il faut passer dans la version M+1.N (ou M.N+3)"... > Ensuite, évidemment une bonne analyse est préférable à une mauvaise analyse, > surtout > en considérant les très fortes contraintes de fonctionnement de ces logiciels > (temps > d'exécution, ressources consommées, nombre de différences sur le stockage > entre deux > scans, etc.). Pire/mieux: parfois PAS d'analyse est preferable a une mauvaise analyse. > Les faux positifs, évidemment on s'en passerait, surtout côté SOC/CERT, et > ils sont > généralement d'autant plus gênants qu'ils sont extrêmement rares sur les > bases de > signatures, donc on a tendance à ne pas y croire. Voir plus haut pour la "base de signatures". Il y a aussi la mauvaise categorisation: les "virus" ne sont pas forcement tous des vrais "virus"; certain outils de securite sont aussi categorises comme "virus"/"malware". > l'activité change, > mais ce sont des technologies très différentes d'un bête antivirus, > donc hors-sujet ici. "Bete anti-virus" ? Voir plus haut. >> Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions >> anti-virus ? > > C'est ahurissant de lire un truc pareil. :-) Ok, donc tu fais du conseil. Est-ce que tu dois supportes les consequences de tes conseils a long terme ? Est-ce que tu dois arbitrer entre "encore plus de securite" et "ressources metier" (== autre chose que securite) aupres de ton departement finance ? Et si tu arrives a le faire avec succes, et-ce que tu crois que c'est valable partout et tout le temps (a long terme, encore une fois) ? Dans le monde de la cyber-securite, il y a plein de solutions (??? toutes ???) qui fonctionnent assez/tres bien dans certains cas et tres mal/pas du tout dans d'autres, et l'anti-virus en est une. Donc exiger "anti-virus sur toutes les machines" est debile. Et quand ca arrive quand-meme, et de facon contraignante, on essaie de sortir du perimetre les cas ou ca n'a pas de sens. En jouant sur le definitions s'il le faut. C'est un jeu usant, penible voire meme risque parfois, mail qu'il faut bien jouer devant des exigences debiles. BONUS : en face il y a des comptables qui ne comprennent rien a la securite, ils mettent juste les reponses dans une machine a scoring. Hereusement qu'ils ne sont pas tous comme ca. Malhereusement il y en a aussi des "pros de la securite" qui le sont (pas d'alusion, juste un constat au fil des annees). J'ai pu comprendre que meme les exigences style PSI-DSS peuvent etre interprétables/negotiables (selon l'auditeur). Est-ce que mon point est plus clair maintenant ? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
