sandboxing, une nouvelle défense contre les menaces intelligentes

êtes-vous sûrd’avoir la bonnedéfense?

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 55gregory.chanez@e-xpertsolutions.comwww.e-xpertsolutions.com

SANDBOXING, UNE DÉFENSE CONTRE LES MENACES AVANCÉES

Raphael JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com

MENACES AVANCÉES ?

• Qu’est-ce qu’une menace avancée ?

Planifiée

Ciblée

Intelligente

Evolutive

– PC Mag (Mar, 2011)

Le piratage de RSA toucha aussi Lockheed, système distant piraté

– CNET (Feb, 2013)

e-card arrive avec une pièce jointecontenant un trojan

EXEMPLE DE LA VIE COURANTE

Les attaques ciblées commencentavec une faille zero-day

“Le ver Duqu causa des dommages collatérauxdans une Cyber Guerre silencieuse”Le ver exploite une vulnérabilité zero-day dans un document Word

Nouvelles vulnérabilités Nouvelles variantes

“Chaque jour, environ 200 000 nouvelles versions de malwares sont créées” - net-security.org, June 2013

VULNÉRABILITÉS ZERO-DAY

CAS CONCRET : STUXNET

• Stuxnet se démarque de tous les autres malwares :

4 failles Windows exploitées dont 3 Zero-Day

Plusieurs langages de programmation utilisés

Chiffrement de code

Mécanisme de mise à jour via site de contrôle ou P2P

EVOLUTION DES MENACES

• Plusieurs moyens pour contrer les solutions d’anti-virus :

Obscurcissement du code

Chiffrement du code

• Conséquence :

Développement d’un nouveau moyen de détection du comportement des logiciels malveillants

Le Sandboxing

INSPECTER EMULER

PROTEGERPARTAGER

LE PRINCIPE

Exe files, PDF and Office documents

INSPECTER

Coupler le mécanisme au firewall

Envoi des pièces jointes et fichierstéléchargés vers une plateforme desandboxing

EMULER

• Emulation des fichiers dans des environnements Multi-OS

• Analyse du comportement :Modifications de fichiers, bases de registres & processus systèmes

Ouverture de connexions réseaux

Monitoring de comportements « suspect »

Security Gateway

En cas de découverte d’un malware, onbloque la récupération du fichier parl’utilisateur sur le firewall

PROTEGER

Partage de l’informationsur le cloud

PARTAGER

Optimiser l’analyse en inspectant les fichiers à risqueOptimiser l’analyse en inspectant les fichiers à risque

Zero faux-positif avec emulation de document

Zero faux-positif avec emulation de document

Bloque le téléchargement de malware

Détecte et évite les dommages des bots

Bloque les attaquesconnues (signatures)IPS

Anti-Bot

Antivirus

DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES

UNE SOLUTION PARFAITE ?

• Déjà des failles …

• Les malwares détectent s’ils sont exécutés dans un système virtuel ou un environnement émulé pour arrêter de fonctionner et ainsi ne pas divulguer d’informations.

• Les hackers ont aussi développé des solutions de contournement du sandboxing :

- Stalling code : exécution d’une activité pour paraître «normal» et exécution de l’attaque

CONCLUSION

Evolution des techniques d’attaque en permanence,

Pas de solution miracle pour contrer toutes les attaques …

… mais le sandboxing est un bon complément pour lutter contre les menaces avancées, en complément aux solutions traditionnelles

www.e-xpertsolutions.com

www.e-xpertsolutions.com/rssglobal

blog.e-xpertsolutions.com

twitter.com/expertsolch

linkedin.com/company/110061?trk=tyah

slideshare.net/e-xpertsolutions

MERCI DE VOTRE ATTENTION

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 55gregory.chanez@e-xpertsolutions.comwww.e-xpertsolutions.com

Raphael JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com