L'azienda in cui lavoro di recente ha superato un controllo di sicurezza. Tutto sembra essere solido tranne il nostro Sophos Cloud Security AV.
Mi è stato chiesto di provare a scaricare alcuni questi File di test ClamAV sulle nostre macchine (in particolare: clam.mail e clam.zip ), prevedendo che fossero bloccati da Sophos, ma invece non solo potevo scaricare, ma anche aprire i file.
L'ho provato sul mio MacBook con MacOS Sierra e un laptop Windows 10 aggiornato, ma il risultato finale è lo stesso. Sophos non vede questi file come minacce e non li blocca.
Secondo il team di audit, si tratta di file di test "fittizi" standard che devono essere rilevati dal software antivirus, ma sono innocui.
Dando un'occhiata, sembra che i file standard usati in questo scenario siano in realtà EICAR . A differenza di quelli di ClamAV, questi vengono rilevati correttamente dal nostro software Sophos AV.
Abbiamo provato a contattare il supporto Sophos, ma siamo ancora in attesa di una risposta.
Nel frattempo abbiamo provato gli stessi file ClamAV su altre macchine di prova con diversi software AV (ovvero Windows Defender e F-Secure per ora) e nessuno di questi ha rilevato la minaccia.
Poiché questo è l'unico passo che ci impedisce di passare l'audit, sarebbe molto importante capire se è il software Sophos che dovrebbe bloccare i file, o se i file stessi non sono quelli corretti per testare una funzionalità AV.