Prévention maximale de zero day sans compromettre la productivité

Prévention maximale de zero day sans compromettre la productivité

Les organisations utilisent des produits de sécurité pour détecter ou prévenir les menaces connues et inconnues. La plupart des menaces entrent dans un réseau via la navigation Web, le téléchargement de fichiers Web, les courriels de phishing et les pièces jointes. Les attaques connues basées sur des fichiers sont rapidement validées en exécutant des fichiers sur une base de données volumineuse de signatures.

Détecter et prévenir les attaques basées sur des fichiers inconnus (ou attaques de type «zero day») est plus difficile. La technologie Sandbox est utilisée pour exécuter le fichier sur différents systèmes d’exploitation, en exploitant un exploit intégré. Une fois qu’il est exécuté, il est mesuré et classé par plusieurs moteurs basés sur l’apprentissage automatique. Ceci fournit aux équipes de réponse aux incidents les informations nécessaires pour enquêter, corriger et bloquer le fichier malveillant.

Sandbox diffère grandement par sa capacité à détecter l’évasion des logiciels malveillants. L’objectif est de limiter le nombre de faux positifs et de rendre un verdict rapide. Il est également essentiel de maintenir un taux de capture élevé (voir les résultats des tests du système de prévention des atteintes (SNP) du SNRS).

Productivité, le prix que les organisations doivent payer

Le plus gros inconvénient de sandbox est la latence. L’exécution d’un environnement et d’une exploitation simulés prend du temps; jusqu’à plusieurs minutes dans certains cas. Recevoir un email avec un délai de plusieurs minutes est tolérable. Cependant, il est inacceptable d’attendre quelques minutes que le téléchargement d’un fichier commence. Même si 80% des fichiers traités par sandbox sont terminés en quelques secondes, les utilisateurs y voient un problème de performances. Et avec de faibles performances perçues, la sécurité devient un problème commercial.

Alors, que font les organisations?

Une solution consiste à rétrograder la sécurité du mode de prévention, où les fichiers malveillants sont bloqués, au mode de détection, où des alertes sont envoyées aux équipes de sécurité afin qu’elles enquêtent sur les fichiers potentiellement malveillants entrant sur le réseau.

Y a-t-il un meilleur moyen?

Désinfection de fichiers (CDR) en quelques mots

La désinfection de fichiers (ou Content Disarm and Reconstruct) est une approche plus simple du sandboxing. Avec la CDR, la passerelle de sécurité supprime les pièces actives et les objets incorporés des fichiers qui passent par la passerelle avant que le fichier ne soit remis à l’utilisateur.

L’utilisateur obtient un fichier sans programme malveillant qui, à l’œil nu, a la même apparence que le fichier d’origine. La plupart des documents ne contiennent pas de macros ni de scripts java, mais les utilisateurs de CDR les reçoivent généralement en une à trois secondes.

La CDR présente deux inconvénients. Les utilisateurs ne reçoivent pas le fichier d’origine, ce que certains considèrent comme un problème. Par exemple, cela devient un réel problème lorsqu’un utilisateur a besoin d’une macro qui a été supprimée d’un fichier Excel. Le deuxième inconvénient est un problème de perception: certains utilisateurs veulent simplement le fichier d’origine, pas un fichier nettoyé, craignant qu’il ait été dénigré d’une manière ou d’une autre. Donc, encore une fois, l’amélioration de la sécurité se fait au détriment de la convivialité et de la frustration.

Une solution hybride: le meilleur des deux mondes

La fusion de la CDR et du sandboxing avec la même solution permet aux organisations de profiter des avantages et d’éliminer les inconvénients de chacune d’elles. Il envoie tous les fichiers téléchargés vers le sandbox (émulation de fichier a.k.a.) et, en parallèle, les «désinfecte» via un CDR. Au moment où l’utilisateur demande le fichier d’origine, l’analyse du bac à sable est terminée et, s’il n’est pas trouvé malveillant, l’utilisateur obtient immédiatement son fichier.

Bonus: passer de la détection à la prévention

La solution hybride CDR-Sandbox élimine la sécurité en cas de latence. Cela signifie que les entreprises n’ont pas besoin de se contenter de garder leurs systèmes en mode de détection et n’ont pas besoin d’équipes de réaction aux incidents pour nettoyer le désordre. Au lieu de cela, ils peuvent empêcher automatiquement les logiciels malveillants d’atteindre les utilisateurs finaux.

Pour en savoir plus, téléchargez le livre blanc «Prévention pratique: prévention maximale zéro day sans compromettre la productivité».