sandboxing, une nouvelle défense contre les menaces intelligentes
DESCRIPTION
Les APT (Advanced Persistent Threats) sont des menaces réputées subtiles, intelligentes et dangereuses. Des protections standards utilisant la reconnaissance par signatures ne sont plus suffisantes. Des techniques comme le sandboxing sont alors nécessaires.TRANSCRIPT
êtes-vous sûrd’avoir la bonnedéfense?
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
SANDBOXING, UNE DÉFENSE CONTRE LES MENACES AVANCÉES
Raphael JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com
MENACES AVANCÉES ?
• Qu’est-ce qu’une menace avancée ?
Planifiée
Ciblée
Intelligente
Evolutive
– PC Mag (Mar, 2011)
Le piratage de RSA toucha aussi Lockheed, système distant piraté
– CNET (Feb, 2013)
e-card arrive avec une pièce jointecontenant un trojan
EXEMPLE DE LA VIE COURANTE
Les attaques ciblées commencentavec une faille zero-day
“Le ver Duqu causa des dommages collatérauxdans une Cyber Guerre silencieuse”Le ver exploite une vulnérabilité zero-day dans un document Word
Nouvelles vulnérabilités Nouvelles variantes
“Chaque jour, environ 200 000 nouvelles versions de malwares sont créées” - net-security.org, June 2013
VULNÉRABILITÉS ZERO-DAY
CAS CONCRET : STUXNET
• Stuxnet se démarque de tous les autres malwares :
4 failles Windows exploitées dont 3 Zero-Day
Plusieurs langages de programmation utilisés
Chiffrement de code
Mécanisme de mise à jour via site de contrôle ou P2P
EVOLUTION DES MENACES
• Plusieurs moyens pour contrer les solutions d’anti-virus :
Obscurcissement du code
Chiffrement du code
• Conséquence :
Développement d’un nouveau moyen de détection du comportement des logiciels malveillants
Le Sandboxing
INSPECTER EMULER
PROTEGERPARTAGER
LE PRINCIPE
Exe files, PDF and Office documents
INSPECTER
Coupler le mécanisme au firewall
Envoi des pièces jointes et fichierstéléchargés vers une plateforme desandboxing
EMULER
• Emulation des fichiers dans des environnements Multi-OS
• Analyse du comportement :Modifications de fichiers, bases de registres & processus systèmes
Ouverture de connexions réseaux
Monitoring de comportements « suspect »
Security Gateway
En cas de découverte d’un malware, onbloque la récupération du fichier parl’utilisateur sur le firewall
PROTEGER
Partage de l’informationsur le cloud
PARTAGER
Optimiser l’analyse en inspectant les fichiers à risqueOptimiser l’analyse en inspectant les fichiers à risque
Zero faux-positif avec emulation de document
Zero faux-positif avec emulation de document
Bloque le téléchargement de malware
Détecte et évite les dommages des bots
Bloque les attaquesconnues (signatures)IPS
Anti-Bot
Antivirus
DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES
UNE SOLUTION PARFAITE ?
• Déjà des failles …
• Les malwares détectent s’ils sont exécutés dans un système virtuel ou un environnement émulé pour arrêter de fonctionner et ainsi ne pas divulguer d’informations.
• Les hackers ont aussi développé des solutions de contournement du sandboxing :
- Stalling code : exécution d’une activité pour paraître «normal» et exécution de l’attaque
CONCLUSION
Evolution des techniques d’attaque en permanence,
Pas de solution miracle pour contrer toutes les attaques …
… mais le sandboxing est un bon complément pour lutter contre les menaces avancées, en complément aux solutions traditionnelles
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
MERCI DE VOTRE ATTENTION
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
Raphael JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com