La empresa en la que trabajo recientemente obtuvo una auditoría de seguridad. Todo parece ser sólido, excepto nuestro AV Sophos Cloud Security.
Me pidieron que intentara descargar algunos de estos Archivos de prueba de ClamAV en nuestras máquinas (en particular: clam.mail y clam.zip ), esperando que Sophos las bloquee, pero en su lugar no solo podía descargar, sino también abrir los archivos.
Lo probé en mi MacBook con MacOS Sierra y en una computadora portátil con Windows 10 actualizada, pero el resultado final es el mismo. Sophos no ve estos archivos como amenazas y no los bloquea.
Según el equipo de auditoría, estos son archivos de prueba "ficticios" estándar que solo deben ser detectados por el software antivirus, pero son inocuos.
Mirando alrededor, parece que los archivos estándar utilizados en este escenario son en realidad los los de EICAR . A diferencia de los ClamAV, estos son recogidos correctamente por nuestro software Sophos AV.
Intentamos contactar al soporte de Sophos, pero todavía estamos esperando una respuesta.
Mientras tanto, probamos los mismos archivos ClamAV en otras máquinas de prueba con diferentes software AV (a saber, Windows Defender y F-Secure por ahora) y ninguno de ellos responde a la amenaza.
Dado que este es el único paso que nos impide pasar la auditoría, sería muy importante entender si es el software de Sophos el que debe bloquear los archivos, o si los archivos en sí no son los correctos para probar una funcionalidad de AV.