Pour faire face aux attaques ciblées ou plus simplement aux attaques dites « zéro-day » qui ne peuvent être contenues par une solution antivirus ou IPS classiques, comme vous le savez, les solutions de ‘’sandboxing réseaux’’ ont pointé leur nez sur le marché de la sécurité depuis quelques temps maintenant. Leur fonction est d’analyser dans un environnement virtualisé sur différentes versions du système d’exploitation de Microsoft, différentes versions des logiciels les plus communs (suite Office, Adobe etc.) si un fichier malicieux ou potentiellement une combinaison de ces fichiers exploitent une vulnérabilité d’un de ceux-ci. Cela apporte un niveau de sécurité supplémentaire indiquant qu'une action malicieuse est en train de s’opérer depuis un poste utilisateur. Néanmoins dans ce type d’attaque le réseau n’est pas la cible c’est le poste utilisateur. Il est nécessaire de l’analyser pour déterminer si l’attaque l’a atteint, si elle a réussi et analyser les méfaits potentiellement causés. Au-delà du temps et des coûts consommés par ces actions celles-ci ne sont pas aisées. Pour faciliter cela, consolider leur offre et la rendre encore plus pertinente les différents acteurs disposant d’une offre de ‘’sandboxing’’ ont acquis ou développés des agents permettant d’analyser le poste utilisateur et comparer son état vis-à-vis des indices de compromission résultant de l’analyse en sandbox. A l’instar de la concurrence Paloalto Networks dispose, depuis le rachat de Cyvera, d’une solution de ce type pour compléter son offre de sécurité globale et plus particulièrement la partie Wildfire. Néanmoins son approche est intéressante et différenciatrice car au-delà d’effectuer une analyse post-mortem, la solution permet d’effectuer du préventif et de directement bloquer toute action malicieuse. La solution, Traps, emploie une série de modules de prévention dont l’objectif est de bloquer les différentes techniques d’exploit utilisées par les hackers. Ces modules sont injectés dans les processus utilisateurs et ne disposent d’aucune connaissance d’une potentielle vulnérabilité. Ils ne requièrent aucune base de signatures ni analyse du poste. Si une tentative d’exploit est détectée, Traps bloque la ou les techniques employées, termine le processus, notifie l’utilisateur et alerte l’administrateur. Il collecte aussi les détails de la tentative d’exploit et les transmet à la console de supervision. Intéressant, non ?
