[Antivirus] - Choix d'une solution pour grand parc

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Nicky
Messages : 3
Inscription : 15 mai 2012 11:14

[Antivirus] - Choix d'une solution pour grand parc

par Nicky »

Bonjour à tous,

Actuellement en charge de monter un dossier pour remplacer l'antivirus des postes clients du parc de ma société, j'aurais quelques questions.

Premièrement quels sont les éditeurs/solutions qui vous semblerait répondre aux critères suivants :
- Protection endpoint pour les postes clients seulement, pas de briques serveurs.
- Console de gestion permettant de prendre en charges plusieurs sites
- Gestion d'un parc de plus 1500 machines
- Ergonomie/réactivité de la console
- Reporting paramétrable ( édition de rapport, mailing )
- Paramétrage granulaire des droits utilisateurs de la console d'administration
- Synchro annuaire ( ldap, ad )
- [Optionnel] - Client antivirus MAC ( avec gestion dans la console d'admin )
- [Optionnel] - Client antivirus smartphone ( avec gestion dans la console d'admin )


Je suis sur le dossier depuis peu, j'ai effectué des recherches sur le net et échanger avec deux éditeurs pour le moment : McAfee et Trend, je rencontre Kaspersky la semaine prochaine.

Les éditeurs que j'ai retenu à ce jour sont McAfee, Trend, Kaspersky et ESET.

Je mets de côté Symantec car c'est la solution en place que l'on cherche à remplacer, je mets également de côté Sophos déjà utilisé sur la partie serveurs.

Les apscets très important sont :
- La qualité de la console d'administration
- La possibilité de créer des comptes d'administration avec différents niveaux de droits
- La synchro avec l'AD avec la possibilité de conserver l'architecture des OU et conteneurs
- L'ergonomie et la réactivité de la console ( doit pouvoir encaisser 1500/2000 objets à managés )
- Le reporting paramétrable
- Le client endpoint efficace et pas trop lourd
- Méthode de déploiement/migration de l'ancienne solution vers la nouvelle ( automatisation de la suppression de l'ancien client antivirus Symantec Endpoint 11.06 )

J'ai installé les solutions McAfee, Trend et Kaspersky sur des environnements de tests, un serveur 2008R2 virtualisé avec la même config matérielle pour effectuer des essais de déploiements et d'ergonomie.

Outre les aspects management j'aimerais valider par des procédures l'efficacité des clients endpoint, j'ai consulté plusieurs sites d'évaluation d'antivirus comme Bulletin AV ou AV-Test, mais comme vous le stipulez sur votre site un scan lancé manuellement sur un répertoire contenant x milliers de virus aux signatures connues n'est pas représentatif de la qualité de protection d'une solution.

J'aimerais donc savoir quelles sont les méthodes à dispo pour effectuer une "stress test" d'un antivirus, outre EICAR.

Voilà en espérant ne pas avoir été trop long et lourd dans mon poste, merci d'avance.

Nicky
Malekal_morte
Messages : 110658
Inscription : 10 sept. 2005 13:57

Re: [Antivirus] - Choix d'une solution pour grand parc

par Malekal_morte »

Salut,

Perso, pas d'avis. Je connais pas assez les antivirus entreprises.
Demain sioban qui connaît mieux les antivirus pour entreprise postera.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: [Antivirus] - Choix d'une solution pour grand parc

par sioban »

Hello,

J'ai personnellement évalué trois solutions (McAfee, Trend pour les tests rééls et Symantec pour les fonctionnalités) sur les domaines que tu évalues l'année dernière.
Nous avons départagé les 3 solutions en se basant sur des docs et des références web (NSSLabs) puis en n'en sélectionnant que 2 que l'on a différencié en se basant sur des tests rééls en lab (détection de virus, comportement, charge, administration, support, prestation, etc)

Tout d'abord il n'y a pas de solutions miracles, il va falloir faire des compromis sur tel ou tel point.
- La qualité de la console d'administration
C'est subjectif la qualité. De notre coté nous voulions une seul console pour l'ensemble des solutions déployées (AV Mac, Whitelisting des Windows NT/2000 plus supportés par l'AV, Gateways mail et web, serveurs, smartphones, linux, HIPS).

McAfee dispose d'une solution (ePolicy Ochestrator) qui répond très bien à ce critère, alors que la solution de Trend ne gère que les AV endpoint (avec des plugins pour gérer les AV Mac et HIPS mais cela reste mal intégré) avec une surcouche pour féderer les différents sites (TMCM) mais uniquement pour le déploiement des solutions et des signatures sur ces sites. Ils disent que tout est intégré dans TMCM mais en fait cela ouvre des interfaces sur les serveurs officescan... En revanche ils annonçaient une solution qui consolide tout.

Les deux solutions peuvent être hiérarchisées.
- La possibilité de créer des comptes d'administration avec différents niveaux de droits
Trend et McAfee gère les rôles.
- La synchro avec l'AD avec la possibilité de conserver l'architecture des OU et conteneurs
Nous n'avons pas intégré l'AV avec l'AD.
- L'ergonomie et la réactivité de la console ( doit pouvoir encaisser 1500/2000 objets à managés )
Aucun soucis pour ça.
Trend annonce 10 000 pc administrés avec un serveur Officescan. En fait cela défini la vitesse de déploiement des signatures sur les postes, plus tu veux que ça aille vite, plus il va falloir avoir de serveurs officescan...
Pour McAfee, la console supporte au moins 150 000 postes (cela correspond à notre plus gros site).
- Le reporting paramétrable
Le reporting de McAfee est un cran au dessus de celui de Trend qui est trop léger à mon goût...
- Le client endpoint efficace et pas trop lourd
Efficace, tu veux dire qui détecte des virus ?
Je n'ai pas trouvé un AV supérieur à l'autre entre McAfee et Trend. Les 0-dayz ne sont pas vu par exemple, il faut des fois attendre une semaine pour qu'il commence a être détecté...
Les deux solutions propose du Cloud mais attention à bien évaluer la charge réseau induite (trend c'est de l'https et mcafee du dns). Pour Trend c'est absolument nécessaire sinon l'AV ne sert quasiment à rien, pour McAfee il faut passer à un niveau de détection qui créé trop de faux positifs pour que ce soit efficace. En fait il te faut un AV gateway avec un niveau de détection plus élevé que celui sur les endpoint. Personnellement je pense que la solution de symantec qui incorpore du comportemental est plus efficace.

Question légèreté, c'est le point noir de McAfee, même s'ils ont fait des progrès en 8.8, la mise à jour des signatures prend encore beaucoup trop de RAM (+ 500 Mo). Je n'ai réussi à mettre en défaut Trend que sur les scans de PDF et sur l'adjonction de l'HIPS qui impacte trop le poste.
- Méthode de déploiement/migration de l'ancienne solution vers la nouvelle ( automatisation de la suppression de l'ancien client antivirus Symantec Endpoint 11.06 )
Coté déploiement Trend se déploie très bien et sait remplacer ses concurrents. Je n'ai pas testé la suppression de Symantec, mais un prestataire nous avait dis qu'il avait fait ça sur un autre site. Le déploiement n'était pas sans heur mais globalement satisfaisant, c'est donc un point à bien valider si tu as différents socles.

Pour en revenir aux AV que tu veux tester, j'éviterais Kaspersky car ils sont effectivement efficace sur la détection mais avec un taux de faux positifs trop important. Pour Eset je crains que leur solution d'administration ne tienne pas la route mais je peux me tromper.

Pour les tests, je te conseille de faire deux batteries spécifiques : charge et détection.
Pour la charge :
- temps ajouté au boot
- temps lors de l'ouverture d'un gros fichier doc, xls, pdf (répété plusieurs fois avec et sans reboot, trend gère un cache)
- temps d'ouverture d'une dizaine de fichier type bureautique (xls, pdf, doc, ppt, etc)
- impact cpu et ram lors de scans programmés et lors de la mise à jour des signatures
- temps de scan d'un pc complet
- etc

Pour la détection virale, attention, il faut que les VM soient bien isolées pour ne pas infecter les serveurs de déploiement et avec des snapshots de généré pour revenir en arrière en moindre doute. Les VM étant installé dans un LAB sans connexion au réseau d'entreprise mais disposant d'un accès à Internet.

Tu peux faire deux types de tests en récupérant un lot de virus 0-dayz (pdf, botnet, trojan, etc) et plus vieux :
- temps réél :
* que se passe-t-il quand tu copies un virus que tu sais détecté par le réseau, par clé USB, par téléchargement web, par ouverture dans un client mail
* tu installes un virus détecté (bien documenté, tu sais ce qu'il modifie comme clés de registre, etc) en coupant l'av, puis tu étudies ce qui se passe quand tu réactives l'AV, est-ce que le virus est bien nettoyé, est-ce que le pc est réparé (ne t'attend pas à des miracles...)
* résultat de la détection d'un lot de virus 0-dayz en fonction du niveau de détection du cloud.

- scan :
* résultat de scan d'un lot virus 0-dayz jour 0, jour 1, jour 2, etc (tu peux les soumettres aux éditeurs pour étudier le temps de réaction et d'incorportation dans les signatures virales, attention McAfee ne met de nouvelles souches dans une signature que si un nombre suffisant de clients lui remonte le virus... les sources externes comme virustotal ne sont pas vraiment prises en compte...)

Enfin il y a plein de possibilité, le scan permet simplement d'évaluer la vitesse d'intégration des souches.

Ensuite il faut évaluer le taux de faux positifs, autant on peut l'admettre à la maison, autant en entreprise ce n'est pas une bonne chose... Pour cela rien de tel qu'un mini déploiement.

Mais bon, le critère de choix en entreprise, ce n'est pas l'efficacité de détection mais plutôt l'efficacité de l'administration (clarté, alertes, simplicité d'administration) et le niveau de charge sur les postes (si le pc est super bien protégé mais inutilisable cela ne sert à rien...).

Pour les smartphones, j'ai testé les deux solutions de Trend et McAfee sur Android, les deux solutions sont à part de l'administration normale et m'ont parues peu avancées. Au moment où j'ai fait les tests, Trend ne gérait pas la conformité et McAfee ne protégeait pas viralement. Je sais que McAfee évolue et va inclure la réputation de market sur Android mais ne compte pas faire de vrai détection virale sur les smartphones.

Nous sommes en train d'étudier d'autres solutions plus efficace pour gérer la protection virale et la conformité.

Si tu as d'autres questions n'hésite pas.
Avatar de l’utilisateur
Nicky
Messages : 3
Inscription : 15 mai 2012 11:14

Re: [Antivirus] - Choix d'une solution pour grand parc

par Nicky »

Salut,

Merci d'avoir pris le temps de répondre.

Je pensais pas aller si loin dans l'aspect test du module client et efficacité des moteurs.

En fait j'ai établis une procédure en me basant sur le code fournit par EICAR avec des niveaux de difficultés variés, extension de fichier, compression, compression récursives, via usb, http, https.

Après pour ce qui est de l'évaluation zéro day, je pensais reprendre des classements de références web.

L'aspect détection n'étant pas le plus important, je fais tout de même confiance aux gros éditeurs sur ce point, même si effectivement il serait intéressant d'y consacrer du temps, chose qui va me manquer.

Les éléments déterminants sur le choix de la solution tourne effectivement bcp plus au niveau de l'administration, chaque solution au final présentes des aspects intéressants, McAfee avec ePO permet d'aller assez loin dans l'administration, par contre pas d'intégration de désinstalation de client tiers au déploiement, mais ils savent fournir des scripts. Même si la migration d'un parc ne s'effectue pas tout les jours, c'est un plus pour Kaspersky qui prends en charge cet aspect sur pas mal de solutions du marché.

Est-ce que tu connais le CRDF, ils font un classement 0 day des différentes solutions du marché, c'est down sur leur site pour le moment, est-ce qu'on peut faire confiance à leurs tests ?

Justement d'après leur site, et ça m'avait tout de même surpris, pour des gros éditeurs comme Trend, Symantec, Sophos, Kaspersky ou McAfee le résultat en 0 day était plutôt mauvais dans l'ensemble.


Je savais que bcp laissait passer tant que les signatures n'était pas à jour mais on se rend compte que la faille est surtout là.

Très bonne idée pour la charge sur les postes clients avec les ouvertures de différents fichiers, temps de boot, je n'avais pas pensé à ça, ça va venir étayer mon dossier.

C'est bien de pouvoir aborder le sujet avec un professionnel qui est client et pas un éditeur qui te vend le produits numéro du marché systématiquement.

Merci encore,
Nicky
compte-supprime666

Re: [Antivirus] - Choix d'une solution pour grand parc

par compte-supprime666 »

Salut,


"Est-ce que tu connais le CRDF, ils font un classement 0 day des différentes solutions du marché, c'est down sur leur site pour le moment, est-ce qu'on peut faire confiance à leurs tests ?
Justement d'après leur site, et ça m'avait tout de même surpris, pour des gros éditeurs comme Trend, Symantec, Sophos, Kaspersky ou McAfee le résultat en 0 day était plutôt mauvais dans l'ensemble."



Le propre de l'attaque 0 day, comme dirait Lapalisse, c'est d'être nouvelle, et malheureusement la proactivité ne protège pas toujours, l'habileté du marketing antivirus peut malgré tout arriver à faire croire le contraire au grand public, ce que je sais c'est qu'une attaque contre un site important stratégiquement est rare... et chère, des milliers d'euros à la commande, donc si le site de ton patron n'est pas d'une haute valeur marchande et commerciale, il peut dormir tranquille, sinon il y a du nouveau pour lui, c'est du "0 day" qui dort tranquillement depuis des années sur certains réseaux,

http://obsession.nouvelobs.com/high-tec ... -arme.html

Bon courage.
Avatar de l’utilisateur
Nicky
Messages : 3
Inscription : 15 mai 2012 11:14

Re: [Antivirus] - Choix d'une solution pour grand parc

par Nicky »

La performance d'une solution, je parle uniquement du côté protection endpoint, au delà de la capacité à détecter un code malveillant sans signature connue est aussi la capacité de l'éditeur à intégrer cette signature à sa base de données .

Après on se retrouve confronté à des politiques de fonctionnement différentes, que le nombre de remontée sur une signature dépasse un certain seuil par exemple, si le virus ne se propage pas bcp car très localisé on peut être confronté à une problématique.

Les solutions des éditeurs que j'ai regardé repose toute en grande partie sur une base de connaissance partagée entre tout le parc utilisateurs équipé de la solution. Sur le papier ça permet effectivement dès qu'un comportement suspect est détecté quelque part avec suffisamment d’occurrences d'intégrer une nouvelle signature.

Contre le zero day, la solution efficace repose sur la mise en oeuvre de différents outils, surveiller les flux, sécuriser les ports, filtrer les url, surveiller les modifications de base de registre, faire de la corrélation de logs...

Ma question était juste de savoir si la source d'info était fiable, au delà du résultat, je m'attendais à être loin des chiffres et propos commerciaux annoncés par les éditeurs, mais sur certaines solutions on se rend compte que si la sécurité des données repose sur une solution unique on est mal protégé de 0 à plusieurs jours.
compte-supprime666

Re: [Antivirus] - Choix d'une solution pour grand parc

par compte-supprime666 »

Nicky a écrit : Contre le zero day, la solution efficace repose sur la mise en oeuvre de différents outils, surveiller les flux, sécuriser les ports, filtrer les url, surveiller les modifications de base de registre, faire de la corrélation de logs...


D'accord sur la stratégie pour un virus à la petite semaine, mais si le commanditaire a payé 100 000 euros pour passer ta défense, j'ai bien peur que les carottes soient cuites.

Surveiller les flux, les ports, excellent, mais c'est compliqué, tu t'y retrouves toujours dans les processus parent/enfant? moi pas toujours, et les virus, en plus, arrivent à se faire passer pour un processus classique (explorer, svchost, et d'autres), je connais un gars qui fait ton boulot, il a un peu la même attitude que toi, l'antivirus ce n'est pas le plus important pour lui, par contre bétonner le réseau c'est primordial, mais probablement très difficile. Quant aux attaques internes, je me demande parfois si ça intéresse quelqu'un, on en parle rarement.
sioban

Re: [Antivirus] - Choix d'une solution pour grand parc

par sioban »

A moins d'être un site stratégique, le vrai problème c'est le comportement des utilisateurs.

La sécurité ne se réfléchit pas uniquement en mettant un antivirus sur les postes de travail, mais ce n'était pas la question, la question était de définir les tests à implémenter pour valider une solution antivirale de postes de travail (pas de sites web...)

Le 0day toute entreprise peut se le chopper facilement en ayant un surf permissif des utilisateurs sur le net, en laissant s'introduire des clés USB, en laissant les mails vérolés entrer, en autorisant les portables maison à se connecter au réseau et bientôt en autorisant les smartphones raccordés au wifi à discuter avec les pc de l'entreprise. Même avec un max de protection, on est pas à l'abri d'un site officiel qui s'est fait hacké et qui diffuse des virus sans le savoir (et c'est sans parler des infections via les régies publicitaires, hein malekal ;)). Pour cela pas besoin de 100 000€.
Toutefois, pour un peu moins, on peut créer un PDF ciblé si on sait quoi chercher, et là toutes les techniques existent (et la plupart sont publiques) pour bypasser la majorité des protections.

Le niveau au dessus, c'est un SIEM, des IPS, des WAF, patch management, audits de failles, etc.
Mais la sécurité à un prix qui dépend de celui que l'on donne aux données à protéger...

Sinon je ne connais pas CRDF mais ça à l'air intéressant, ils rejoignent mes analyses sur les AV du marché.
Toutefois je note que le système de réputation d'URL de Trendmicro tiens la route et protège tous les flux de communications HTTP (pas uniquement issu du navigateur web) mais pour cela il faut la version HIPS, celui de McAfee... et bien... Malekal pourra t'en parler...

Concernant les tests EICAR, tu trouveras toujours un moyen pour que l'antivirus ne le détecte pas (essaie simplement de copier la signature dans un mail en ajoutant des caractères et un retour à la ligne au début du mail...). Mais cela ne voudra pas pour autant dire que l'antivirus est mauvais. Il faut bien comprendre ce qu'est le test EICAR, ce n'est qu'une suite de caractères qu'un antivirus est censé détecter.
Mais attention, il faut bien prendre en compte le contexte, dans mon exemple du mail, la signature seule dans un mail est considérée comme un type mime par le MUA, du coup l'AV verra la signature puisque le mime sera analysé comme il se doit. Alors qu'avec des caractères supplémentaires le MUA intégrera la signature comme s'il s'agissait du texte, du coup la signature n'est pas détectée, ce qui au final est normal puisque le TEXTE n'est pas analysé puisque inoffensif...
Enfin, jusqu'à ce que l'on trouve une faille dans le MUA qui ouvre un champ texte du mail...

De plus certains tests ne peuvent être fait avec un EICAR, typiquement un virus qui passe par le réseau (genre conficker) qui exploite une faille et donc directement un processus en mémoire. La plupart des AV classique ne protègent pas contre ce genre d'attaques car ils se contentent de s'interfacer avec les lectures/écritures disques, du coup des attaques directes en mémoire (via un exploit ou une injection dll) ne sont pas correctement vues. Certains AV intègrent des mécanismes de protection type Buffer Overflow mais je crains qu'ils soient moyennement efficaces.
J'ai pu injecter des dll dans explorer.exe avec Trend ou McAfee actifs...

Un autre test que j'ai oublié de mentionner est la vérification qu'il est impossible pour processus non administrateur ou administrateur d’arrêter les processus de l'antivirus. C'est généralement vrai pour un process non admin mais pas vrai pour un process admin, tu peux essayer simplement avec Process Hacker, il y toujours un moyen pour stopper les process de l'AV (tout du moins temporairement mais cela ouvre une fenêtre de tir) malgré les protections en place.
Pourquoi je dis que même un process admin ne doit pas pouvoir stopper les process AV, pour la simple est bonne raison que plusieurs AV utilisent les failles d'élévations de privilège pour obtenir les droits admins. D'ailleurs, les éditeurs le savent bien et les process sont résistant contre les méthodes classiques mais pas contre les méthodes évoluées.

Dernier point : ne pas faire confiance en la qualité des détections, même si tu ne pourras rien y faire, il vaut mieux être au courant et préparer une procédure de réaction aux attaques virales (d'ailleurs tester le support à ce niveau est un must do ! ce sont eux qui te sauveront le jour où une infection importante sera en place...).

Sinon pour se faire une bonne idée du marché, le gartner est en général un très bon début.
> https://www.gartner.com/technology/repr ... 0117&st=sb
sioban

Re: [Antivirus] - Choix d'une solution pour grand parc

par sioban »

Un petit retour sur ces tests ?
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »