Antivirus pour des raisons formelles - 2 : problèmes et solutions
mardi 17 janvier 2017
Dans la première publication de la rubrique " Antivirus pour des raisons formelles ", nous avons examiné une situation où l'entreprise est organisée d'une manière hasardeuse. Peut-on éviter cette situation et assurer une sécurité réelle ? Oui, c’est possible !
Les produits antivirus pour les entreprises possèdent une fonction de gestion centralisée et il est évident qu'il serait difficile de gérer des dizaines, centaines ou des milliers des postes sans cette fonctionnalité. Dr.Web fournit une protection centralisée via le Centre de Gestion de Dr.Web Enterprise Security Suite. Nous n'allons pas envisager ici toutes les fonctions du Centre de Gestion Dr.Web (le manuel détaillé fait plus de 300 pages), mais nous nous concentrerons uniquement sur les fonctions à utiliser afin d'éviter la situation décrite dans la première publication.
Problème
Une entreprise se trouve piratée. La contamination initiale est due au fait que l'antivirus installé sur l'ordinateur de l'employé qui a lancé un programme malveillant depuis un message de phishing et contenant un fichier « documents.exe », a été désactivé ou utilisait des bases virales obsolètes.
https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf
Solution
Tout est facile. Tout d'abord, nous pouvons interdire de désactiver l'antivirus aux utilisateurs (à la quasi-totalité des utilisateurs).
Ensuite, configurons les paramètres de mises à jour automatiques.
Problème
Une activité suspecte du logiciel légitime Ammyy Admin a été détectée.
Solution
Dans ce cas, les outils du Centre de Gestion permettent de configurer une réaction de l'antivirus sur les programmes malveillants ou potentiellement dangereux:
Problème
L'enquête a révélé que le lancement du fichier depuis des messages de phishing a été effectué par plusieurs employés.
Solution
Il aurait fallu configurer des privilèges différents pour différents groupes d'utilisateurs et pour les utilisateurs en particulier:
De plus, le Centre de gestion permet de configurer les notifications en cas d'épidémie afin d'alerter sur les cas de contaminations multiples:
Problème
Pour trouver et télécharger différents utilitaires (par exemple, Mimikatz), les malfaiteurs ont utilisé des ressources légitimes, en particulier, les moteurs de recherche connus, directement depuis les machines compromises.
Solution
Office Control - le composant qui est l’équivalent du Contrôle Parental au sein de Dr.Web Security Space et qui est bien connu de nos utilisateurs:
Problème
L'analyse des journaux du système de protection a confirmé un transfert via le réseau depuis les ordinateurs compromis, ainsi qu’une connexion aux GAB à l'aide de RAdmin. L'infrastructure de la banque ayant subi cette attaque est activement utilisée par les administrateurs pour la gestion à distance, y compris la gestion à distance des GAB.
Solution
Le Centre de gestion permet d'analyser les actions des administrateurs, ce qui permet de trouver le coupable de l'apparition des vulnérabilités du réseau.
Le projet Lumières sur la sécurité recommande
L'utilisation appropriée des solutions antivirus vous permet d'éviter des soucis en cas d'incidents. Mais le plus souvent, elle les empêche de survenir !
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
14:57:01 2018-08-22
razgen
01:50:01 2018-08-01
Bernard
19:56:05 2017-01-17