Le sandboxing : la nouvelle ligne de défense des entreprises contre les attaques numériques

Qu'est-ce que le sandboxing exactement ?

XP : il s'agit d'un module technique de sécurité relativement récent qui existe depuis 4 à 5 ans, et qui augmente fortement le niveau de détection des malwares. Il faut le voir comme une sorte de « sas » qui analyse et trie les fichiers entrants, dans les emails, téléchargement ou consultation de sites web, avant qu'ils n'interagissent avec les postes de travail ou serveurs de l'entreprise.

N'est-ce justement pas le rôle de l'antivirus de filtrer les fichiers entrants ?

XP : en fait, le sandboxing complète le rôle de l'antivirus, car les deux outils fonctionnent très différemment. Pour être efficace, un antivirus dispose d'une base de signatures où sont référencées toutes les menaces du moment. Si une pièce jointe est identifiée en tant que menace par l'antivirus, elle sera aussitôt détectée et logiquement détruite. Le problème survient lorsqu’une nouvelle menace informatique n'a pas encore été identifiée et documentée. L'antivirus sera alors incapable de la filtrer et la laissera malheureusement s'exécuter sur un ordinateur. On estime aujourd'hui qu'un antivirus détecte 60 à 70% des menaces. C'est bien, mais très loin d'être suffisant. En y ajoutant une fonction de sandboxing, ce taux repasse alors à plus de 95%. Parce que les malwares actuels sont devenus de plus en plus polymorphiques ou modifiés volontairement pour chaque cible d’attaque, la défense doit s'adapter en conséquence.

Alors, comment fonctionne précisément le sandboxing ?

XP : il exécute les fichiers entrants dans un environnement virtualisé qui est totalement déconnecté des  serveurs internes de l'entreprise. Le principe est donc simple : la sandbox  « lance » le fichier suspect et regarde ce qu'il se passe. Prenons un exemple : une pièce jointe en PDF dans un mail. Si son comportement est tout à fait normal, le fichier est noté comme sain, et est alors transféré au destinataire. En revanche, si ce PDF commence à chercher à se connecter à un site distant douteux pour lui transmettre des informations, à chiffrer des données localement, à télécharger un contenu sur Internet ou encore à se dupliquer pour chercher à se recopier sur des équipements du réseau, il sera aussitôt identifié comme une vraie menace. En s'exécutant ainsi sur la sandbox (= bac à sable littéralement) et non sur l'ordinateur final, la menace est totalement maîtrisée avant qu’elle ne réalise ses dégâts.

A LIRE AUSSI : Livre blanc
sécurité Internet : les technologies à connaître pour protéger votre entreprise 

Combien de temps prend cette analyse ?

XP : toutes les sandboxes sont dimensionnables et paramétrables selon les attentes de l’entreprise. En général, aujourd’hui cinq minutes suffisent pour tester profondément le fichier qui permet ensuite de prendre une décision pour le délivrer ou non. Un laps de temps très court qui protège les actifs de l'entreprise, parfaitement acceptable pour des flux d’emails ou du téléchargement de fichiers sur le Web. 

Mais il est même possible d'aller plus loin. Les pirates commencent à connaitre le principe de ces sandbox, et imaginons qu'un pirate intègre un retardateur dans son fichier d’attaque. Son action malveillante est alors programmée pour ne s'exécuter par exemple qu’une heure après l'ouverture du fichier. Au sein des sandbox, ces techniques d’évitement sont connues, et elles savent « accélérer le temps » virtuellement pour parer à toutes ces astuces.

Pourquoi parle-t-on beaucoup de sandboxing en ce moment ?

XP : parce que c'est une technologie très efficace qui a fait ses preuves et dont les usages se démocratisent. Grâce à la baisse des coûts régulière de la virtualisation et la croissance du cloud, la technologies utilisés par les sandboxes sont plus facilement accessibles et mutualisables. Le coût d'entrée est donc fortement réduit et toutes les questions liées à la gestion de la puissance de traitement et à l'opérationnalité du processus sont externalisées grâce au Cloud. Une solution qui favorise la scalabilité : en cas de croissance forte du trafic à analyser, quelques minutes suffisent pour adapter la puissance de sa sandbox.

On parle beaucoup du cloud, mais toutes les entreprises ne souhaitent pas y voir envoyer des fichiers sensibles…

XP : c'est exact, et ce n'est pas un problème. Le sandboxing fonctionne sur des cloud publics (pour le prix/puissance) , un cloud privé (pour plus de confidentialité) ou encore une configuration locale, dédiée, on-premise pour un totale isolement avec l’extérieur. C'est une solution qui s'adapte à toutes les situations, budgets et selon les stratégies et les prises de décisions de l’entreprise. 

Une sandbox seule est-elle suffisante pour assurer la sécurité ?

XP : en matière de cybermenace, la pluralité des attaques et des moyens d'action nécessite une diversité de moyens de défense. La sandbox est aujourd’hui extrêmement efficace, mais elle ne remplacera pas tout, comme l’antivirus installé sur l'ordinateur d'un utilisateur qui le protègera des menaces venant de l’interne ou par une simple clef USB contaminé (on commence même à retrouver les techniques de détections des sandbox comme module intégrés dans les agents de protections avancés des postes utilisateurs ou serveurs : Endpoint protection) . C'est donc une ligne de défense supplémentaire qui travaille en coordination avec l'antivirus (qui fera le premier « écrémage » des menaces classiques) et le firewall, l’IPS, le filtrage web, l’antispam, etc. 

Comment implémenter une sandbox dans son entreprise ?

XP : la première chose à faire est de définir les besoins. Quels types de flux souhaitez-vous surveiller : web, mail, autre ? Est-ce que tout doit passer par la sandbox ou avez-vous une liste blanche de sources autorisés ? On peut également choisir quels sont les environnements que la sandbox va virtualiser ? Une version particulière de Windows ? Un environnement macOS ? Linux Serveur ? Quelles sont ensuite les règles de traitement des fichiers douteux à mettre en place ? Le niveau de sensibilité ? 

Une fois que cette phase de paramétrage est terminée, l'implémentation prend moins d'une heure pour une version de sandbox dans le cloud et quelques jours pour une configuration on-premise.

La question du budget est évidemment centrale. Combien coûte une sandbox ?

XP : si je prends le cas le plus commun, celui d'une analyse sandbox dans le cloud, c'est un système d'abonnement en mode AaS (As a Service). Le coût dépend de la puissance et de la capacité de traitement de la sandbox. Plus celle-ci sera importante, plus l'analyse sera rapide ou traitera un plus gros flux. Aujourd’hui, on peut s’ajouter une analyse par Sandbox pour moins de 100 euros par mois sur un accès Internet de 100 Mb/s. Le sandboxing avait la réputation d'être une technologie très chère, mais ce n'est plus le cas aujourd'hui grâce au Cloud. 

Le mot de la fin sur le sandboxing ?

XP : SFR Business a choisi d’intégrer parmi les premiers des options d’analyse par sandbox sur plusieurs de ses offres standardisées de sécurité à destination des entreprises. C'est une fonctionnalité qui s'intègre dans nos packages destinés aux professionnels, même pour les PME, avec un coût vraiment réduit par rapport aux bénéfices apportés. N'hésitez pas à nous contacter si vous souhaitez en savoir plus sur le sujet.