Bonjour à toutes et tous,
Contexte : travailleur indépendant dans le domaine de la sécurité informatique, avec le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes et/ou mobiles (Fedora) ainsi qu'une flotte mobile (Android).
J'aimerais faire le tour des produits disponibles sur la fonction antivirus/antimalware pour à la fois des points d'entrée et des serveurs, sachant que je fais bien la séparation entre les deux catégories (mais si je peux avoir un même produit pour les protéger toutes, ce serait pas plus mal).
Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands produits propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et peut-être Sophos ?
Concernant ClamAV, je peux lancer des scans de système de fichiers et de messages entrants et sortants, j'aimerais bien savoir s'il peut faire plus, notamment sur deux axes : la surveillance d'activités suspectes d'une part et son utilisation dans des applications web (pour scanner les uploads, typiquement). Auriez-vous des retours sur ClamAV ?
Le cas des postes de travail est un autre écueil : j'ai l'impression que côté GNU/Linux Fedora n'est pas aussi bien couverte que RHEL/Centos ou Debian. Qu'utilisez-vous pour sécuriser vos "endpoints", fixes et/ou mobiles ?
Bien cordialement,
Le 18/10/2021 à 20:57, Maxime DERCHE a écrit :
Bonjour à toutes et tous,
Contexte : travailleur indépendant dans le domaine de la sécurité informatique, avec le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes et/ou mobiles (Fedora) ainsi qu'une flotte mobile (Android).
J'aimerais faire le tour des produits disponibles sur la fonction antivirus/antimalware pour à la fois des points d'entrée et des serveurs, sachant que je fais bien la séparation entre les deux catégories (mais si je peux avoir un même produit pour les protéger toutes, ce serait pas plus mal).
Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands produits propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et peut-être Sophos ?
Concernant ClamAV, je peux lancer des scans de système de fichiers et de messages entrants et sortants, j'aimerais bien savoir s'il peut faire plus, notamment sur deux axes : la surveillance d'activités suspectes d'une part et son utilisation dans des applications web (pour scanner les uploads, typiquement). Auriez-vous des retours sur ClamAV ?
Le cas des postes de travail est un autre écueil : j'ai l'impression que côté GNU/Linux Fedora n'est pas aussi bien couverte que RHEL/Centos ou Debian. Qu'utilisez-vous pour sécuriser vos "endpoints", fixes et/ou mobiles ?
Il y a une petite liste ici (que je n’ai pas creusée) :
https://rspamd.com/doc/modules/antivirus.html
De mon côté je pense déployer ClamAV pour un serveur mail (avec rspamd donc), mais je n’en suis pas plus loin que ça.
Maxime,
C’est marrant, tu te poses des questions sur tes BSD/Linux, qui sont quand même globalement plus secure qu’un Windows (cela ne voulant pas dire qu’il ne faut rien faire, mais il y a de multiples trucs OpenSource qui peuvent tourner dessus pour les protéger genre OSSEC-HIDS, etc…), mais la vraie passoire dans ton truc, c’est les Android et le Play Store. Tu commences par leur interdire d’installer des apps en mettant dessus une solution de Mobile Management, parce que sinon….
Le 18 oct. 2021 à 18:57, Maxime DERCHE maxime@mouet-mouet.net a écrit :
Bonjour à toutes et tous,
Contexte : travailleur indépendant dans le domaine de la sécurité informatique, avec le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes et/ou mobiles (Fedora) ainsi qu'une flotte mobile (Android).
J'aimerais faire le tour des produits disponibles sur la fonction antivirus/antimalware pour à la fois des points d'entrée et des serveurs, sachant que je fais bien la séparation entre les deux catégories (mais si je peux avoir un même produit pour les protéger toutes, ce serait pas plus mal).
Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands produits propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et peut-être Sophos ?
Concernant ClamAV, je peux lancer des scans de système de fichiers et de messages entrants et sortants, j'aimerais bien savoir s'il peut faire plus, notamment sur deux axes : la surveillance d'activités suspectes d'une part et son utilisation dans des applications web (pour scanner les uploads, typiquement). Auriez-vous des retours sur ClamAV ?
Le cas des postes de travail est un autre écueil : j'ai l'impression que côté GNU/Linux Fedora n'est pas aussi bien couverte que RHEL/Centos ou Debian. Qu'utilisez-vous pour sécuriser vos "endpoints", fixes et/ou mobiles ?
Bien cordialement,
Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 https://www.mouet-mouet.net/maxime/blog/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 18/10/2021 à 19:08, David Ponzone a écrit :
Tu commences par leur interdire d’installer des apps en mettant dessus une solution de Mobile Management, parce que sinon….
Hello,
Des noms de logiciels de gestion mobile déjà testé? Parce que ça foisonne pas d'offre et même en propriétaire ça ne m'inspire pas confiance quand je vois des démos.
Ben celui de Meraki a le mérite d’être gratuit pour commencer et/ou faire un POC. Après, en fonction du volume et des fonctions qu’on veut, ça va taper un peu (mais je sais pas si c’est délirant compte tenu du risque que cela représente).
Dans un contexte BYOD, je regarderais aussi du côté de la segmentation pro/perso, mais je trouve aucun article récent sur Android for Work. Et voir comment ça s’intègre avec le MDM, pour que l’utilisateur puisse faire n’importe quoi du côté perso, mais soit bien restreint par le MDM du côté pro.
Le 18 oct. 2021 à 19:24, Wallace wallace@morkitu.org a écrit :
Le 18/10/2021 à 19:08, David Ponzone a écrit :
Tu commences par leur interdire d’installer des apps en mettant dessus une solution de Mobile Management, parce que sinon….
Hello,
Des noms de logiciels de gestion mobile déjà testé? Parce que ça foisonne pas d'offre et même en propriétaire ça ne m'inspire pas confiance quand je vois des démos.
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
En libre j'ai rien vu perso, en proprio y a VMWare AirWatch où j'avais d'excellents retours mais il semblerait que ça ai pas mal changé.
On 18/10/2021 19:24, Wallace wrote:
Le 18/10/2021 à 19:08, David Ponzone a écrit :
Tu commences par leur interdire d’installer des apps en mettant dessus une solution de Mobile Management, parce que sinon….
Hello,
Des noms de logiciels de gestion mobile déjà testé? Parce que ça foisonne pas d'offre et même en propriétaire ça ne m'inspire pas confiance quand je vois des démos.
Liste de diffusion du FRsAG http://www.frsag.org/
Y a ça qui a l’air pas mal sur le papier (mais Android seulement):
https://h-mdm.com https://h-mdm.com/
Y a une version Community pour tester, et après, ça tape pas trop.
Mais ils disent bien que c’est pas pour du BYOD. Je me demande si Google aurait pas abandonné Android For Work…
Le 18 oct. 2021 à 19:37, Jarod G. via FRsAG frsag@frsag.org a écrit :
Hello,
En libre j'ai rien vu perso, en proprio y a VMWare AirWatch où j'avais d'excellents retours mais il semblerait que ça ai pas mal changé.
Bonjour,
Pour les postes de travail, on utilise Eset sur Windows et Linux (Fedora et Debian). Ils ont aussi une version Android. Ça fait le taf et ça te remonte les alertes dans un contrôleur centralisé, en claoude hébergé par Eset ou on-prem. Pas gourmand en ressources, ça s'installe et s'oublie.
C'est un logiciel propriétaire, la licence est en fonction du nombre d'équipements surveillés.
Perso je suis pas fan de ces logiciels qui sont souvent là plus pour rassurer les clients plus que pour avoir un vrai impact sur les pratiques informatiques. Celui-ci fait que ce pour quoi il est prévu et sait se faire oublier.
My 2 cents, Kholah
Bonjour,
Le 19/10/2021 à 11:15, N R a écrit :
Bonjour,
Pour les postes de travail, on utilise Eset sur Windows et Linux (Fedora et Debian). Ils ont aussi une version Android. Ça fait le taf et ça te remonte les alertes dans un contrôleur centralisé, en claoude hébergé par Eset ou on-prem. Pas gourmand en ressources, ça s'installe et s'oublie.
C'est un logiciel propriétaire, la licence est en fonction du nombre d'équipements surveillés.
Perso je suis pas fan de ces logiciels qui sont souvent là plus pour rassurer les clients plus que pour avoir un vrai impact sur les pratiques informatiques. Celui-ci fait que ce pour quoi il est prévu et sait se faire oublier.
My 2 cents, Kholah
Pour ne rien te cacher j'ai ESET Protect [1] en tête. :)
Par contre je n'avais pas l'impression qu'il fonctionnait sous Fedora.
S'il fait Fedora en plus d'Android je ne me poserai probablement pas plus la question.
[1] : https://www.eset.com/fr/business/securite-entreprise-pme/
Bien cordialement,
Bonjour David,
Le 18/10/2021 à 19:08, David Ponzone a écrit :
Maxime,
C’est marrant, tu te poses des questions sur tes BSD/Linux, qui sont quand même globalement plus secure qu’un Windows (cela ne voulant pas dire qu’il ne faut rien faire, mais il y a de multiples trucs OpenSource qui peuvent tourner dessus pour les protéger genre OSSEC-HIDS, etc…), mais la vraie passoire dans ton truc, c’est les Android et le Play Store. Tu commences par leur interdire d’installer des apps en mettant dessus une solution de Mobile Management, parce que sinon….
En fait j'y suis obligé pour au moins deux grandes raisons : * d'une part je travaille sur de la conformité chez mes clients, dont de la gestion des tierces parties, et je suis une tierce partie vis-à-vis de mes clients donc je dois m'appliquer la procédure (politique de sécurité, procédure de gestion d'incident, gestion des risques, conformité ISO27001/COBIT/NIST-CSF/etc.) ; * d'autre part je dois faire super gaffe aux données de mes clients, protéger mes actifs, ordiphone et tablette en tête (donc autant mutualiser avec une solution "universelle" pour la protection de mes "endpoints").
La question n'est pas simplement celle de la sécurisation opérationnelle des actifs mais celle de la gestion du risque : que mets-je en face du risque "ransomware" ? Windows ou BSD, le risque existe et il est traitable, donc à traiter. :)
Bien cordialement,
Bonjour Maxime,
Je me permets une petite remarque pour rebondir sur ta phrase : le risque existe.
Pour qu'un risque existe, il faut la concordance de plusieurs éléments.
Qu'un incident ait lieu, qu'il ait un impact sous le prisme des critères de sécurité (Confidentialité, Intégrité, Disponibilité) et également des conséquences (réputation, finance)
Si on regarde de plus près ce qu'est un incident de sécurité : un actif (un ordiphone par ex), disposant d'une vulnérabilité, exploitée par une menace (un attaquant).
Dans le cas présent : * Est-ce qu'il existe des ransomwares sous BSD ? À ma connaissance non (mais je n'ai pas tout vu / entendu / je peux me tromper) => Pas de risque pour le moment (et tout ça peut changer très vite) * Est-ce qu'il existe des ransomwares sous Win$$ ? À ma connaissance oui :D => Risque à traiter (en priorité si possible).
Dans ton cas, je préfèrerais clairement sécuriser la plateforme la plus à risque avec le meilleur outil possible et descendre le niveau d'attention sur les actifs qui ne présentent pas de vulnérabilités connues (encore une fois je peux me tromper) et de menaces réelles. Quitte à avoir à terme ou en scénario intermédiaire 2 solutions de gestion.
-- *Arnaud Mombrial* RSSI
arnaud.mombrial@fabernovel.com +33 6 64 20 43 24
*Fabernovel* 46 rue Saint-Lazare 75009 Paris
www.fabernovel.com
On Tue, Oct 19, 2021 at 5:58 PM Maxime DERCHE maxime@mouet-mouet.net wrote:
Bonjour David,
Le 18/10/2021 à 19:08, David Ponzone a écrit :
Maxime,
C’est marrant, tu te poses des questions sur tes BSD/Linux, qui sont
quand même globalement plus secure qu’un Windows (cela ne voulant pas dire qu’il ne faut rien faire, mais il y a de multiples trucs OpenSource qui peuvent tourner dessus pour les protéger genre OSSEC-HIDS, etc…), mais la vraie passoire dans ton truc, c’est les Android et le Play Store.
Tu commences par leur interdire d’installer des apps en mettant dessus
une solution de Mobile Management, parce que sinon….
En fait j'y suis obligé pour au moins deux grandes raisons :
- d'une part je travaille sur de la conformité chez mes clients, dont
de la gestion des tierces parties, et je suis une tierce partie vis-à-vis de mes clients donc je dois m'appliquer la procédure (politique de sécurité, procédure de gestion d'incident, gestion des risques, conformité ISO27001/COBIT/NIST-CSF/etc.) ;
- d'autre part je dois faire super gaffe aux données de mes clients,
protéger mes actifs, ordiphone et tablette en tête (donc autant mutualiser avec une solution "universelle" pour la protection de mes "endpoints").
La question n'est pas simplement celle de la sécurisation opérationnelle des actifs mais celle de la gestion du risque : que mets-je en face du risque "ransomware" ? Windows ou BSD, le risque existe et il est traitable, donc à traiter. :)
Bien cordialement,
Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 https://www.mouet-mouet.net/maxime/blog/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Le 19/10/2021 à 18:31, Arnaud Mombrial a écrit :
Bonjour Maxime,
Je me permets une petite remarque pour rebondir sur ta phrase : le risque existe.
Pour qu'un risque existe, il faut la concordance de plusieurs éléments.
Qu'un incident ait lieu, qu'il ait un impact sous le prisme des critères de sécurité (Confidentialité, Intégrité, Disponibilité) et également des conséquences (réputation, finance)
Si on regarde de plus près ce qu'est un incident de sécurité : un actif (un ordiphone par ex), disposant d'une vulnérabilité, exploitée par une menace (un attaquant).
Dans le cas présent : * Est-ce qu'il existe des ransomwares sous BSD ? À ma connaissance non (mais je n'ai pas tout vu / entendu / je peux me tromper) => Pas de risque pour le moment (et tout ça peut changer très vite) * Est-ce qu'il existe des ransomwares sous Win$$ ? À ma connaissance oui :D => Risque à traiter (en priorité si possible).
Dans ton cas, je préfèrerais clairement sécuriser la plateforme la plus à risque avec le meilleur outil possible et descendre le niveau d'attention sur les actifs qui ne présentent pas de vulnérabilités connues (encore une fois je peux me tromper) et de menaces réelles. Quitte à avoir à terme ou en scénario intermédiaire 2 solutions de gestion.
Alors dans le monde UNIX on parle plus volontiers de rootkit que de ransomware mais, ayant traduit en Français "Designing BSD Rootkits" [1,2] il y a presque quinze ans je t'assures que le risque existe. D'ailleurs le Morris Worm [3], en 1988, ciblait des 4BSD sur des DEC VAX. :)
J'avoue ne pas avoir pris le temps d'une analyse de risque formelle mais mes actifs les plus risqués sont certainement l'ordiphone et la tablette, suivi de mon infrastructure auto-hébergée, parefeu et serveur. Ce premier groupe est directement exposé à Internet. Mon laptop ainsi que mon poste fixe, tous deux sous Fedora, composent un second groupe, moins risqué.
Une solution pour les équipements mobiles pourrait être partagée avec mes postes de travail. Le cas de l’infrastructure auto-hébergée aura probablement besoin d'être traité à part compte-tenu de la spécificité des choix techniques antérieurs.
Et même si le risque est négligeable, j'ai quand même l'obligation de me conformer aux exigences de mes clients relatives aux tierces parties. :) Si l'exigence est d'avoir un antivirus sur chaque actif, je dois positionner un antivirus sur chaque actif. Tu imagines le conseil en sécurité qui se fait pirater et on constate qu'il ne respecte pas les règles qu'il fait imposer chez ses clients ?
[1] : https://nostarch.com/rootkits.htm (2007) [2] : https://www.decitre.fr/livres/rootkits-bsd-9782744022203.html (2007) [3] : https://en.wikipedia.org/wiki/Morris_worm
Bien cordialement,
Hello Maxime,
Contexte : travailleur indépendant dans le domaine de la sécurité informatique, avec le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes et/ou mobiles (Fedora) ainsi qu'une flotte mobile (Android).
J'aimerais faire le tour des produits disponibles sur la fonction antivirus/antimalware pour à la fois des points d'entrée et des serveurs, sachant que je fais bien la séparation entre les deux catégories (mais si je peux avoir un même produit pour les protéger toutes, ce serait pas plus mal).
Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands produits propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et peut-être Sophos ?
Tu peux peut-être faire tourner certains produits proprio en emulation linux. Mais saches qu'un bon clamav bien foutu te fera plus de bien qu'un truc proprio porté sous linux qui ne sera pas très bien mis a jour à cause du fait que Linux est encore plus ou moins peu utilisé vs windowz...
D'autre part pour un mail je te conseille de scan non seulement l'entrant mais AUSSI le sortant... Ca évite des surprises.
applications web (pour scanner les uploads, typiquement). Auriez-vous des retours sur ClamAV ?
Sur cette partie selon le serveur web que tu as, il y a des modules... ou trucs qui peuvent scanner après upload. Attention au DoS qui peux arriver si tu ne fait pas une queue entrante...
Personnellement une bonne hygiene de vie, marche aussi bien que ces paliatifs que sont les antivirus.
Après ça dépends de quelles solution opensource tu utilises mais rspamd / amavisd-new font bien le taf pour le mail.
/Xavier
Bonjour,
Le 19/10/2021 à 12:08, Xavier Beaudouin via FRsAG a écrit :
Hello Maxime,
Contexte : travailleur indépendant dans le domaine de la sécurité informatique, avec le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes et/ou mobiles (Fedora) ainsi qu'une flotte mobile (Android).
J'aimerais faire le tour des produits disponibles sur la fonction antivirus/antimalware pour à la fois des points d'entrée et des serveurs, sachant que je fais bien la séparation entre les deux catégories (mais si je peux avoir un même produit pour les protéger toutes, ce serait pas plus mal).
Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands produits propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et peut-être Sophos ?
Tu peux peut-être faire tourner certains produits proprio en emulation linux. Mais saches qu'un bon clamav bien foutu te fera plus de bien qu'un truc proprio porté sous linux qui ne sera pas très bien mis a jour à cause du fait que Linux est encore plus ou moins peu utilisé vs windowz...
D'autre part pour un mail je te conseille de scan non seulement l'entrant mais AUSSI le sortant... Ca évite des surprises.
Oui je vérifie évidemment l'entrant et le sortant, simple à configurer depuis rspamd. Mais la messagerie n'est qu'un point parmi d'autres.
Je ne suis pas certain que techniquement le moteur de ClamAV soit compétitif face aux grands noms de l'antimalware, vu la course à l'armement qui sévit dans ce marché depuis plusieurs décennies aujourd'hui.
Par contre du coup : * est-ce que les versions GNU/Linux des grands produits propriétaires/fermés commerciaux de l'antimalware embarquent l'intégralité des fonctions de leur version Windows et/ou MacOS ? * les jeux de règles commerciaux pour ClamAV valent-ils le coup par rapport aux jeux de règles communautaires ? et aux bases virales des produits commerciaux ?
applications web (pour scanner les uploads, typiquement). Auriez-vous des retours sur ClamAV ?
Sur cette partie selon le serveur web que tu as, il y a des modules... ou trucs qui peuvent scanner après upload. Attention au DoS qui peux arriver si tu ne fait pas une queue entrante...
Je m'attendais à un contrôle au niveau applicatif, pas au niveau du serveur web, mais pourquoi pas, j'ajoute à ma liste de recherche.
Personnellement une bonne hygiene de vie, marche aussi bien que ces paliatifs que sont les antivirus.
Dans mon cas je t'assure que le niveau d'hygiène est important, mais il ne l'est jamais assez, donc l'antimalware n'est pas un palliatif, c'est un outil de gestion du risque pour le jour où j'ai pas vu arriver le drame. :)
Bien cordialement,
On Tue, 19 Oct 2021 18:48:46 +0200 Maxime DERCHE maxime@mouet-mouet.net wrote:
Par contre du coup :
- est-ce que les versions GNU/Linux des grands produits propriétaires/fermés
commerciaux de l'antimalware embarquent l'intégralité des fonctions de leur version Windows et/ou MacOS ?
- les jeux de règles commerciaux pour ClamAV valent-ils le coup par rapport aux
jeux de règles communautaires ? et aux bases virales des produits commerciaux ?
Bonjour,
quels grands produits propriétaires fermés ? F-Prot ? Autre ?
Sans être experte dans le domaine je m'aventurerai à dire que aucun des anti-virus anti-malware n'a toutes les solutions à lui tout seul.
Par exemple quand je lance un Live CD Kasperski (construit sur Gentoo), je peux voir le téléchargement avant démarrage de scan d'une base virale de plus de 8 milliards de signatures.
Cela signifie-t-il qu'il sait tout supprimer à lui tout seul, dans le PC infecté d'un de mes clients particulier ?
Eh bien pas toujours, car il n'y a pas que les virus et les trojans, il y a aussi les PUP (potentially undesirable programs) qui ont souvent trait à de la publicité. Après un passage de Kasperski j'ai toujours tenté un Malewarebytes derrière, puis un RogueKiller, et parfois encore un autre tant que chacun d'entre eux avait trouvé des fichiers suspicieux.
Prenez un fichier douteux, passez-le sur VirusTotal, et observez le résultat. https://fr.wikipedia.org/wiki/VirusTotal
sur la page Wikipédia une longue liste de programmes anti malwares vous attend. (Ainsi que sur le site VirusTotal bien sûr ^^).
Quelqu'un sur cette discussion a-t-il évoqué les IDS ? https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d%27intrusion
À propos des distributions issues de BSD je suis sûre que ça ne peut être que de bons choix. Les distributions Free/Open/NetBSD et GNU/Linux ont les mêmes genre de stratégies de droits et permissions dans le système, et des sécurités disponibles en plus pour qui veut s'y pencher. (SELinux, PAM… ? ACL ?)
Cordialement, Joyce MARKOLL
-
Archange -
Arnaud Mombrial -
contact@orditux.org -
David Ponzone -
Jarod G. -
Maxime DERCHE -
N R -
Wallace -
Xavier Beaudouin