Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
Vu que ça véhicule principalement par email, je met une gateway mail en entrée avec un produit reconnu et les paramètres poussés au max. Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non les fichiers zip/autre.
Si tu veux tester, je suis dispo.
Le 26 mai 2016 à 15:06, CORTES Bruno bcortes@montbeliard.com a écrit :
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas tropfaire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
*Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
Liste de diffusion du FRsAG http://www.frsag.org/
(Re) Plop…,
Merci pour toutes ces premières réponses, il est vrai que le(s) blocage(s) proposés limitent grandement les risques d’infection, mais mon (notre) problème principal réside dans les « besoins » des users de ces fonctionnalités potentiellement dangereuses.
Désactiver les macros bureautiques, bloquer certaines extensions dans les PJ, etc., je peux même pas l’envisager… Les besoins (j’y voit surtout des habitudes) font que la moindre restriction est vécue (presque) comme une castration quand je vois les mails de mes users… Peut-être que je devrais demander à changer une partie du personnel pas assez « security friendly »… A voir avec RH…
A part ça nous avons déjà : Une protection de la messagerie par un presta externe (Vade Retro pour pas le nommer) qui nous certifie que son produit est le top du top et que si nous avons des problèmes c’est pas par les mails que ça arrive. Une protection, en plus du Firewall Cisco, sur le trafic Internet (Ironport Cisco) qui devrait voir/bloquer d’éventuels trafic de datas vers l’extérieur. Une solution Trend sur tous les postes client « up to date »…
Et avec ça on est toujours en pleine vague de : j’ai une alerte mais les fichiers sont déjà en partie chiffrés, et je suis bon pour un package remaster poste / verif serveur file et une plombe de palabre pour recommencer l’évangélisation…
Ah que notre vie est dure…
Bruno
[cid:image001.jpg@01D1B766.6826B750]
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
Bonjour,
En soit le chiffrage de ces fichers n'est pas très compliqué et on peu parer à quelques attaques facilement en déployant ce genre de patch :
https://github.com/cryptobioz/LockyVaccine
(de mémoire made in France)
Plus d informations ici
https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomwa...
Nous l avons déployer chez certains de nos clients et nous n'avons jamais eu problème.
Il y a d autre patch en fonction des versions du virus, mais le principe reste le même.
Pierre
On May 26, 2016 3:58:08 PM GMT+02:00, CORTES Bruno bcortes@montbeliard.com wrote:
(Re) Plop…,
Merci pour toutes ces premières réponses, il est vrai que le(s) blocage(s) proposés limitent grandement les risques d’infection, mais mon (notre) problème principal réside dans les « besoins » des users de ces fonctionnalités potentiellement dangereuses.
Désactiver les macros bureautiques, bloquer certaines extensions dans les PJ, etc., je peux même pas l’envisager… Les besoins (j’y voit surtout des habitudes) font que la moindre restriction est vécue (presque) comme une castration quand je vois les mails de mes users… Peut-être que je devrais demander à changer une partie du personnel pas assez « security friendly »… A voir avec RH…
A part ça nous avons déjà : Une protection de la messagerie par un presta externe (Vade Retro pour pas le nommer) qui nous certifie que son produit est le top du top et que si nous avons des problèmes c’est pas par les mails que ça arrive. Une protection, en plus du Firewall Cisco, sur le trafic Internet (Ironport Cisco) qui devrait voir/bloquer d’éventuels trafic de datas vers l’extérieur. Une solution Trend sur tous les postes client « up to date »…
Et avec ça on est toujours en pleine vague de : j’ai une alerte mais les fichiers sont déjà en partie chiffrés, et je suis bon pour un package remaster poste / verif serveur file et une plombe de palabre pour recommencer l’évangélisation…
Ah que notre vie est dure…
Bruno
[cid:image001.jpg@01D1B766.6826B750]
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
Liste de diffusion du FRsAG http://www.frsag.org/
Je pense que la sécurité n'est pas un produit mais un état d'esprit. Alors oui, les produits anti-virus, anti-malware, ça aide.... mais ça ne peux pas suffire. D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.
Je pense que sans préventif (à savoir la formation des utilisateur) il en passera toujours.
Mon expérience est que
Pour ce qui concerne le poste de travail, je considère que c'est du jetable. L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre média), c'est son problème. C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.
Coté serveur, si les sauvagardes sont bien faites et les droits d'accès pas trop délirants, ça doit aller. J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros dégats. A noter quand même qu'il faut être en mesure de remonter rapidement des parties de la sauvegarde. Les filesystem à versionning sont assez utiles de ce point de vue.
Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui fait ça) Quelque chose qui serait de nature à détecter les problème et à limiter les dégats et serait de blacklister un usager ou un poste qui modifie trop de choses sur le serveur en trop peu de temps. Tu as lu et réécrit plus de X fichiers en moins de Y minutes ? => tu es bloqué et l'admin averti avec la liste des fichiers altérés. On peut aussi faire plus fin. t'as lu un fichier dont le types est connu (jpg, docx, pdf) et réécrit dans le même fichier un truc dont le type n'est plus identifiable. => +1 dans le compteur activité suspecte.
On 26/05/2016 15:28, Romain wrote:
Vu que ça véhicule principalement par email, je met une gateway mail en entrée avec un produit reconnu et les paramètres poussés au max. Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non les fichiers zip/autre.
Si tu veux tester, je suis dispo.
Le 26 mai 2016 à 15:06, CORTES Bruno <bcortes@montbeliard.com mailto:bcortes@montbeliard.com> a écrit :
Plop la liste, C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp… Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat… Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces. Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques. Bruno C. Gestionnaire de parc *ü*** /Pour la planète : échangez par courriel et n’imprimez que si nécessaire./// _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
""" Je pense que la sécurité n'est pas un produit mais un état d'esprit. Alors oui, les produits anti-virus, anti-malware, ça aide.... mais ça ne peux pas suffire. D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.
Je pense que sans préventif (à savoir la formation des utilisateur) il en passera toujours. """
Je suis du même avis que Pierre, il faudrait mettre un point d'honneur dans les entreprises à la formation des utilisateurs. Former les utilisateurs déjà en place et prévoir de former les nouveaux arrivants.
Le combo: traitement des mails en entrée + sécu des postes + utilisateurs formés + sauvegardes, devrait grandement réduire les risques, bien que 100% n'existe pas.
Belle journée,
Clem.
.--. |o_o | |:_/ | // \ \ (| | ) /'_ _/`\ ___)=(___/
Il y a aussi, mais toujours pour des entreprises car ce n’est pas donné, des outils comme Varonis qui permettent d’analyser tout ce qui se passe sur un serveur de fichier et qui corrèlent les infos.
Comme tu l’as dit on peut fixer des seuils et lancer des scripts en powershell par ex. Mais il sait aussi trouver les traces par le type de fichier écris, renommé ou supprimé en plus des seuils. Ce n’est pas sa seule utilité car Varonis répond à de multiples besoins…
Et je te rejoins évidemment sur la formation des utilisateurs même si la précédente campagne dont nous avons été victimes était tellement bien faite (mail en français correct, pièce jointe avec le nom de la victime, informations plausibles, etc…) que sans la vigilance d’un ou deux utilisateurs (qui ont malheureusement tout de même ouvert la pièce jointe) et une politique de sauvegarde performante nous aurions pû être confronté à une crise majeure.
Pour les postes de travail… seul un outil qui détecte le virus par quelque moyen que ce soit et qui « prévient » tous les autres postes et par exemple le point d’entrée SMTP de bloquer ce type de mail peut effectivement réduire l’infection. Et, oui, tout document important doit être sur un serveur… sinon tant pis pour l’utilisateur.
Nous avons aussi un script qui détecte certains cryptovirus… Je vais voir si je peux le diffuser…
Cordialement,
[cid:image001.gif@01D1B837.B796CB00]
Bruno Crocquevieille Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.commailto:Bruno.Crocquevieille@socgen.com
http://www.societegenerale.comhttp://www.societegenerale.com/
[ribbon-black]
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Pierre Colombier Envoyé : jeudi 26 mai 2016 16:36 À : frsag@frsag.org Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker
Je pense que la sécurité n'est pas un produit mais un état d'esprit. Alors oui, les produits anti-virus, anti-malware, ça aide.... mais ça ne peux pas suffire. D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.
Je pense que sans préventif (à savoir la formation des utilisateur) il en passera toujours.
Mon expérience est que
Pour ce qui concerne le poste de travail, je considère que c'est du jetable. L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre média), c'est son problème. C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.
Coté serveur, si les sauvagardes sont bien faites et les droits d'accès pas trop délirants, ça doit aller. J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros dégats. A noter quand même qu'il faut être en mesure de remonter rapidement des parties de la sauvegarde. Les filesystem à versionning sont assez utiles de ce point de vue.
Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui fait ça) Quelque chose qui serait de nature à détecter les problème et à limiter les dégats et serait de blacklister un usager ou un poste qui modifie trop de choses sur le serveur en trop peu de temps. Tu as lu et réécrit plus de X fichiers en moins de Y minutes ? => tu es bloqué et l'admin averti avec la liste des fichiers altérés. On peut aussi faire plus fin. t'as lu un fichier dont le types est connu (jpg, docx, pdf) et réécrit dans le même fichier un truc dont le type n'est plus identifiable. => +1 dans le compteur activité suspecte.
On 26/05/2016 15:28, Romain wrote: Vu que ça véhicule principalement par email, je met une gateway mail en entrée avec un produit reconnu et les paramètres poussés au max. Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non les fichiers zip/autre.
Si tu veux tester, je suis dispo.
Le 26 mai 2016 à 15:06, CORTES Bruno <bcortes@montbeliard.commailto:bcortes@montbeliard.com> a écrit : Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
Bonjour Bruno,
Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 3000 agents et 2500 postes de travail), nous subissons environ une attaque de crypto par semaine. A chaque fois, les partages sur le serveur de fichier se font pourrir et nous oscillons entre 5 000 à 200 000 fichiers cryptés en quelques minutes. La seule parade pour nous est la sauvegarde. Nous arrivons en général à trouver les fichiers qui ont été cryptés :
- Soit ils ont une date de modification qui colle à la période d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)
- Soit ils ont une extension spécifique,
- Soit le nom a été modifié. Pour tous ces fichiers, je supprime sans vergogne, et je lance la restauration en spécifiant « ne pas écraser ». Du coup, je retrouve tous mes fichiers avant cryptage.
Le mail reste le vecteur principal de ces infections. Dans de nombreux cas l’antivirus sur les mails ne sert pas à grand-chose car la charge virale n’est pas dans le mail. C’est une pièce jointe qui va lancer un bout de code VBA (ou autre) et aller récupérer le contenu viral sur un pastebin ou autre.
Pour s’en protéger : 1/ Sensibliser les utilsiateurs (mais c’est rarement efficace) 2/ restreinte le plus possible les droits d’accès sur les partages 3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi pas passer en chemin unc ? Depuis les « favoris » de Seven, c’est un jeu d’enfant d’aller sur \server1\sharefile:///\\server1\share)
Pour que l’infection soit moins douloureuse, il faut vraiment avoir des backup et un outil qui permet de restaurer quelques milliers de fichier de façon sélective..
ESET aurait réussi à obtenir un Master KEY sur un des crypto, permettant de récupérer les fichiers (comme quoi la suppression n’est pas forcément une bonne pratique)
Cordialement,
Olivier VAILLEAU
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno Envoyé : jeudi 26 mai 2016 15:07 À : French SysAdmin Group Objet : [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
Bonjour,
Ici on a ratissé large en interdisant les docm (éventuellement dans des ZIP) en pièce jointe avec un mail explicatifs aux gens expliquant que si leur correspondant rencontrait un soucis avec une PJ légitime on pouvait passer par d'autres systèmes (tickets de dl). Ça fonctionne car on n'utilise pas de docm en interne…
Pour le coup des UNC il me semble que j'avais lu (je remets plus la main dessus) des papiers comme quoi il n'y avait plus besoin que les lecteurs soient mappés pour être concernés (un mélange d'historique et de scan réseau je suppose).
À un moment on avait aussi un pastebin.com. IN A 127.0.0.1 sur les NS internes puisque le virus récupérait sa charge sur pastebin…
Mais bon dans tous les cas la difficulté est l'équilibre sécu/désagréments au quotidien.
Cordialement,
Le 26/05/2016 à 15:47, VAILLEAU Olivier a écrit :
Bonjour Bruno,
Sur l’ensemble de nos établissements (plusieurs hôpitaux représentants 3000 agents et 2500 postes de travail), nous subissons environ une attaque de crypto par semaine.
A chaque fois, les partages sur le serveur de fichier se font pourrir et nous oscillons entre 5 000 à 200 000 fichiers cryptés en quelques minutes.
La seule parade pour nous est la sauvegarde.
Nous arrivons en général à trouver les fichiers qui ont été cryptés :
-Soit ils ont une date de modification qui colle à la période d’attaque (par exemple, tous les fichiers modifiés de 8h43 à 8h50)
-Soit ils ont une extension spécifique,
-Soit le nom a été modifié.
Pour tous ces fichiers, je supprime sans vergogne, et je lance la restauration en spécifiant « ne pas écraser ». Du coup, je retrouve tous mes fichiers avant cryptage.
Le mail reste le vecteur principal de ces infections. Dans de nombreux cas l’antivirus sur les mails ne sert pas à grand-chose car la charge virale n’est pas dans le mail. C’est une pièce jointe qui va lancer un bout de code VBA (ou autre) et aller récupérer le contenu viral sur un pastebin ou autre.
Pour s’en protéger :
1/ Sensibliser les utilsiateurs (mais c’est rarement efficace)
2/ restreinte le plus possible les droits d’accès sur les partages
3/ monter le moins de lecteur réseau possible (et tient donc, pourquoi pas passer en chemin unc ? Depuis les « favoris » de Seven, c’est un jeu d’enfant d’aller sur \server1\share file:///%5C%5Cserver1%5Cshare)
Pour que l’infection soit moins douloureuse, il faut vraiment avoir des backup et un outil qui permet de restaurer quelques milliers de fichier de façon sélective..
ESET aurait réussi à obtenir un Master KEY sur un des crypto, permettant de récupérer les fichiers (comme quoi la suppression n’est pas forcément une bonne pratique)
Cordialement,
*/Olivier VAILLEAU/*
*De :*FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* CORTES Bruno *Envoyé :* jeudi 26 mai 2016 15:07 *À :* French SysAdmin Group *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
/Pour la planète : échangez par courriel et n’imprimez que si nécessaire./
Liste de diffusion du FRsAG http://www.frsag.org/
Le Thu, May 26, 2016 at 03:06:47PM +0200, CORTES Bruno [bcortes@montbeliard.com] a écrit: [...]
Je (nous, j???imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème,
Lesquels ? ;-) ( donnant/donnant )
Sinon, en plus de ce qui a été dit, je pense que la mise en place de restrictions des postes en sortie ( = parefeu nazi ) + accès web via un proxy ( avec filtrage du contenu : AV, qui a le droit de d/l des exe, bloquage d'urls suspectes, etc. ) devient de plus en plus nécessaire (et contraignant....) sur des parcs de postes "utilisateur lambda".
De mon coté j'ai mis une politique de restriction logiciel en place très stricte. (je suis dans un établissement scolaire) Également mis en place: le blocage complet des macro sous Word et Libre Office
Ça m'a demandée pas mal de préparation histoire de pas paralyser le réseau. Bien sur aucun de mes utilisateurs n'est administrateur
Je comprend bien-sur que ce n'est pas applicable dans tous les réseaux mais chez moi ça a été plutôt efficace pour le moment.
Je met également a jour mes postes très régulièrement avec wapt pour éviter les Failles de sécurité dans les navigateurs.
Simon
Le 26/05/2016 16:58, Dominique Rousseau a écrit :
Le Thu, May 26, 2016 at 03:06:47PM +0200, CORTES Bruno [bcortes@montbeliard.com] a écrit: [...]
Je (nous, j???imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème,
Lesquels ? ;-) ( donnant/donnant )
Sinon, en plus de ce qui a été dit, je pense que la mise en place de restrictions des postes en sortie ( = parefeu nazi ) + accès web via un proxy ( avec filtrage du contenu : AV, qui a le droit de d/l des exe, bloquage d'urls suspectes, etc. ) devient de plus en plus nécessaire (et contraignant....) sur des parcs de postes "utilisateur lambda".
C’est d’actualité,
Ci-dessous un échange envoyé par notre Sys admin ce jour :
« Ce filtre est une tentative de protection contre les virus cryptolocker. Il s'appuie sur le gestionnaire de fichiers (FSRM) de Windows 2008 et consiste à empêcher l'écriture ou la modification de fichiers ayant une extension ou un nom de fichier utilisé par les différentes version de cryptolocker comme Locky (cf liste ci-dessous).
Lors de la tentative d'écriture d'un fichier interdit sur le lecteur réseau, un message d'erreur signalera à l'utilisateur une erreur d'écriture. Un message sera également adressé à l'unité "admin serveurs". »
A+.
Guillaume.
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno Envoyé : jeudi 26 mai 2016 15:07 À : French SysAdmin Group frsag@frsag.org Objet : [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
Le 26/05/2016 à 17:08, LE PROVOST Guillaume a écrit :
C’est d’actualité,
Ci-dessous un échange envoyé par notre Sys admin ce jour :
« Ce filtre est une tentative de protection contre les virus cryptolocker.
Il s'appuie sur le gestionnaire de fichiers (FSRM) de Windows 2008 et consiste à empêcher l'écriture ou la modification de fichiers ayant une extension ou un nom de fichier utilisé par les différentes version de cryptolocker comme Locky (cf liste ci-dessous).
Lors de la tentative d'écriture d'un fichier interdit sur le lecteur réseau, un message d'erreur signalera à l'utilisateur une erreur d'écriture. Un message sera également adressé à l'unité "admin serveurs". »
Bonjour,
Pour ceux qui dispose de baie(s) NetApp, il est possible d'utiliser sensiblement le même système via l'utilisation de "fpolicy".
Cela ne gère pas l'alerte (à moins de rajouter un point de supervision)
Bonne fin de journée.
Bonjour,
Le 26/05/2016 15:06, CORTES Bruno a écrit :
Plop la liste,
C’est le 1^er thread que j’ouvre, j’espère ne pas tropfaire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Déjà pas mal évoqué ici.
Notre retour : sur les quelques machines 'end-user' qui restent chez nos clients, nous avons déployé Webroot.
Couplé à une bonne évangélisation (allant de "n'ouvrez pas les pièces jointes des mails douteux" à des explications plus poussées sur le fonctionnement des bestiaux) + un filtrage sur nos MX qui interdit un paquet d'extensions (.js en premier) que ce soit en direct, dans un zip, un tar.gz, un 7zip, rar, etc ...
Plus de soucis depuis la vague de février/début mars.
Julien
Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié. Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
- désactivation par défaut des macros (mais activables par l’utilisateur)
- blocage de tous les sites catégorisés comme suspects et non catégorisés par les firewalls
- formations obligatoire des utilisateurs
- scripts de détection sur les serveurs de fichiers de comportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »
- et bien entendu des sauvegardes quotidiennes et pas d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu. Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
[cid:image001.gif@01D1B77E.6E1E3210]
Bruno Crocquevieille Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.commailto:Bruno.Crocquevieille@socgen.com
http://www.societegenerale.comhttp://www.societegenerale.com/
[ribbon-black]
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno Envoyé : jeudi 26 mai 2016 15:07 À : French SysAdmin Group Objet : [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno Bruno.Crocquevieille@socgen.com a écrit :
Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
désactivation par défaut des macros (mais activables parl’utilisateur)
blocage de tous les sites catégorisés comme suspects et noncatégorisés par les firewalls
formations obligatoire des utilisateursscripts de détection sur les serveurs de fichiers decomportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »
et bien entendu des sauvegardes quotidiennes et pasd’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
*Bruno Crocquevieille* Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.com javascript:_e(%7B%7D,'cvml','Bruno.Crocquevieille@socgen.com');
http://www.societegenerale.com
[image: ribbon-black]
*De :* FRsAG [mailto:frsag-bounces@frsag.org javascript:_e(%7B%7D,'cvml','frsag-bounces@frsag.org');] *De la part de* CORTES Bruno *Envoyé :* jeudi 26 mai 2016 15:07 *À :* French SysAdmin Group *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas tropfaire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
*Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
pourrait on avoir un vrai retour pour la sandbox fortinet?
nous avons que des problème actuellement avec et je voulais savoir si c’était le cas pour les autre?
exemple de problème:
les mails mettent plus 20 min a arriver sur les boites, des virus non détecté par la SDB fortinet alors que des AV type avg AVAST les bloques.
des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce qu'il ne parviens pas a les détecter, je suis en possession actuellement d'une variante d'un locky que la sandbox forti ou mème le fortiguard ne parvienne pas a bloquer ....
au prix de appliance fortinet si d'autre personne on un retour su expérience je suis preneur
Le 26 mai 2016 à 20:31, Romain romain@borezo.info a écrit :
Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno < Bruno.Crocquevieille@socgen.com> a écrit :
Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié.
Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
désactivation par défaut des macros (mais activables parl’utilisateur)
blocage de tous les sites catégorisés comme suspects et noncatégorisés par les firewalls
formations obligatoire des utilisateursscripts de détection sur les serveurs de fichiers decomportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »
et bien entendu des sauvegardes quotidiennes et pasd’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu.
Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
*Bruno Crocquevieille* Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.com
http://www.societegenerale.com
[image: ribbon-black]
*De :* FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* CORTES Bruno *Envoyé :* jeudi 26 mai 2016 15:07 *À :* French SysAdmin Group *Objet :* [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas tropfaire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
*Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
Liste de diffusion du FRsAG http://www.frsag.org/
Je ne dis pas que TOUS les cryptovirus passent (heureusement) mais nous sommes victimes d’attaques ciblées durant des « campagnes » et dans ce cas il peut se passer plusieurs jours avant que les antivirus (même les meilleurs) mettent leurs signatures à jour. Ceci dit, si 5% des cryptovirus passaient ce serait une catastrophe pour nous ! Cela voudrait dire des milliers de mails à l’échelle du Groupe !
Même en utilisant un moteur sur les équipements réseaux par lesquels transitent les mails et un autre moteur sur le poste de travail il en est passé suffisamment pour que l’on ai quelques répertoires cryptés.
La vraie solution c’est le sandboxing pour faire détoner les charges virales. Encore faut-il que la solution de sandboxing soit suffisamment intelligente pour ne pas se faire détecter par le virus ! Car les virus les plus évolués savent détecter le sandboxing.
Cordialement,
[cid:image001.gif@01D1B836.44057C50]
Bruno Crocquevieille Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.commailto:Bruno.Crocquevieille@socgen.com
http://www.societegenerale.comhttp://www.societegenerale.com/
[ribbon-black]
De : Romain [mailto:romain@borezo.info] Envoyé : jeudi 26 mai 2016 20:31 À : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv Cc : CORTES Bruno; French SysAdmin Group Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker
Je veux bien savoir quels AV vous avez testé et qui laissent tout passer car moi ça chope 95% des crypto.
Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno <Bruno.Crocquevieille@socgen.commailto:Bruno.Crocquevieille@socgen.com> a écrit : Bonjour,
Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.
Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.
Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié. Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.
Solutions que nous avons mis réellement en place actuellement :
- désactivation par défaut des macros (mais activables par l’utilisateur)
- blocage de tous les sites catégorisés comme suspects et non catégorisés par les firewalls
- formations obligatoire des utilisateurs
- scripts de détection sur les serveurs de fichiers de comportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »
- et bien entendu des sauvegardes quotidiennes et pas d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…
Et comme je l’ai dit un choix de logiciel anti APT en cours.
De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu. Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.
Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.
Cordialement,
[cid:image001.gif@01D1B836.44057C50]
Bruno Crocquevieille Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.comjavascript:_e(%7B%7D,'cvml','Bruno.Crocquevieille@socgen.com');
http://www.societegenerale.comhttp://www.societegenerale.com/
[ribbon-black]
De : FRsAG [mailto:frsag-bounces@frsag.orgjavascript:_e(%7B%7D,'cvml','frsag-bounces@frsag.org');] De la part de CORTES Bruno Envoyé : jeudi 26 mai 2016 15:07 À : French SysAdmin Group Objet : [FRsAG] [Tech] Malware /Cryptolocker
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
pourrait on avoir un vrai retour pour la sandbox fortinet?
nous avons que des problème actuellement avec et je voulais savoir si c’était le cas pour les autre?
exemple de problème:
les mails mettent plus 20 min a arriver sur les boites, des virus non détecté par la SDB fortinet alors que des AV type avg AVAST les bloques.
des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce qu'il ne parviens pas a les détecter, je suis en possession actuellement d'une variante d'un locky que la sandbox forti ou mème le fortiguard ne parvienne pas a bloquer ....
au prix de appliance fortinet si d'autre personne on un retour su expérience je suis preneur
Le 26 mai 2016 à 15:06, CORTES Bruno bcortes@montbeliard.com a écrit :
Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas tropfaire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.
Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
*ü*
*Pour la planète : échangez par courriel et n’imprimez que si nécessaire.*
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
En fait je suis aussi intéressé car la solution Fortinet est un des challengers mais il n’est pas POCé pour le moment sur notre infra. Nous avons eu une présentation qui paraissait répondre à toutes nos préoccupations.
Je vais faire le tour du Groupe car je crois qu’une filiale l’a et qu’elle a aussi eu des problèmes mais qui ont été résolus… Je vous tiens au courant ☺
Cordialement,
[cid:image001.gif@01D1BA6A.1092F060]
Bruno Crocquevieille Correspondant Sécurité des SI
RESG/GTS/RET/FSO/FRF
Immeuble Boréa Val de Fontenay
Tél.
+33 (0)1 58 98 94 98
Mob.
+33 (0)7 84 44 09 22
Bruno.Crocquevieille@socgen.commailto:Bruno.Crocquevieille@socgen.com
http://www.societegenerale.comhttp://www.societegenerale.com/
[ribbon-black]
De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de ay pierre Envoyé : vendredi 27 mai 2016 10:46 Cc : French SysAdmin Group Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker
pourrait on avoir un vrai retour pour la sandbox fortinet? nous avons que des problème actuellement avec et je voulais savoir si c’était le cas pour les autre? exemple de problème: les mails mettent plus 20 min a arriver sur les boites, des virus non détecté par la SDB fortinet alors que des AV type avg AVAST les bloques. des pdf tres simple qui sont rejeter ou passe en unscanable tout ça parce qu'il ne parviens pas a les détecter, je suis en possession actuellement d'une variante d'un locky que la sandbox forti ou mème le fortiguard ne parvienne pas a bloquer .... au prix de appliance fortinet si d'autre personne on un retour su expérience je suis preneur
Le 26 mai 2016 à 15:06, CORTES Bruno <bcortes@montbeliard.commailto:bcortes@montbeliard.com> a écrit : Plop la liste,
C’est le 1er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…
Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail. Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…
Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.
Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.
Bruno C. Gestionnaire de parc
ü
Pour la planète : échangez par courriel et n’imprimez que si nécessaire.
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
=========================================================
Ce message et toutes les pieces jointes (ci-apres le "message") sont confidentiels et susceptibles de contenir des informations couvertes par le secret professionnel. Ce message est etabli a l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisee interdite. Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE et ses filiales declinent toute responsabilite au titre de ce message s'il a ete altere, deforme falsifie.
=========================================================
This message and any attachments (the "message") are confidential, intended solely for the addresses, and may contain legally privileged information. Any unauthorized use or dissemination is prohibited. E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any of its subsidiaries or affiliates shall be liable for the message if altered, changed or falsified.
=========================================================
-
ay pierre -
blog@lesfourmisduweb.org -
CORTES Bruno -
CROCQUEVIEILLE Bruno -
Dominique Rousseau -
figuiere.clement@free.fr -
Julien Escario -
LE PROVOST Guillaume -
Pierre Colombier -
Pierre Is4u -
Romain -
Séb -
Sébastien Le Ray -
VAILLEAU Olivier