TOP 4 des mauvaises pratiques de gestion des antivirus

Streamscan intervient régulièrement sur des cas de réponses aux incidents (ransomwares, exfiltration de données, fraude, etc.) et ceci nous permet d’identifier les mauvaises pratiques liées à la gestion des antivirus, ce qui favorise les infections.

Lisez l’article pour connaître le TOP 4 des principales mauvaises pratiques que nous observons.

Partir du principe que l’antivirus sait quoi faire et quoi bloquer

Les extensions de fichiers les plus utilisées par les malwares sont connues (.exe, .dll, .ps1, etc.) et la liste augmente en continu. Vous avez la possibilité de configurer votre antivirus pour bloquer le partage de ces types de fichiers dans votre réseau, ce qui va minimiser les risques d’introduction de malwares.

Malheureusement, nous constatons que très souvent après le déploiement d’un antivirus, la liste des extensions de fichiers bloqués n’est pas révisée. La révision n’est faite que suite à un incident de sécurité alors que c’est une bonne pratique de réviser périodiquement cette liste.

L’autre alternative consiste à identifier clairement la liste des extensions de fichiers autorisés dans votre réseau (.dox/docx, xls, ppt, etc.) et de bloquer toutes les autres extensions.

Ne pas exiger un mot de passe pour arrêter l’antivirus

Dans plusieurs cas d’incidents que nous avons géré, le pirate prenait le contrôle de l’ordinateur et arrêtait l’antivirus avant d'exécuter son ransomware. Ironiquement, dans bien des cas l’antivirus disposait d’ailleurs d’une signature pour détecter le ransomware concerné. On imagine donc le plaisir que prend un pirate lorsqu’il constate qu’il peut arrêter l’antivirus sur un ordinateur!

Pour éviter de faciliter la tâche des pirates, nous devons exiger la saisie d’un mot de passe pour arrêter chaque ordinateur et serveur de votre parc informatique. Évidemment ce mot de passe doit être différent de celui utilisé pour administrer les ordinateurs. Cette mesure limitera fortement la probabilité que vous soyez infecté par un ransomware.

Ne pas prendre en charge les événements de sécurité générés par les antivirus

On part très souvent du principe que l’antivirus détecte et bloque les virus et que l’on n’a pas à le surveiller au quotidien. Or, comme les autres outils de sécurité, les antivirus génèrent des alertes et événements de sécurité chaque fois qu’ils détectent des outils potentiellement malicieux, et peuvent parfois les bloquer. Dans bien des cas, l’antivirus détecte des comportements douteux qui sont le signe qu’une activité malicieuse majeure se prépare contre vous. Plus vite vous le saurez, et mieux ce sera.

Dans un cas d’incident constaté, un cheval de Troie a été détecté et bloqué par l’antivirus installé sur plusieurs ordinateurs d’un parc informatique. Quelques jours plus tard, certains de ces ordinateurs ont été infectés par un ransomware. Lors de la réponse à l’incident, nous avons identifié que la présence du Cheval de Troie faisait partie de l’attaque et le fait qu’il ait été détecté sur plusieurs ordinateurs était très douteux et aurait dû alerter l’équipe TI de l’organisation.

Nous vous recommandons donc de toujours centraliser les alertes et événements de sécurité de votre antivirus et de les surveiller à intervalles réguliers. A titre d’exemple, certains antivirus viennent avec une console de gestion qui vous permet de créer des règles de notification concernant certains événements spécifiques. Vous pouvez aussi envoyer les alertes de l’antivirus sur une solution de gestion des événements de sécurité (SIEM), pour une analyse centralisée.

Ne pas exiger des full scans antivirales hebdomadaires

Très souvent, on déploie l’antivirus avec les configurations par défaut et l’on considère qu’il fonctionne à la perfection. Ce n’est pas vrai.

L’une des bonnes pratiques liées aux antivirus consiste à faire un full scan automatique régulier, au moins 1 fois par semaine, afin de s’assurer qu’aucun outil malicieux n’y est installé. Même si vous avez activé la protection en temps-réel de l’antivirus, ce scan hebdomadaire ne vient pas par défaut et il vous revient de la mettre en place.

Assurez-vous qu’avant tout full scan, l’antivirus soit mis à jour avec la toute dernière version de la base de signatures disponible.

Il y a t-il un jour de la semaine indiqué pour faire le full scan hebdomadaire?

Non. Toutefois, c’est une bonne pratique de le faire à un moment où l'ordinateur est peu sollicité, par exemple entre midi et 13h, ou en soirée.

Besoin d'aide ? StreamScan est là.

Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.