
Cyber Edu
QU'EST-CE QUE LA SÉCURITÉ PAR SANDBOX ?

La sécurité par sandbox : définition
En cybersécurité, une sandbox est un environnement isolé du reste du réseau, qui simule les environnements des utilisateurs finaux. Les sandbox sont utilisées pour exécuter en toute sécurité un code suspect, sans poser de risque à l'appareil hôte ou au réseau.
Utiliser une sandbox pour la détection de logiciels malveillants avancés apporte une couche supplémentaire de protection contre les nouvelles menaces de sécurité – notamment les menaces jour zéro (auparavant non détectées) et les attaques furtives. Et ce qui se passe dans la sandbox reste dans la sandbox, ce qui évite les problèmes au système et qui permet d'empêcher la propagation des vulnérabilités logicielles.
Les menaces contrées par des tests en sandbox
Les environnements en sandbox apportent une couche proactive de sécurité réseau défensive contre les nouveaux risques et les Menaces persistantes avancées (APT). Elles sont conçues pour éviter la détection et passent souvent entre les mailles des filets des méthodes de détection plus directes.
Comment fonctionne la technologie par sandbox ?
Le test par sandbox détecte proactivement les logiciels malveillants en exécutant, ou en amorçant, du code dans un environnement sécurisé et isolé pour observer son comportement et son activité sortante. Les mesures de sécurité traditionnelles sont avant tout réactives et basées sur la détection de signatures, ce qui fonctionne très bien quand on recherche des indices identifiés dans des logiciels malveillants déjà répertoriés. Comme elles ne détectent pas des menaces précédemment identifiées, les sandbox ajoutent une couche de sécurité supplémentaire importante. De plus, même si une défense initiale emploie de l'intelligence artificielle ou l'apprentissage machine (signature sans détection), ces défenses dépendent entièrement des modèles qui les alimentent, mais elles sont toujours complémentaires dans des solutions de détection avancée de logiciels malveillants.
Aller plus loin que le test en sandbox avec la détection avancée de logiciels malveillants
Aller plus loin que le test en sandbox avec la détection avancée de logiciels malveillants
Implémentations de la sécurité par sandbox
Il existe plusieurs options pour implémenter des sandbox, qui peuvent être plus ou moins adéquates selon les besoins de votre entreprise. Parmi les différentes implémentations, citons :
- Émulation totale du système : La sandbox stimule la configuration matérielle de l'hôte, y compris le processeur et la mémoire, ce qui donne une meilleure visibilité sur le comportement et l'impact du programme.
- Émulation de Systèmes d'Exploitation : La sandbox émule le système d'exploitation de l'utilisateur final mais pas le matériel.
- Virtualisation : Cette approche utilise une sandbox à base de machine virtuelle pour confiner et examiner les programmes suspects.
Techniques d'évasion par sandbox
Les auteurs de logiciels malveillants travaillent en permanence pour contrer les systèmes de détection de menace les plus récents et les plus sophistiqués. Parmi les techniques d'évasion de sandbox :
- Détecter la sandbox : Les environnements de sandbox sont légèrement différents d'un système d'utilisateur final. Si un logiciel malveillant détecte la sandbox, il peut soit s'autodétruire, soit interrompre l'exécution des activités malveillantes.
- Exploiter les faiblesses et les failles de sécurité des sandbox : Aussi sophistiquée que puisse être une sandbox, les auteurs de logiciels malveillants trouvent souvent des vulnérabilités, et les exploitent. Citons par exemple l'utilisation de fichiers au format peu répandu, ou des fichiers de grande taille que la sandbox ne peut pas traiter. Si la méthode de surveillance de la sandbox est contournée, la sandbox subit un « angle mort », dans lequel le code malveillant peut se déployer.
- Incorporation de déclencheurs sensibles au contexte : Les logiciels malveillants sensibles au contexte fonctionnent en exploitant les faiblesses des technologies de sandbox automatiques. Par exemple, ce que l'on appelle parfois «bombes logiques» peuvent retarder la détonation du code pendant une période donnée, ou jusqu'à ce que des déclencheurs se produisent, généralement uniquement dans le système d'un utilisateur final, comme au redémarrage du système ou lors d'interactions clavier et souris.