En quoi une sandbox est-elle essentielle pour la sécurisation de votre réseau ?

Les entreprises doivent revoir leur position par rapport à la sécurité. Elles peuvent améliorer la situation. Les techniques d'analyse passives sont une solution mais présentent malgré tout des insuffisances en matière de détection et de protection. Alors que faire?

Associée à d'autres outils, la sandbox est le meilleur moyen de sécuriser un réseau. En voici les raisons.

Pourquoi les signatures et les techniques heuristiques ne sont-elles pas suffisantes ?

L'efficacité de la détection par signatures dépend de la base de données qu'elle utilise pour identifier le code malveillant. Même si votre base de données est mise à jour en temps réel, vous risquez de ne pas bloquer une attaque car les fournisseurs d'antivirus ont besoin de temps pour identifier les logiciels malveillants, développer les signatures, et mettre à jour leur base de données. De plus, les auteurs de code malveillant connaissent les techniques de détection par signatures et utilisent des techniques pour les contourner.

 

De même, la méthode heuristique peut manquer de précision. Il se peut qu'une portion de code ne soit que du trafic qui ne correspond pas au modèle attendu, entraînant des faux positifs. Parfois, le code malveillant ne semble pas nuisible au premier abord jusqu'à ce qu'il soit rassemblé du côté back-end, rendant l’analyse heuristique inefficace.

 

Prenons l'exemple d'un ransomware. Au départ, le code téléchargé n'est pas nuisible. Il devient dangereux à partir du moment où il se connecte à un serveur de commande et de contrôle (C2) et où il télécharge un code supplémentaire. Pour donner un autre exemple, prenez une macro dans un document Microsoft Word. À moins que la macro n'utilise une méthode d'attaque connue ou suspecte, ni les signatures ni les techniques heuristiques ne peuvent déterminer si la macro est malveillante ou non. L'utilisation des signatures ou des techniques heuristiques pour effectuer une analyse passive du trafic a ses limites. L'analyse empêche le code de devenir actif et les auteurs des attaques savent dissimuler leur mauvais code (du point de vue de l'analyse) derrière du « bon » code.

 

Jouer avec le feu

 

La seule manière de déceler le code malveillant est de le « déclencher ». Le processus de déclenchement diffère grandement d'une simple analyse de code. Il peut être assimilé à la culture d'un microbe dangereux dans un laboratoire de confinement des dangers biologiques ou au déclenchement d'une bombe dans une enceinte de confinement. La sandbox est un endroit sûr qui permet d'ouvrir les données interceptées et de surveiller leur comportement. Si le comportement suspect ou malveillant est confirmé, le fichier et la menace qu'il contient peuvent être éliminés.

 

Fonctionnement d'une sandbox

 

La sandbox joue le rôle d'un environnement « sacrifié » pour le bien commun, où le code malveillant et son interaction avec le système d'exploitation sont surveillés. Une sandbox recherche les éléments suivants :


• Appels aux systèmes d'exploitation : y compris les fonctions d'API et les appels au système de surveillance.


• Modifications du système de fichiers : tout type d'action, y compris la création, la modification, la suppression et le cryptage de fichiers.


• Modifications du réseau : tout type d'établissement anormal de connexions sortantes.


• Modifications du registre : toute modification établissant la persistance des paramètres de sécurité ou réseau, ou leur apportant des changements.


• Éléments internes et externes : surveillance des instructions exécutées par un programme entre les appels aux systèmes d'exploitation, afin de compléter le contexte d'autres observations.

 

Efficacité d'une sandbox

 

La méthode de détection par signatures est idéale pour le repérage du code malveillant d'hier, mais devient moins efficace lorsqu'il s'agit d'arrêter des attaques de type «  zero day » ou de simples attaques ayant muté (par exemple, un logiciel malveillant spécifique qui ne correspond pas à une signature en raison d'une mutation). 


Les techniques heuristiques font avancer la détection dans la bonne direction, via la recherche de modèles anormaux dans le code. Toutefois, lors de l'utilisation d'un fichier image pour fournir une charge utile, les fichiers d'origine (comme un fichier PDF avec un lien vers un fichier ZIP externe) ne sont pas alarmants. C'est en cela que la sandbox est une méthode de détection et de prévention réellement efficace. Même avec les attaques de type «  zero day » sans signature et contenant du code jamais vu auparavant, la méthode de sandbox est la seule à détecter et bloquer  les comportements malveillants. 


En fin de compte, le code malveillant effectue un nombre limité d'actions, y compris l'établissement d'une connexion externe, le téléchargement de charges utiles supplémentaires, la connexion à un serveur C2 et la tentative de modification du système d'exploitation. Aucune de ces actions n'est normale dans le cadre de fichiers de travail.

 

Il existe différentes manières de protéger votre organisation contre le code malveillant. Même si la protection des terminaux est importante, elle peut exposer votre organisation à un risque encore plus important en autorisant du code malveillant à accéder à votre réseau. La sandbox fournit les moyens d'arrêter les menaces avant qu'elles n'accèdent à votre réseau.