Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno <bruno.crocqueviei...@socgen.com> a écrit : > Bonjour, > > > > Comme vous le voyez dans ma signature je bosse pour une banque et inutile > de dire que nous prenons ce problème au sérieux… sans avoir de solution > miracle pour le moment. > > > > Nous avons plusieurs POCS en cours et nous allons donc bientôt nous > décider pour une ou plusieurs solutions. > > > > Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent > passer tous les virus de ce genre la solution est compliquée sans passer > par un outil dédié. > > Nous avons tout de même la chance que notre navigation internet passe par > un proxy avec authentification et cela empêche certains virus de > télécharger leur payload. > > > > Solutions que nous avons mis réellement en place actuellement : > > - désactivation par défaut des macros (mais activables par > l’utilisateur) > > - blocage de tous les sites catégorisés comme suspects et non > catégorisés par les firewalls > > - formations obligatoire des utilisateurs > > - scripts de détection sur les serveurs de fichiers de > comportement anormaux et signes de cryptovirus (modification de plusieurs > dizaines de fichiers, détection des fichiers « type » des cryptovirus comme > les fichiers « locky » ou « mp3 » > > - et bien entendu des sauvegardes quotidiennes et pas > d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer… > > > > Et comme je l’ai dit un choix de logiciel anti APT en cours. > > > > De ceux que j’ai vu en POC Fortinet et son appliance et la solution > TrendMicro (présentée par la branche sécurité de Orange) m’ont bien > convaincu. > > Ils proposent les même fonctionnalités avec notamment le sandboxing avec > accélération temporelle pour « détoner » les charges virales et le blocage > systématique des pièces jointes similaires à une précédente détection. Ils > agissent par le blocage des pièces jointes détectées infectées et grâce à > l’analyse de la « détonation » en bloquant les adresses des serveurs de > command and control et les sites de téléchargement de la payload. > > > > Ces outils ne sont pas donnés par contre… donc pour une grosse société > c’est plus simple. > > > > > > > > Cordialement, > > > > *Bruno Crocquevieille* > Correspondant Sécurité des SI > > RESG/GTS/RET/FSO/FRF > > > Immeuble Boréa > Val de Fontenay > > Tél. > > +33 (0)1 58 98 94 98 > > Mob. > > +33 (0)7 84 44 09 22 > > E-mail > > bruno.crocqueviei...@socgen.com > <javascript:_e(%7B%7D,'cvml','bruno.crocqueviei...@socgen.com');> > > http://www.societegenerale.com > > > > [image: ribbon-black] > > > > > > *De :* FRsAG [mailto:frsag-boun...@frsag.org > <javascript:_e(%7B%7D,'cvml','frsag-boun...@frsag.org');>] *De la part de* > CORTES Bruno > *Envoyé :* jeudi 26 mai 2016 15:07 > *À :* French SysAdmin Group > *Objet :* [FRsAG] [Tech] Malware /Cryptolocker > > > > Plop la liste, > > > > C’est le 1er thread que j’ouvre, j’espère ne pas trop > faire dans le nimp… > > > > Je (nous, j’imagine également) suis particulièrement concerné par les > malwares/virus chiffreurs qui sévissent sur les postes de travail. > > Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien > que les dégâts soient restés circonscrits à un seul poste à chaque fois (et > une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien > partager les différentes solutions/techniques/restrictions des users/WTF > que vous avez mis en œuvre et pour quel résultat… > > > > Je ne suis pas intéressé par tout le discours marketing trouvable sur > toute les pages d’accueil des différents acteurs sécurité du marché, mais > les expériences tant positives que négatives en terme de déploiement de > solution / mitigation des menaces. > > > > Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles > réponses/remarques. > > > > Bruno C. Gestionnaire de parc > > > > *ü* > > *Pour la planète : échangez par courriel et n’imprimez que si nécessaire.* > > > > ========================================================= > > Ce message et toutes les pieces jointes (ci-apres le "message") > sont confidentiels et susceptibles de contenir des informations > couvertes par le secret professionnel. Ce message est etabli > a l'intention exclusive de ses destinataires. Toute utilisation > ou diffusion non autorisee interdite. > Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE > et ses filiales declinent toute responsabilite au titre de ce message > s'il a ete altere, deforme falsifie. > > ========================================================= > > This message and any attachments (the "message") are confidential, > intended solely for the addresses, and may contain legally privileged > information. Any unauthorized use or dissemination is prohibited. > E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any > of its subsidiaries or affiliates shall be liable for the message > if altered, changed or falsified. > > ========================================================= >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
