Bonjour, Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit :
On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote:Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic... L'antivirusBon, donc il faut un anti-virus pour chaque iDRAC/iLO/.... ?
Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non connectée au réseau. Et oui si c'est infecté ça peut servir de relais, or sur ton réseau d'administration t'as généralement pas envie d'avoir d'emmerde, et surtout pas d'emmerde *anticipable*.
apporte une protection antimalware, a minima vis-à-vis d'une base de signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très régulièrement (chaque heure). Si la machine est branchée au réseau il apporte également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout quand on connaît les temps de propagation (qui sont littéralement fulgurants quand tous les serveurs partagent la même architecture matérielle, le même OS et le même niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent), sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un communiqué de presse et une notification à la CNIL. L'antivirus participe à la supervision au même titre que les sondes de température remontées par SNMP.Mouais.... donc pour repondre a un attaque fulgurante 0-day qui arrive un dimanche nuit a 02h47 et finit de s'installer sur toute l'infra avant 02h53, il te faut un anti-virus ? De preference le meilleur des meilleurs qui intercepte tout acces disque et tout acces reseau et prend son temps pour bien analyser (mais pas forcement trouver quand il y a des choses a trouver) ? Est-ce qu'il aide au moins lundi pour le communique de presse et la notification au CNIL ? Et les 3 precedents annees de fausses alertes et faux positifs ... non, rien...
Euh tu confonds tellement de choses qu'on se demande quoi répondre...Un antivirus à base de signature n'a pas pour objectif de protéger contre des exploits 0-days qui précisément n'ont aucune chance d'être dans sa base.
Et vu le prix des 0-days on évite de les gâcher : ton scénario est absurde. :-(Ensuite, évidemment une bonne analyse est préférable à une mauvaise analyse, surtout en considérant les très fortes contraintes de fonctionnement de ces logiciels (temps d'exécution, ressources consommées, nombre de différences sur le stockage entre deux scans, etc.).
Les faux positifs, évidemment on s'en passerait, surtout côté SOC/CERT, et ils sont généralement d'autant plus gênants qu'ils sont extrêmement rares sur les bases de signatures, donc on a tendance à ne pas y croire. Ils sont moins rares sur la détection d'intrusion, surtout quand elle est mal réglée et/ou que l'activité change, mais ce sont des technologies très différentes d'un bête antivirus, donc hors-sujet ici.
L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur la totalité des actifs permet de casser un certain nombre de chaînes de risques, et c'est contrer autant de scénarii de risques à l'échelle globale de l'infrastructure.Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions anti-virus ?
C'est ahurissant de lire un truc pareil. :-) Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
