Franchement, si c'est pour faire du signature based, Clam/Clamwin ou l'AV embarqué de Windows font suffisament bien (comprendre mal) le job, pas besoin de passer 2 ans sur le sujet. Après si on veut vraiment sécuriser le truc, vu les attaques bien merdiques qu'on voit maintenant, il faut passer sur des solutions bien plus avancés, avec du sandboxing, etc...
A priori la solution qui a le vent en poupe sur le sujet, c'est Sentinel One (gagne les marchés bancaires, institutionnels, etc...) qui s'intègre avec Fortinet justement, ou Palo Alto. Bon c'est vraiment du truc de grand comptes, faut avouer, mais voilà, c'est très avancé comme solution. Le mer. 27 juin 2018 à 14:05, Michael Bazy <mb...@exclusive-networks.com> a écrit : > Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est > insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité > dans le traitement, notamment sur les possibilités de faux-positifs, > d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, > etc). La nouvelle génération d'AVs de poste fait de l'analyse > comportementale pour bloquer les activités processus trop louches (ROP, nop > sleds, etc...). > > Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font > Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et > ça devrait venir à terme dans FortiClient. > Si je ne m'y arrête pas, c'est également ce que font la plupart des > solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi > comme ça que fonctionnait un des modules de MalwareBytes il y a quelques > années). > > Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti > d'un travail conjoint en open source entre des universités françaises et > américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. > > Michael > +33628781171 > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > Michel Py > Envoyé : mardi 26 juin 2018 23:54 > À : David Ponzone <david.ponz...@gmail.com>; > samuel.gaiani-porq...@infiniteconnection.fr > Cc : Xavier Beaudouin <k...@oav.net>; frnog <frnog@frnog.org> > Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > > > David Ponzone a écrit : > > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? > > Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le > pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même > constructeur, ce qui augmente les chances d'intercepter le virus. > > > Il serait donc peut-être intéressant d’établir une liste des solutions > AV Endpoint sérieuses ? > > Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. > McAffee j'évite comme la peste. > Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). > > J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la > license à vie), mais récemment ils ont complètement pété les plombs. Non > seulement c'est cher pour la solution Entreprise (plus cher que Symantec) > et en plus maintenant çà plante; ça fait plusieurs machines récemment (y > compris une installation fraiche) ou j'ai du l'enlever). > > Michel. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Guillaume BARROT --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
