Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno Bruno.Crocquevieille@socgen.com a écrit :
Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
désactivation par défaut des macros (mais activables par
l’utilisateur)
blocage de tous les sites catégorisés comme suspects et non
catégorisés par les firewalls
formations obligatoire des utilisateurs
scripts de détection sur les serveurs de fichiers de
comportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »
et bien entendu des sauvegardes quotidiennes et pas
d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
*Bruno Crocquevieille* Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.com javascript:_e(%7B%7D,'cvml','Bruno.Crocquevieille@socgen.com');
http://www.societegenerale.com
[image: ribbon-black]
*De :* FRsAG [mailto:frsag-bounces@frsag.org javascript:_e(%7B%7D,'cvml','frsag-bounces@frsag.org');] *De la part de* CORTES Bruno *Envoyé :* jeudi 26 mai 2016 15:07 *À :* French SysAdmin Group *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop
faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
*Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================