On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote: > Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", > c'est même du > quotidien sur le terrain à peu près partout. Dans le même genre on a le > mythe de > l'isolation sur un vlan séparé, où le serveur continue à traiter du > trafic... > > L'antivirus
Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/.... ? > apporte une protection antimalware, a minima vis-à-vis d'une base de > signatures connues, ce qui n'est pas "rien", surtout si la base est mise à > jour très > régulièrement (chaque heure). Si la machine est branchée au réseau il apporte > également une gestion unifiée des alertes, ce qui n'est pas rien non plus, > surtout > quand on connaît les temps de propagation (qui sont littéralement fulgurants > quand > tous les serveurs partagent la même architecture matérielle, le même OS et le > même > niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est > compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui > suivent), > sans alerte il n'est pas envisageable de répondre à l'incident autrement que > par un > communiqué de presse et une notification à la CNIL. L'antivirus participe à > la > supervision au même titre que les sondes de température remontées par SNMP. Mouais.... donc pour repondre a un attaque fulgurante 0-day qui arrive un dimanche nuit a 02h47 et finit de s'installer sur toute l'infra avant 02h53, il te faut un anti-virus ? De preference le meilleur des meilleurs qui intercepte tout acces disque et tout acces reseau et prend son temps pour bien analyser (mais pas forcement trouver quand il y a des choses a trouver) ? Est-ce qu'il aide au moins lundi pour le communique de presse et la notification au CNIL ? Et les 3 precedents annees de fausses alertes et faux positifs ... non, rien... > L'antivirus te permet de couvrir un risque. Un scénario d'attaque est > modélisable par > une chaîne de risques appliqués à des actifs, donc couper un risque > particulier sur > la totalité des actifs permet de casser un certain nombre de chaînes de > risques, et > c'est contrer autant de scénarii de risques à l'échelle globale de > l'infrastructure. Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions anti-virus ? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/