Sandboxing : attention à ne pas rejouer Pierre et le loup !

Dominique Loiselet
Directeur général de Blue Coat France

Protéger l’entreprise contre les menaces connues n’est plus suffi sant. Aujourd’hui, les organisations subissent, de manière continue, des attaques ciblées innovantes que l’entreprise doit être en capacité d’identifi er et de valider le plus rapidement possible. Si l’antivirus reste le rempart indispensable contre les menaces connues, il n’existe à ce jour aucune technologie capable de protéger effi cacement les systèmes d’information en bloquant les menaces inconnues.

L’histoire du piratage de la société américaine Target, qui continue de faire les gros titres, est un parfait exemple. Elle illustre bien que les technologies d’identification des menaces avancées, et en particulier le sandboxing (ou bac à sable), si puissantes soient-elles, ne sont réellement effi caces que si elles sont correctement utilisées. Target a bien été alerté par sa sandbox, et pourtant l’attaque a réussi… Résultat, l’un des plus grands piratages de l’année avec des conséquences catastrophiques pour Target, autant en termes d’image que financiers.

L’explication est que ces deux types de technologies n’ont pas la même fonction. Un antivirus est chargé de détecter et de supprimer les menaces connues. Il inspecte le trafic et, s’il repère un code référencé comme malicieux, il prend la décision de bloquer le contenu.

Une sandbox, n’a pas le même objectif. Sa mission est de repérer les contenus qui pourraient représenter une menace pour l’entreprise, et d’alerter les équipes en charge de la sécurité du système d’information. C’est un leveur d’alerte. Rien de plus. Si certaines technologies de sandboxing permettent de bloquer des contenus, elles sont rarement en capacité de le faire sur le patient zéro. Principalement sur les flux web où il est diffi cile de bloquer l’affichage d’une page web en attendant l’analyse complète de l’ensemble de ses contenus.

POURQUOI LA SANDBOX NE DÉCIDE PAS ELLE-MÊME ?

Plusieurs raisons à cela : d’une part, comme elle tente de reconnaître des menaces inconnues, la sandbox ne peut jamais être sûre à 100 % qu’un code est réellement une menace pour le système d’information. Elle cherche à identifier des comportements douteux et, si le risque est suffisamment important, elle alerte les équipes de sécurité.

Cette analyse peut prendre beaucoup de temps. Pour minimiser les risques de « faux négatifs » ou de « faux positifs », il est important de tester l’objet dans plusieurs environnements, correspondant aux différents postes de travail utilisés dans l’entreprise, de le faire vieillir artifi ciellement, etc. C’est une analyse très lourde qui peut dans certains cas prendre plusieurs minutes, pendant lesquelles l’objet malveillant a fait sa route dans le système d’information de l’entreprise…

QUE SAIT L’ENTREPRISE UNE FOIS QUE L’ALERTE EST LEVÉE ?

Pas grand-chose en réalité. Elle sait qu’il y a un risque potentiel, mais n’a aucune information sur la validité de l’attaque, sur son origine, sur l’impact qu’elle a eu sur le système d’information, sur les moyens d’y remédier. C’est un long, fastidieux et onéreux processus d’analyse qui doit alors se mettre en place pour répondre rapidement à l’ensemble de ces questions. Quelque part, l’entreprise se retrouve dans la situation qu’elle a connue lors de l’arrivée des IDS (systèmes de détection d’intrusion) sur le marché il y a plus de dix ans : toujours plus d’alertes avec de nombreux faux positifs et faux négatifs, mais aucune certitude.

LA TECHNOLOGIE DE BAC À SABLE EST-ELLE DE CE FAIT INUTILE ?

Certainement pas. Elle est même critique si l’on souhaite améliorer la confi ance que les utilisateurs et les clients de l’entreprise ont dans le système d’information. Mais pour ce faire, deux éléments doivent être pris en considération : la minimisation des faux positifs et des faux négatifs, ainsi que la mise en place de mesures adaptée suite à l’identifi cation d’une menace réelle.

MINIMISER LES FAUX POSITIFS ET FAUX NÉGATIFS

Pour cela, il est impératif d’utiliser une double technologie de sandboxing : la première basée sur l’émulation et la seconde sur la virtualisation. Les codes utilisés par les attaques sont de plus en plus sophistiqués. Ils sont souvent capables de reconnaître la virtualisation et, sachant cela, de ne pas se déclencher. La technique d’émulation est donc extrêmement importante. Mais insuffi sante. Car d’autres critères peuvent être utilisés par les cybercriminels pour contourner les bacs à sable. On a en mémoire l’exemple d’une attaque qui s’est déroulée en fin d’année dernière au Mexique, où le code malicieux ne se déclenchait que si la langue du navigateur était l’espagnol. Sans une technologie de virtualisation qui permet de monter, dans les environnements de bac à sable, une image exacte des diff érents postes de travail, ces technologies peuvent relativement facilement être contournées.

IDENTIFIER LA RÉALITÉ D’UNE ATTAQUE ET PRENDRE LES MESURES ADAPTÉES

L’exemple de l’attaque subie par la société Target est là pour nous le rappeler : ce sont souvent plusieurs dizaines d’alertes qui peuvent être remontées chaque jour. Comment l’entreprise peut-elle, avec les outils traditionnels, être capable de toutes les analyser, de les comprendre, de les valider et d’y apporter une réponse efficace dans des délais acceptables ? Seule une technologie de type « Big Data Analytics » et sa capacité de revivre un événement passé, de revoir un e-mail, de reconstruire une page web ou un flux CIFS va permettre de répondre rapidement à l’ensemble de ces questions. C’est le même principe que la vidéosurveillance. L’entreprise qui déploierait des technologies de détection de menaces avancées sans prendre en considération ces deux éléments se retrouverait rapidement dans la situation qu’elle a connue il y a quelques années avec les IDS ou toujours plus d’alertes étaient levées à un tel point qu’à la fin elles n’étaient plus prises en considération. Ne jouons donc pas à Pierre et le loup !