Sandboxing, une nouvelle défense contre les menaces intelligentes

762 views

Published on

Les APT (Advanced Persistent Threats) sont des menaces réputées subtiles, intelligentes et dangereuses. Des protections standards utilisant la reconnaissance par signatures ne sont plus suffisantes. Des techniques comme le sandboxing sont alors nécessaires.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
762
On SlideShare
0
From Embeds
0
Number of Embeds
80
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sandboxing, une nouvelle défense contre les menaces intelligentes

  1. 1. êtes-vous sûr d’avoir la bonne défense? SANDBOXING, UNE DÉFENSE CONTRE LES MENACES AVANCÉES Gregory Chanez Senior Security Engineer Raphael Jakielaszek Security Engineer tel. +41 22 727 05 55 gregory.chanez@e-xpertsolutions.com www.e-xpertsolutions.com tel. +41 22 727 05 55 raphael.jakielaszek@e-xpertsolutions.com www.e-xpertsolutions.com
  2. 2. MENACES AVANCÉES ? • Qu’est-ce qu’une menace avancée ? Planifiée Ciblée Intelligente Evolutive
  3. 3. EXEMPLE DE LA VIE COURANTE Le piratage de RSA toucha aussi Lockheed, système distant piraté – PC Mag (Mar, 2011) e-card arrive avec une pièce jointe contenant un trojan – CNET (Feb, 2013)
  4. 4. Les attaques ciblées commencent avec une faille zero-day “Le ver Duqu causa des dommages collatéraux dans une Cyber Guerre silencieuse” Le ver exploite une vulnérabilité zero-day dans un document Word
  5. 5. VULNÉRABILITÉS ZERO-DAY Nouvelles vulnérabilités Nouvelles variantes “Chaque jour, environ 200 000 nouvelles versions de malwares sont créées” - net-security.org, June 2013
  6. 6. CAS CONCRET : STUXNET • Stuxnet se démarque de tous les autres malwares : 4 failles Windows exploitées dont 3 Zero-Day Plusieurs langages de programmation utilisés Chiffrement de code Mécanisme de mise à jour via site de contrôle ou P2P
  7. 7. EVOLUTION DES MENACES • • Plusieurs moyens pour contrer les solutions d’anti-virus : Obscurcissement du code Chiffrement du code Conséquence : Développement d’un nouveau moyen de détection du comportement des logiciels malveillants Le Sandboxing
  8. 8. LE PRINCIPE INSPECTER EMULER PARTAGER PROTEGER
  9. 9. INSPECTER Coupler le mécanisme au firewall Envoi des pièces jointes et fichiers téléchargés vers une plateforme de sandboxing Exe files, PDF and Office documents
  10. 10. EMULER • • Emulation des fichiers dans des environnements Multi-OS Analyse du comportement : Modifications de fichiers, bases de registres & processus systèmes Ouverture de connexions réseaux Monitoring de comportements « suspect »
  11. 11. PROTEGER En cas de découverte d’un malware, on bloque la récupération du fichier par l’utilisateur sur le firewall Security Gateway
  12. 12. PARTAGER Partage de l’information sur le cloud
  13. 13. Zero faux-positif avec emulation de document Optimiser l’analyse en inspectant les fichiers à risque
  14. 14. DIFFÉRENCES AVEC LES SOLUTIONS ACTUELLES IPS Bloque les attaques connues (signatures) Antivirus Bloque le téléchargement de malware Anti-Bot Détecte et évite les dommages des bots
  15. 15. UNE SOLUTION PARFAITE ? • • • - Déjà des failles … Les malwares détectent s’ils sont exécutés dans un système virtuel ou un environnement émulé pour arrêter de fonctionner et ainsi ne pas divulguer d’informations. Les hackers ont aussi développé des solutions de contournement du sandboxing : Stalling code : exécution d’une activité pour paraître «normal» et exécution de l’attaque
  16. 16. CONCLUSION Evolution des techniques d’attaque en permanence, Pas de solution miracle pour contrer toutes les attaques … … mais le sandboxing est un bon complément pour lutter contre les menaces avancées, en complément aux solutions traditionnelles
  17. 17. MERCI DE VOTRE ATTENTION Gregory Chanez Senior Security Engineer tel. +41 22 727 05 55 gregory.chanez@e-xpertsolutions.com www.e-xpertsolutions.com www.e-xpertsolutions.com www.e-xpertsolutions.com/rssglobal blog.e-xpertsolutions.com twitter.com/expertsolch Raphael Jakielaszek Security Engineer tel. +41 22 727 05 55 raphael.jakielaszek@e-xpertsolutions.com www.e-xpertsolutions.com linkedin.com/company/110061?trk=tyah slideshare.net/e-xpertsolutions

×