Reprise du message précédent :
C'est abordé dans la FAQ.

Intéressant, mais d'après ce que j'ai vu, ça reste des ransomwares "basiques", il n'y a pas de recherche d'élévations de privilèges et co.

Merci du lien

C'est marrant, une recherche sur hfr avec knowbe4 ne m'a rien donné et en tombant sur ce thread sujet, je tombe dessus  
 
Alors kiki a testé ?

Moi j'ai testé
 
Sur un W10 avec un Kaspersky Endpoint Security V11
 
Bon déjà j'ai galéré pour que le soft puisse s'installer.
Il m'a fallu whitelister les process et chemin impliqués (comme indiqué dans la FAQ).
 
Ensuite, la simulation se lançait mais n'aboutissait sur aucun test.
Il m'a fallu désactiver la brique "Fournisseur de protection AMSI" pour que les tests puissent se lancer.
Résultat : vulnérable sur 5 tests. OK sur le reste.
 
Difficile d'en tirer quelque chose.
Car le résultat fait suite à des paramétrages et des whitelisting sur l'AV.

bah ça veut dire que ton antivirus fait bien son job !

Les derniers ransomeware sont capables avant de crypter tout ce qu'ils peuvent d'envoyer vos fichiers au pirate et donc au moment de réclamer la rançon il va dire que si on ne paye pas les fichiers seront mis sur la place publique, je crois que c'est le rançongiciel : Maze qui fait ça
 
Est-ce qu'il y a une façon de se prémunir de ça ?

Ne pas se faire pirater?

malheureusement la mitraillette ne peut pas être autorisée pour cibler les utilisateurs , on nous a dit, y a pas le droit

- Mettre à jour TOUT
- Double authentification, etc.
- Former les utilisateurs

- Des sauvegardes OFFline
- Un PRA / PCA documenté avec la définition des rôles de chacun et le fonctionnement en mode dégradé
- Un audit de sécurité  
- Une simulation afin de tester tout ça et ne pas découvrir par exemple que les sauvegardes ne fonctionnent pas quand on en a besoin ...
- ...

+ modèle du plus petit privilège sur les filer et l'AD, utiliser une délégation/forêt bastion.

AHAH:

Ne pas se faire pirater.
 

Impossible.
 
GOTO AHAH

 
Nous sommes en plein plan sécu chez nous. L'audit a déjà été réalisé, on met en place les quick wins pour le moment.
On réfléchit pour nos sauvegardes. Quelle périodicité de rafraichissement de ces sauvegardes ? Car faut bien qu'elles soient inline pour les actualiser.

Ça dépend du volumes de donnée.
 
A mon avis, je dirais au moins 1x par semaine, et si c'est pas beaucoup de donnée, 2-3 fois par semaines.

ici les sauvegardes offline c'est 1x semaine

OK sais bien

 
Merci.
 
Certains d'entre vous utilisent-ils des outils comme Dataguard (F-Secure) ou Vectra par exemple ?

Deepguard de F-Secure (c'est dans la suite), sur les postes clients. C'est pas infaillible (rien ne l'est), ça demande un peu de ressources, ça enquiquine parfois les users, mais ça fonctionne plutôt pas mal pour détecter les saloperies.
Data Guard fonctionne pas mal, après un petit peu de temps "d'apprentissage" de sa part.  
Valable pour les crypto "locaux", mais pas certain qu'il empêche une propagation au LAN.
le combo des deux est pas mal

En général on met jamais deux outils de sécurité en même temps.
Cette bonne pratique est obsolète ?

 
Les 2 font partie de la suite F-Secure et n'ont pas la même fonction.

Ah ok je connais pas les produits de cet éditeur

Oui oui, c'est le même produit. Ce sont juste 2 modules de la "suite antivirus". J'aurais du le préciser

 
Bonjour,
Quel outil pour les sauvegardes externes ?
Merci

 
la bonne vieille cartouche LTO donc avec le robot qui va bien

 
Upload vers repository externe (AWS S3, etc.) avec immutabilité des sauvegardes. Veeam gère ça nativement.
Sinon cartouche HDD type Dell RD1000.

Il y a aussi sauvegarde sur bande LTO.
Tu peux aussi rendre tes sauvegardes immuables toi-même.
Upload vers un repository sur un linux ou NAS (avec une couche linux) monté en NFS ou smb, et avec un script en local tu rends ces fichiers immuables.
Je crois que cette fonctionnalité sera gérée nativement avec Veeam 11.

bientôt les nouvelles annonces pour Veeam 11

mais oui : https://www.xylos.com/en/blog/veeam11

A condition que ton NAS soit externalisé au site.
Et comme il est au final sur ton réseau, il ne faut pas qu'il soit impacté par un piratage. Donc au minimum, une authentification uniquement locale (avec ID non sauvegardés au même endroit que les autres) et du hardening.

Petit HS
quand on a toujours le support actif Veeam, on peut upgrader sans passer à la caisse?

 
Biensur il faut décolérer l'authentification windows / linux sinon il n y a aucun intérêt.
 

 
Oui

 
Merci  

quelqu'un utilise il des modules spécifique embarqué dans des antivirus contre les ransomeware ?
par exemple Mcafee  ( Protection adaptive contre les menaces (ATP) )
vous en êtes content.Pas trop de baisses de performances ?

Pas fait de crash-tests avec, Acronis possède un outil pour détecter et supprimer les ransomware.

L’hôpital de Dax a subit une attaque ( c’est devenu la mode au XXI siècle)
 
https://www.sudouest.fr/landes/dax/ [...] 268028.php
 
Cyberattaque de l’hôpital de Dax "par rançongiciel" : le parquet de Paris reprend l’enquête

"La cyberattaque menée dans la nuit de lundi à mardi contre le centre hospitalier".
 
Euh dans la totalité des cas, on parle bien d'une faille énorme laissant le système un peu porte ouverte.  
Donc parler d'attaque c'est quand même largement abusif non ?

 
Il existe plusieurs moyens de pirater le SI.
La faille dans un service ouvert sur Internet, oui. Mais pas pour autant évident pour l'informatique de prévenir. La faille peut être 0-day.
La faille peut même provenir d'un correctif officiel du fabricant (voir les cas de MAJ d'appliances de sécurité infectées à la source).
 
Dans de nombreux cas aussi visiblement, c'est l'exécution sur un poste du LAN d'un exe infecté qui est la porte d'entrée. L'exe transitant souvent via les messageries.
 
Peut-être aussi des cas de social engineering via des prises en main à distance en se faisant passer pour un prestataire.
 
Dans les entreprises, il existe des tas de moyens de se servir des employés pour infecter un poste. Ces derniers n'y comprennent rien et sont trop sous pression métier pour prendre le temps de s'assurer de quoi que ce soit.

Je sais bien j'en ai géré des parcs.
 
C'est juste toujours utiliser ces mots "attaques", "hackers" alors qu'en faite voila comme tu le dis un bête .exe exécuté...

 
Là oui on peut parler d'attaque mais ca représente quoi 1% des cas qu'on lit dans l'actualité.