0
êtes-vous sûr
d’avoir la bonne
défense?

SANDBOXING, UNE DÉFENSE CONTRE LES MENACES AVANCÉES

Gregory Chanez
Senior Securi...
MENACES AVANCÉES ?

•

Qu’est-ce qu’une menace avancée ?
Planifiée
Ciblée
Intelligente
Evolutive
EXEMPLE DE LA VIE COURANTE

Le piratage de RSA toucha aussi Lockheed,
système distant piraté
– PC Mag (Mar, 2011)

e-card ...
Les attaques ciblées commencent
avec une faille zero-day

“Le ver Duqu causa des dommages collatéraux
dans une Cyber Guerr...
VULNÉRABILITÉS ZERO-DAY

Nouvelles vulnérabilités

Nouvelles variantes

“Chaque jour, environ 200 000 nouvelles versions d...
CAS CONCRET : STUXNET

•

Stuxnet se démarque de tous les autres malwares :
4 failles Windows exploitées dont 3 Zero-Day
P...
EVOLUTION DES MENACES
•

•

Plusieurs moyens pour contrer les solutions d’anti-virus :
Obscurcissement du code
Chiffrement...
LE PRINCIPE

INSPECTER

EMULER

PARTAGER

PROTEGER
INSPECTER

Coupler le mécanisme au firewall
Envoi des pièces jointes et fichiers
téléchargés vers une plateforme de
sandbo...
EMULER

•

•

Emulation des fichiers dans des
environnements Multi-OS
Analyse du comportement :
Modifications de fichiers,...
PROTEGER

En cas de découverte d’un malware, on
bloque la récupération du fichier par
l’utilisateur sur le firewall

Secur...
PARTAGER

Partage de l’information
sur le cloud
Zero faux-positif avec
emulation de document

Optimiser l’analyse en
inspectant les fichiers à risque
DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES

IPS

Bloque les attaques
connues (signatures)

Antivirus

Bloque le
téléchargeme...
UNE SOLUTION PARFAITE ?
•

•

•

-

Déjà des failles …
Les malwares détectent s’ils sont exécutés dans un
système virtuel ...
CONCLUSION

Evolution des techniques d’attaque en permanence,

Pas de solution miracle pour contrer toutes les attaques …
...
MERCI DE VOTRE ATTENTION

Gregory Chanez
Senior Security Engineer
tel. +41 22 727 05 55
gregory.chanez@e-xpertsolutions.co...
Upcoming SlideShare
Loading in...5
×

Sandboxing, une nouvelle défense contre les menaces intelligentes

371

Published on

Les APT (Advanced Persistent Threats) sont des menaces réputées subtiles, intelligentes et dangereuses. Des protections standards utilisant la reconnaissance par signatures ne sont plus suffisantes. Des techniques comme le sandboxing sont alors nécessaires.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
371
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Sandboxing, une nouvelle défense contre les menaces intelligentes"

  1. 1. êtes-vous sûr d’avoir la bonne défense? SANDBOXING, UNE DÉFENSE CONTRE LES MENACES AVANCÉES Gregory Chanez Senior Security Engineer Raphael Jakielaszek Security Engineer tel. +41 22 727 05 55 gregory.chanez@e-xpertsolutions.com www.e-xpertsolutions.com tel. +41 22 727 05 55 raphael.jakielaszek@e-xpertsolutions.com www.e-xpertsolutions.com
  2. 2. MENACES AVANCÉES ? • Qu’est-ce qu’une menace avancée ? Planifiée Ciblée Intelligente Evolutive
  3. 3. EXEMPLE DE LA VIE COURANTE Le piratage de RSA toucha aussi Lockheed, système distant piraté – PC Mag (Mar, 2011) e-card arrive avec une pièce jointe contenant un trojan – CNET (Feb, 2013)
  4. 4. Les attaques ciblées commencent avec une faille zero-day “Le ver Duqu causa des dommages collatéraux dans une Cyber Guerre silencieuse” Le ver exploite une vulnérabilité zero-day dans un document Word
  5. 5. VULNÉRABILITÉS ZERO-DAY Nouvelles vulnérabilités Nouvelles variantes “Chaque jour, environ 200 000 nouvelles versions de malwares sont créées” - net-security.org, June 2013
  6. 6. CAS CONCRET : STUXNET • Stuxnet se démarque de tous les autres malwares : 4 failles Windows exploitées dont 3 Zero-Day Plusieurs langages de programmation utilisés Chiffrement de code Mécanisme de mise à jour via site de contrôle ou P2P
  7. 7. EVOLUTION DES MENACES • • Plusieurs moyens pour contrer les solutions d’anti-virus : Obscurcissement du code Chiffrement du code Conséquence : Développement d’un nouveau moyen de détection du comportement des logiciels malveillants Le Sandboxing
  8. 8. LE PRINCIPE INSPECTER EMULER PARTAGER PROTEGER
  9. 9. INSPECTER Coupler le mécanisme au firewall Envoi des pièces jointes et fichiers téléchargés vers une plateforme de sandboxing Exe files, PDF and Office documents
  10. 10. EMULER • • Emulation des fichiers dans des environnements Multi-OS Analyse du comportement : Modifications de fichiers, bases de registres & processus systèmes Ouverture de connexions réseaux Monitoring de comportements « suspect »
  11. 11. PROTEGER En cas de découverte d’un malware, on bloque la récupération du fichier par l’utilisateur sur le firewall Security Gateway
  12. 12. PARTAGER Partage de l’information sur le cloud
  13. 13. Zero faux-positif avec emulation de document Optimiser l’analyse en inspectant les fichiers à risque
  14. 14. DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES IPS Bloque les attaques connues (signatures) Antivirus Bloque le téléchargement de malware Anti-Bot Détecte et évite les dommages des bots
  15. 15. UNE SOLUTION PARFAITE ? • • • - Déjà des failles … Les malwares détectent s’ils sont exécutés dans un système virtuel ou un environnement émulé pour arrêter de fonctionner et ainsi ne pas divulguer d’informations. Les hackers ont aussi développé des solutions de contournement du sandboxing : Stalling code : exécution d’une activité pour paraître «normal» et exécution de l’attaque
  16. 16. CONCLUSION Evolution des techniques d’attaque en permanence, Pas de solution miracle pour contrer toutes les attaques … … mais le sandboxing est un bon complément pour lutter contre les menaces avancées, en complément aux solutions traditionnelles
  17. 17. MERCI DE VOTRE ATTENTION Gregory Chanez Senior Security Engineer tel. +41 22 727 05 55 gregory.chanez@e-xpertsolutions.com www.e-xpertsolutions.com www.e-xpertsolutions.com www.e-xpertsolutions.com/rssglobal blog.e-xpertsolutions.com twitter.com/expertsolch Raphael Jakielaszek Security Engineer tel. +41 22 727 05 55 raphael.jakielaszek@e-xpertsolutions.com www.e-xpertsolutions.com linkedin.com/company/110061?trk=tyah slideshare.net/e-xpertsolutions
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×