Pourquoi de plus en plus d’entreprises ont recours au sandboxing ?

Depuis quelques années, les malwares infectant les postes de travail dans les entreprises se multiplient. Parmi les derniers logiciels malveillants, les attaques de type Ransomeware sont par exemple en mesure d’encrypter les données d’un PC ou de l’entreprise entière par l’ouverture d’un simple e-mail. C’est pour pallier ces problèmes qu’un grand nombre de constructeurs et d’éditeurs ont commencé à développer des solutions variées de sandboxing.

 

En quoi consiste le sandboxing ?

Les différentes solutions utilisent un logiciel ou un environnement isolé pour exécuter un programme qui n’aurait pas été testé, certifié ou dont on ignore la provenance. Le principe du sandboxing consiste ensuite à décompresser des fichiers de données ou exécutables afin de vérifier leur intégrité et de détecter d’éventuels virus et malwares.

 

évolution des virus et malwares cisco
Évolution des virus et malwares sur les 25 dernières années | Source : Cisco

  

 

menaces et croissance des virus et malwares
Les menaces face à la croissance des virus et malwares sont constantes pour les entreprises | Source : Cisco

 

De l’application spécifique à la solution complète

Avec le temps, le sandboxing a rapidement évolué vers une solution complète et dédiée sur la base d’une appliance physique ou d’un environnement virtuel. Aujourd’hui, il apparaît que ces solutions sont de plus en plus demandées alors que les malwares et exploits modifient très vite leur signature et que les outils traditionnels se basant sur les signatures s’avèrent peu efficaces voire obsolètes.

De plus en plus d’entreprises sont à la recherche de solutions qui sauront émuler exactement leur environnement spécifique et la configuration de leur serveur et de leurs différents postes de travail afin d’identifier et bloquer des malwares ou exploits avant qu’ils n’entrent dans leur environnement de production. La solution sandboxing est de plus en plus utilisée pour démontrer la capacité d’un éditeur à bloquer plus proactivement des malwares encore non connus « Block Zero-Day Exploits ».

 

Des techniques et des approches différentes

Les éditeurs présents dans le domaine du sandboxing utilisent des approches variées pour apporter des solutions à la détection, la mise en quarantaine et l’élimination des malwares actuels. Il est courant que les solutions de sandboxing soient basées sur des infrastructures et des applications situées dans un Cloud du constructeur afin de rassembler les informations et les comportements des malwares et exploits d’une très grande communauté de clients. Mais cette approche n’est toujours pas envisageable par des clients bancaires ou assurances. C’est pour cette raison que les éditeurs proposent également des solutions « on-premise » dans les infrastructures locales du client.

Voici trois variantes de sandboxing que l’on peut trouver chez les éditeurs et les spécificités de chacune :

 

  • Network sandboxes :
    Les solutions orientées réseau sont souvent basées sur les intégrations e-mails et web proxy. Elles consistent à bloquer, autoriser ou mettre en quarantaine les fichiers après analyse de leur contenu et de leur comportement dans un environnement isolé.

 

  • Endpoint sandboxes :
    Les solutions orientées « Endpoint » utilisent le même principe que les solutions orientées réseau avec la différence qu’elles tournent sur le poste utilisateur.

 

  • Containerization :
    Avec le principe de la conteneurisation, les applications sont exécutées dans un environnement séparé jusqu’au moment où toute infection a été écarté.

 

L’une des grandes différences entre éditeurs réside dans le fait que certains permettent de configurer et simuler exactement l’environnement d’un poste utilisateur tandis que d’autres assurent la simulation dans leur environnement propriétaire. En revanche, presque tous les constructeurs proposent à leurs clients de profiter d’une grande communauté dans le Cloud afin d’identifier au mieux les différentes attaques.

Parmi les avantages des solutions de sandboxing chez de nombreux éditeurs, citons également le recours à une combinaison de plusieurs outils sous une gestion commune qui, couplée à une analyse continue du trafic, permet d’assurer une sécurité plus proactive.

 

Point-in-Time vs. Retrospective
Point-in-Time Protection vs. Restrospective Security | Source : Cisco

 

 

Toujours pas de solution miracle

Bien évidemment, le sandboxing ne peut à lui seul garantir une sécurité à 100%. En partie parce que toute solution créée pour bloquer des attaques malwares engendre de nouvelles actions malveillantes dans le but de contourner les plus récents mécanismes de protection. À cela s’ajoute quelques points négatifs comme :

  • La difficile prise en charge des utilisateurs mobiles dont le trafic internet devrait automatiquement passer à travers la structure centrale ;
  • Des délais de transition de plus en plus importants qui risquent d’impacter l’utilisateur final puisque toutes ces solutions sont souvent limitées à un nombre de flux et sessions par seconde.

Afin de bénéficier de la solution de sandboxing la plus optimale, les clients auront tout intérêt à bien analyser les différentes approches et vérifier si les outils technologiques correspondent bien à leur environnement.

sandbox compliance issues
« To sped up our sandbox compliance issues, I’ve called in a couple of sandbox experts. » | Source : CARTOONSTOCK.com

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *