Je ne dis pas que TOUS les cryptovirus passent (heureusement) mais nous sommes victimes d’attaques ciblées durant des « campagnes » et dans ce cas il peut se
passer plusieurs jours avant que les antivirus (même les meilleurs) mettent leurs signatures à jour.
Ceci dit, si 5% des cryptovirus passaient ce serait une catastrophe pour nous ! Cela voudrait dire des milliers de mails à l’échelle du Groupe !
Même en utilisant un moteur sur les équipements réseaux par lesquels transitent les mails et un autre moteur sur le poste de travail il en est passé suffisamment
pour que l’on ai quelques répertoires cryptés.
La vraie solution c’est le sandboxing pour faire détoner les charges virales. Encore faut-il que la solution de sandboxing soit suffisamment intelligente pour
ne pas se faire détecter par le virus ! Car les virus les plus évolués savent détecter le sandboxing.
Cordialement,
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
De : Romain [mailto:romain@borezo.info]
Envoyé : jeudi 26 mai 2016 20:31
À : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv
Cc : CORTES Bruno; French SysAdmin Group
Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker
Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno <Bruno.Crocquevieille@socgen.com> a écrit :
Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
-
désactivation par défaut des macros (mais activables par l’utilisateur)
-
blocage de tous les sites catégorisés comme suspects et non catégorisés par les firewalls
-
formations obligatoire des utilisateurs
-
scripts de détection sur les serveurs de fichiers de comportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers
« type » des cryptovirus comme les fichiers « locky » ou « mp3 »
-
et bien entendu des sauvegardes quotidiennes et pas d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes
similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
De : FRsAG [mailto:frsag-bounces@frsag.org]
De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur
de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que
négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü |
Pour la planète : échangez par courriel et n’imprimez que si nécessaire. |
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message")
sont confidentiels et susceptibles de contenir des informations
couvertes par le secret professionnel. Ce message est etabli
a l'intention exclusive de ses destinataires. Toute utilisation
ou diffusion non autorisee interdite.
Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
et ses filiales declinent toute responsabilite au titre de ce message
s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential,
intended solely for the addresses, and may contain legally privileged
information. Any unauthorized use or dissemination is prohibited.
E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
of its subsidiaries or affiliates shall be liable for the message
if altered, changed or falsified.
=========================================================