Sophos Anti-Virus pour Windows : bon usage de l'analyse runtime HIPS

Avant d'utiliser pour la première fois l'analyse comportementale runtime HIPS, autorisez de manière préalable les programmes et les fichiers légitimes qui sont déjà sur votre réseau.

Les programmes légitimes peuvent inclure des programmes d'installation et des outils de mise à jour. Les fichiers légitimes peuvent inclure des feuilles de calcul avec des macros activées ainsi que d'autres fichiers communément utilisés pour diffuser des malwares.

Introduisez l'analyse comportementale runtime HIPS dans vos logiciels existants.

Lorsque vous utilisez l'analyse comportementale runtime HIPS pour la première fois, il est important de l'utiliser pendant quelques semaines dans la configuration Alerter seulement afin d'identifier tous les logiciels qui peuvent provoquer des détections indésirables sur votre réseau. Au cours de cette période, il est crucial d'étudier toutes les alertes HIPS afini de différencier les détections indésirables des réelles menaces susceptibles d'être présentes sur les ordinateurs de votre entreprise. Pour plus d'informations, reportez-vous à l'article Sophos Anti-Virus : "faux positifs" et "détections indésirables" (anglais).

Pour plus d'informations sur la gestion des alertes HIPS, veuillez vous reporter à l'article Sophos Anti-Virus : gestion de la détection des fichiers et comportements suspects.

Une fois que vous êtes sûr que toutes les alertes ont été traitées, désactivez la configuration Alerter seulement afin que les processus soient automatiquement empêchés d'exéctuer du comportement suspect.

Ayez à disposition un groupe réduit de machines test pour l'installation des logiciels.

Identifiez un nombre réduit de machines à faible risque sur votre réseau et utilisez-les comme banc de test pour introduire de nouveaux logiciels sur votre réseau. Lorsque vous avez besoin de déployer de nouveaux logiciels, configurez l'analyse comportementale runtime HIPS sur ces machines sur le paramètre Alerter seulement et déployez les logiciels en premier lieu sur ces machines. Si des alertes sont rencontrées, étudiez-les et si cela s'avère être des détections indésirables, envisagez d'autoriser à l'aide de la Sophos Enterprise Console les composants associés à utiliser. Ainsi, lorsque vous déploierez les logiciels sur le reste du réseau, vous n'aurez pas d'autres alertes et vous n'aurez pas besoin de changer votre stratégie de protection pour la majeure partie des ordinateurs de votre entreprise.

Méfiez-vous lors du téléchargement.

Dans la mesure du possible, essayez de télécharger les packages des programmes d'installation afin qu'ils puissent être vérifiés et exécutés localement au lieu de les exécuter directement depuis le navigateur Internet. Il est possible que les liens de téléchargement ne désignent pas les fichiers que vous attendez.

Soyez clair en ce qui concerne les logiciels développés en interne.

Lorsque vous mettez au point des programmes logiciels en interne, essayez d'être le plus clair possible quant aux origines des applications. Essayez d'inclure le plus possible d'informations précises sur les ressources et évitez d'utiliser des logiciels de compression associés à des malwares.