¿Es inseguro utilizar una sola lista de exclusión de antivirus?

Navega tus respuestas
1

Trabajo en una organización que lucha por administrar y mantener los servicios.

Estamos implementando una solución AV y quiero configurar una lista de exclusión única en todo nuestro estado para cubrir SQL, AD, Exchange, etc. Me doy cuenta de que esto puede llevar a exclusiones en un subconjunto de servidores que son irrelevantes. o no debería ser excluido.

Nuestra solución de AV no es lo suficientemente flexible como para tener listas de exclusión heredables, por lo que necesitaríamos listas de exclusión separadas para cada tipo de servidor, con la sobrecarga administrativa de actualizar varias listas cada vez que cambia una única exclusión.

¿Hay alguna guía oficial (NIST, GCHQ, Microsoft, etc.) sobre esto? En teoría, es más seguro usar listas de exclusión múltiples, sin embargo, dado mi organización, el esfuerzo por mantener listas de exclusión separadas puede llevar a configuraciones incorrectas e inconsistentes, lo que es un riesgo en sí mismo.

¿Alguna idea?

    
pregunta SnowyPeaks 18.04.2018 - 16:51
fuente

2 respuestas

1

Excluir en cada servidor solo lo que se puede excluir es más seguro que excluir los mismos recursos en cada servidor porque cuanto menos excluya, mejor. Por otro lado, no aumentará demasiado el riesgo aplicando las mismas exclusiones a cada servidor si las exclusiones son razonables.

Imagina por un momento que un servidor te obliga a excluir todo y eso debería propagarse a todos los sistemas ... eso no sería razonable.

    
respondido por el Forced Port 18.06.2018 - 22:14
fuente
0

Puede usar plantillas de idiomas o procesadores de macros para generar listas de exclusión que comparten algunas partes comunes. Al cambiar una parte incluida, se regenerará automáticamente.

Esta podría ser una buena idea para hacer que las listas de exclusión sean lo más específicas posible, ya que algunas normas exigen una estricta aprobación de la administración para las excepciones.

Y como el antimalware es a menudo una tecnología que cubre tu trasero, debes asegurarte de que parezca que te importa.

    
respondido por el eckes 19.04.2018 - 03:33
fuente

Lea otras preguntas en las etiquetas

¿Puede alguien ver el contenido de mi archivo .htaccess? ¿El protocolo de intercambio de claves Diffie-Hellman es vulnerable al hombre en el ataque central?