web-dev-qa-db-fra.com

Alternatives à l'antivirus pour se protéger

J'ai lu beaucoup d'articles qui expliquent comment utiliser un AV est moins sûr que de ne pas en avoir un pour plus d'utilisateurs de PC intermédiaires qui font attention à ce qu'ils cliquent et téléchargent.

Par exemple, voici quelques articles:

J'ai également lu que lorsqu'un AV analyse automatiquement un fichier exécutable que vous venez de télécharger, le pirate pourrait potentiellement abuser d'une vulnérabilité dans l'analyse AV et le faire s'exécuter sans que vous ne l'exécutiez. En plus de cela, vous devez toujours faire confiance à l'AV qui a un accès noyau à votre PC et intercepte le trafic réseau pour vous et peut-être même recueille des données sur des choses que vous ne savez pas.

Je me demandais donc quelles seraient les meilleures façons de garder mon PC en sécurité sans compter sur un logiciel AV lourd et automatique? Je peux penser à quelques choses jusqu'à présent (mais est-ce que faire ces choses serait en fait plus sûr que d'avoir un AV?):

  • Utiliser des extensions comme AdBlock et NoScript/ScriptSafe pour que le code malveillant ne puisse pas s'exécuter en secret.
  • Surveiller le trafic réseau sur votre PC de temps en temps pour vérifier tout élément suspect.
  • Utiliser un outil comme AutoRuns chaque semaine pour vérifier les entrées de démarrage suspectes.
malwarevirusantivirus
111
delacroix

L'antivirus est plus dangereux en ce qu'il analyse les données complexes contrôlées par les attaquants dans un contexte hautement privilégié. Ceci est une recette pour les exploits d'escalade de privilèges. En conséquence, les attaquants sophistiqués peuvent souvent abuser des programmes antivirus pour obtenir les privilèges SYSTEM. Ce n'est pas un événement rare ou qui n'est qu'un problème pour les ennemis d'un gouvernement puissant. Le logiciel AV est criblé de vulnérabilités de hausse de privilèges. Un rapide coup d'œil à la gravité des vulnérabilités dans la liste CVE pour tout logiciel populaire donnera au moins un petit aperçu de l'étendue du problème.

Tenez compte de votre modèle de menace

Il est nécessaire de comprendre votre propre modèle de menace. La situation d'une personne pourrait dicter que la VA est nuisible, tandis que la situation d'une autre personne pourrait dicter qu'elle est bénéfique. Être capable de comprendre les risques qui s'appliquent à vous et les adversaires que vous avez est essentiel pour pouvoir prendre toutes les décisions liées à la sécurité, en particulier celles comme celle-ci qui ne sont pas nécessairement en noir et blanc.

AV peut être bénéfique dans les situations où:

  • L'ordinateur est utilisé par quelqu'un qui peut facilement être trompé dans l'installation de logiciels malveillants.

  • L'ordinateur traitera les données soumises par l'utilisateur qui peuvent être redistribuées à d'autres.

  • Vous téléchargez de nombreux programmes non fiables, tels que warez .

AV peut être dangereux dans les situations où:

  • Votre adversaire est au moins modérément sophistiqué ou vous vise en particulier.

  • Vous êtes le seul utilisateur de votre ordinateur et ne téléchargez pas de programmes non signés.

  • Vous gardez votre logiciel à jour et vous ne vous attendez pas à ce que les gens brûlent 0 jours sur vous.

C'est votre modèle de menace qui détermine si vous devez ou non utiliser un logiciel AV. Ma personnelle suggestion, en supposant que vous ne téléchargerez pas d'économiseurs d'écran aléatoires Dolphin et que vous gardiez votre logiciel à jour, est que vous souhaiterez peut-être utiliser un programme simple et par défaut tel que Windows Defender, et utilisez-le uniquement lorsque vous en avez explicitement besoin. Chaque fois que vous lui demandez d'analyser le disque dur, vous y mettez toute votre confiance pour ne pas être compromis par un logiciel malveillant spécialement conçu sur lequel il pourrait tomber. Si, au contraire, vous l'utilisez pour cibler des programmes spécifiques que vous téléchargez avant de les exécuter, vous réduisez considérablement les risques.

Appliquer la signature de code

Il serait préférable que vous n'ayez pas besoin de télécharger des logiciels non fiables et d'utiliser à la place des fichiers de confiance exécutables signés uniquement à partir de sources officielles. Ceci est particulièrement important pour les fichiers qui souhaitent être exécutés en tant qu'administrateur, car ceux-ci sont les plus susceptibles d'endommager votre installation. Assurez-vous qu'ils sont signés ! Ne présumez jamais que votre propre volonté est suffisante pour vous empêcher de faire des erreurs lors de l'exécution d'un nouveau programme. C'est ce sur quoi les développeurs de chevaux de Troie comptent!

Afin de réduire davantage le risque d'exécuter accidentellement un exécutable non signé ou non fiable, vous pouvez configurer votre politique de sécurité de sorte que les exécutables non signés ne peuvent pas être exécutés. Cela garantira que tout logiciel malveillant devra avoir une signature valide, signée par une autorité de certification de confiance. Bien qu'il soit évidemment possible de faire signer un fichier malveillant, il est beaucoup plus difficile et aura tendance à être plus problématique si vous êtes une cible spécifique et pas seulement une victime opportuniste.

Si vous limitez davantage la politique de sorte que seuls les exécutables signés par Microsoft eux-mêmes (et pas seulement une autorité de certification approuvée par Microsoft), vous pouvez éliminer efficacement toute possibilité d'infection d'un cheval de Troie. La seule façon d'obtenir un programme à exécuter dans ce cas serait d'exploiter un 0day dans le système d'exploitation, ou de compromettre les clés de signature internes de Microsoft (ce sont toutes deux dans le domaine des capacités des acteurs avancés parrainés par l'État). Cela peut aider à prévenir les cas rares (mais non inexistants) où du code malveillant se glisse dans les référentiels d'un développeur de confiance.

Durcissement du système

Sur les systèmes antérieurs à Windows 10, vous pouvez utiliser Enhanced Mitigation Experience Toolkit (EMET) pour améliorer la sécurité du système sans augmenter de manière significative la surface d'attaque, mais notez qu'EMET ne recevra pas de mises à jour plus longtemps. EMET fonctionne en injectant des processus avec du code qui les durcit contre l'exploitation, augmentant les chances qu'une tentative d'exploit fasse planter l'application ciblée plutôt que d'être exploitée avec succès. Si vous êtes sous Windows 10, la plupart de ces fonctionnalités de sécurité seront nativement présentes. Cela en fait la version Windows la plus sécurisée à ce jour, malgré les problèmes de confidentialité potentiellement problématiques qu'elle peut avoir.

Vous pouvez également désactiver les services inutiles (en particulier les services de mise en réseau, tels que ceux exploités par EternalBlue ), utiliser AppLocker et lire les guides de sécurité fournis par Microsoft pour vous permettre d'améliorer encore la sécurité de votre système. Le sujet du durcissement du système est vaste.

125
forest

C'est plus une opinion qu'un fait, mais la réponse est définitivement "Peut-être!"

Réduisons brièvement notre champ d'application à Windows, car il s'agit du plus grand marché antivirus du marché.

Windows Defender (le Microsoft AV par défaut) est assez bon; Windows Defender protège contre la plupart (mais pas toutes!) Des menaces. Mais voici le problème: aucun antivirus ne protège contre toutes les menaces. Vous devez toujours vous rabattre sur le bon sens et certaines autres protections.

Cette sorte de non-sens "probablement" ne viendra pas de Windows Defender, car ils peuvent tester leur système d'exploitation avec leur AV et s'assurer que tout fonctionne (j'espère!).

Cependant, l'utilisation de Windows Defender n'est pas une solution définitive, vous devez toujours:

  1. SAUVEGARDER, SAUVEGARDER, et ai-je oublié de vous dire de SAUVEGARDER! Les ransomwares sont encore assez courants, et avoir une bonne stratégie de sauvegarde est le seul vrai moyen d'éviter d'être victime. Sauvegardez vers un emplacement hors site et un avec le contrôle de version — j'utilise Dropbox! Faites-le correctement afin que le ransomware ne crypte pas également vos sauvegardes.

  2. Assurez-vous que votre logiciel est à jour et n'installez pas trop de déchets. Plus il y a d'applications sur votre machine, plus il y a de chances que l'une d'entre elles se mouille. Actualisez Windows à l'instant où vous obtenez votre ordinateur portable, supprimez tous les logiciels malveillants et assurez-vous que tout ce que vous téléchargez est en cours de mise à jour automatique - également ne pas télécharger de logiciel de fournisseurs douteux est un bon début.

  3. Utilisez NoScript/Ad Blocker pour votre navigateur, les crypto-mineurs qui fonctionnent sur Javascript ne font pas autant d'argent que vous attendez, mais ils sont toujours là.

  4. EMET serait bien, et donc pour Windows Defender.

  5. Ai-je mentionné la sauvegarde!

  6. Utilisez un utilisateur non administrateur par défaut: créez un utilisateur non administrateur distinct et utilisez-le pour une utilisation quotidienne.

Pour être absolument sûr, déconnectez votre ordinateur d'Internet et cachez-vous dans une grotte! :)

18
keithRozario

En tant que personne qui travaille souvent contre les AV, je peux dire qu'ils sucent tous en quelque sorte. Beaucoup de choses dépendent du niveau de sécurité par rapport au confort dont vous pouvez vous passer.

La connaissance, c'est le pouvoir Le premier outil que je recommanderais, c'est l'éducation. Savoir quels sites vous visitez est une grande aide. Évitez les sites non fiables. Cela inclut les sites de streaming et le torrent. La correction du système d'exploitation est un must, restez à jour sur les dernières menaces, désactivez le flash. Le problème que j'avais avec forcer les organisations à utiliser noscript et autres était que les utilisateurs finissaient par cliquer sur Activer tout.

Utilisez une machine virtuelle de sauvegarde Comme alternative, j'aime avoir un VM pratique pour tester les fichiers. Vous pouvez garder une grande partie de votre système d'exploitation dans une machine virtuelle. J'ai travaillé dans un réseau que nous avons tous travaillé dans des machines virtuelles et quand ils ont agi, cliquez sur restaurer et terminé.

Deepfreeze J'ai utilisé deepfreeze sur notre université il y a de nombreuses années et c'était excellent. Vous pouvez simplement le configurer et votre système d'exploitation reviendra à son état d'origine à chaque fois. J'ai lancé le ver Petya et l'ai laissé crypter le disque et redémarré la machine et rien. Excellent outil!

Réseaux séparés À la maison, je garde des réseaux séparés pour les "invités". Ils peuvent apporter leurs affaires et je n'ai pas à m'inquiéter que cela arrive dans ma partie du réseau.

Avoir un système d'exploitation plus sécurisé Je n'aime vraiment pas utiliser Windows car je pense qu'il exécute tout à la baisse d'un chapeau. Ce n'est évidemment pas parfait du tout, car OSX et Linux sont piratés tout le temps, mais je pense qu'avoir quelque chose que vous pouvez contrôler est bien. Vous pouvez désactiver les macros et toujours obtenir l'exécution de code à partir de certains des exploits.

J'en ajouterai plus au fur et à mesure qu'ils me viennent à l'esprit.

Au final, rien n'est parfait. mais ces choses peuvent aider.

11
Qndel

L'antivirus va bien - c'est "ce que nous avons"

Ne vous attendez pas à ce qu'il vous protège de tout - rien ne le fera. Sinon, si vous voulez vous protéger sans AV, vous allez devoir passer par plusieurs cerceaux pour durcir votre machine.

  1. Liste blanche des applications
  2. Vérifier les correctifs du système d'exploitation
  3. Désactiver les macros DDE
  4. Correctif régulier de toutes les applications de votre système
  5. Avoir un flux pour chacune de vos applications liées aux CVE
  6. Sysmon avec une configuration réduite
  7. Séparez votre bureau de fiable et non fiable. Sessions de navigateur et e-mail dans un VM par exemple sans accès à un autre qui contient des coordonnées bancaires. Démolissez le VM après chaque session non fiable)
6
McMatty

Je suis d'accord avec l'utilisation de Windows Defender, mais je pense que malgré ce que vous avez lu, un bon programme AV (lire: très bien noté par des sources fiables) est la voie à suivre en toute sécurité. Avec les conseils qui ont été donnés (en dehors de la grotte), je pense que l'ajout de SpyBot à votre arsenal est une bonne idée. https://www.safer-networking.org/private/compare/ Il n'entrera en conflit avec aucun programme AV et ajoutera à la sécurité du système. Vous pouvez obtenir la version gratuite, qui a certaines limitations, afin de la vérifier. Mais, si vous sentez que vous voulez plus de fonctionnalités, vous pouvez acheter la version Home ou Professional. Pour info, la version gratuite doit être mise à jour manuellement. Les versions payantes le font automatiquement. SpyBot immunise votre système https://www.safer-networking.org/features/immunization/ ainsi que recherche et corrige les logiciels malveillants et les rootkits.

En ce qui concerne la sauvegarde, la sauvegarde, la sauvegarde, etc., je recommanderais également de définir des points de restauration chaque fois que vous apportez une modification importante à votre système.

Je n'ai pas encore été frappé par des logiciels malveillants (bien sûr, maintenant je me suis malmené) après avoir été en ligne depuis que la numérotation était à la mode. Je ne faisais pas attention à la sauvegarde des données à l'époque, mais après quelques disques durs frits, j'ai appris ma leçon.

Et enfin, ayez un pare-feu sécurisé, ce que vous avez sûrement déjà fait, mais je pensais que je devrais le mentionner.

Je n'ai pas autant d'expérience que la forêt, mais après plus de 20 ans, j'ai réussi à éviter les logiciels malveillants en suivant ce que j'ai suggéré.

2
The Dormouse

Un AV n'est qu'une des nombreuses couches de sécurité que toute personne utilisant Windows doit déployer. L'utilisateur n'a qu'à garder à l'esprit qu'il n'existe pas d'antivirus efficace à 100%, et c'est pas une solution miracle.
.

Il est beaucoup plus probable qu'un système soit compromis parce qu'un AV n'est pas installé, que parce que l'AV lui-même a été compromis.
Vous ne devriez vous inquiéter que votre AV soit compromis si vous êtes contre une nation souveraine, et si c'est le cas, vous avez déjà perdu.

1
Informat

Toutes les possibilités interchangeables suivantes peuvent réduire les chances d’infecter le virus en premier lieu.

  • Mettez toujours à jour et mettez à niveau votre système d'exploitation et vos applications.
  • Utilisez un pare-feu.
  • Pas d'Internet.
  • Pas d'USB.
  • Un système d'exploitation Unix (basé sur) (mac OS ou une distribution Linux).
  • Un navigateur Internet très développé et régulièrement mis à jour (Chrome ou Edge).
1
leymannx

option 1) vous pouvez envisager de migrer autant de machines que possible vers Linux. Si cela n'est pas possible, migrez au moins quelques machines critiques vers Linux.

option 2) Si, sur certaines machines, vous ne disposez que de Windows, vous pouvez déployer linux en tant qu'hostOS, puis utiliser rdesktop pour vous connecter à un client léger Windows; ou vous pouvez utiliser windows VM pour certaines tâches et pour le reste des tâches, utilisez Linux Host.

option 3) sur les machines sur lesquelles aucune option 1 ou 2 n'est possible, puis déployez la machine Windows avec toutes les approches ci-dessus comme expliqué dans les autres réponses.

0
zaxebo1