Kaspersky Cloud Sandbox : vous ne pouvez pas vous cacher éternellement !

9 Avr 2018

La lutte contre la cybercriminalité moderne est un jeu de cache-cache qui ne termine jamais. Les criminels informatiques font de leur mieux pour créer de nouvelles méthodes pour cacher les charges malveillantes afin d’empêcher la prévention et l’analyse judiciaire. Les hackers ayant recours aux APT sont particulièrement créatifs, et ils disposent d’assez de ressources pour développer des méthodes sophistiquées de dissimulation. Par conséquent, notre mission consiste à donner à nos clients les moyens pour détecter les menaces cachées et analyser leur mode d’opération quoiqu’il arrive. Un de ces outils est le nouveau service que nous avons lancé et qui s’appelle Kaspersky Cloud Sandbox.

Commet pourriez-vous détecter un malware s’il était confectionné pour ne pas être détecté par les différents scanners ? Prenez-le sur le fait lorsqu’il commence son activité malveillante. Cependant, il est assez malsain de le faire sur votre réseau d’entreprise, et c’est un euphémisme. Une méthode basée sur un système de sandbox a été inventée pour protéger votre infrastructure de ces « reconstitutions du crime « .

Le cœur de cette méthode de sandbox est l’exécution du programme dans un environnement étroitement surveillé et isolé de la structure principale. D’une part, il pourra montrer son vrai visage, et d’autre part, il ne va pas causer de réels préjudices. D’une manière ou d’une autre, cette méthode est largement utilisée dans nos produits, et elle a montré son efficacité. Le problème est que non seulement nous savons comment cette méthode fonctionne, mais en plus les malfaiteurs savent que la sandbox existe.

Les criminels ayant recours aux APT complètent généralement leur charge en ajoutant des procédures de vérification additionnelles qui n’ont qu’un seul objectif : comprendre si le malware fonctionne librement ou s’il est observé. Si les algorithmes suspectent que le malware soit exécuté dans un environnement contrôlé, il va arrêter toutes les actions malveillantes et faire profil bas.

Que pouvons-nous faire de notre côté ? Nous déguisons notre sandbox pour qu’elle ressemble à un poste de travail normal, et nous imitons les activités quotidiennes de l’employé type qui tape sur les touches du clavier, fait défiler de long textes et visite des sites internet. En même temps, nous notons tout ce qui se passe dans notre sandbox sans intervenir. Cela nous permet de réaliser une étude approfondie de l’objet en question et de tout rassembler dans un même dossier : quelles chaînes ont été créées sur la mémoire ? À quoi a-t-il accédé dans le registre du système ? Quelles adresses internet a-t-il vérifiées ?

Bien sûr, un tel instrument ne peut pas être intégré dans une solution locale de sécurité. Nous n’en avons pas besoin quotidiennement et il serait inutile de le garder dans l’infrastructure. C’est pour cette raison que nous avons créé un service Cloud auquel les clients peuvent accéder depuis le Threat Intelligence Portal de Kaspersky Lab. Il permet aux employés et aux analystes judiciaires du SOC de l’entreprise de recevoir des rapports détaillés sur n’importe quel objet suspect.

Sur le fond, le Threat Intelligence Portal de Kaspersky est un centre qui rassemble tous les renseignements et données disponibles sur les menaces en temps réel. C’est pourquoi notre sandbox hébergée sur le Cloud a été équipée non seulement des dernières informations possédées par le Kaspersky Security Network, mais aussi des dernières technologies de détection comportementale. Il peut ainsi détecter les menaces même si elles n’ont pas encore été trouvées dans la nature.

Kaspersky Cloud Sandbox devient particulièrement utile lorsque les incidents informatiques sont étudiés. Empêcher un crime n’est que la moitié de la bataille, et il est aussi important de comprendre comment étaient les criminels informatiques et quelles méthodes ils ont utilisées. Avoir de telles informations, en plus de toutes les autres, permettent d’améliorer les systèmes de sécurité au cas où la même attaque, ou une attaque similaire, se produirait.

Afin d’accéder au Threat Intelligence Portal de Kaspersky, vous devez contacter les experts de cette page internet. Pour en savoir plus sur Kaspersky Cloud Sandbox, veuillez lire la description plus technique du produit.