Le sandboxing est un des outils les plus efficaces pour analyser les objets suspects et d\u00e9tecter les comportements malveillants. Cette technologie est mise de \u0153uvre de diverses fa\u00e7ons dans un grand nombre de solutions de s\u00e9curit\u00e9. La pr\u00e9cision de la d\u00e9tection des menaces d\u00e9pend directement de la fa\u00e7on dont la sandbox \u00e9mule l\u2019environnement au sein duquel les objets suspects s\u2019ex\u00e9cutent.<\/p>\n
La sandbox est un outil qui cr\u00e9e un environnement isol\u00e9 au sein duquel le comportement des processus suspects peut \u00eatre analys\u00e9. Cela se passe g\u00e9n\u00e9ralement dans une machine virtuelle, ou dans un conteneur, qui permet \u00e0 l\u2019analyste d\u2019examiner les objets potentiellement malveillants sans risquer d\u2019infecter un v\u00e9ritable environnement de travail, ou de lui porter pr\u00e9judice, ou encore de divulguer d\u2019importantes donn\u00e9es professionnelles.<\/p>\n
Par exemple, la sandbox de la plateforme Kaspersky Anti Targeted Attack (KATA) fonctionne de cette fa\u00e7on\u00a0: si un composant de la solution de s\u00e9curit\u00e9 d\u00e9tecte un objet dangereux ou suspect, comme un fichier ou une URL, il l\u2019envoie \u00e0 la sandbox pour proc\u00e9der \u00e0 une analyse et partage \u00e9galement les renseignements relatifs \u00e0 l\u2019environnement de travail (version du syst\u00e8me d\u2019exploitation, liste des programmes install\u00e9s, param\u00e8tres syst\u00e8me, etc.). La sandbox ex\u00e9cute l\u2019objet ou navigue sur l\u2019URL et enregistre tous les objets\u00a0:<\/p>\n
Une fois que le sc\u00e9nario du test est termin\u00e9, les objets recueillis sont analys\u00e9s et scann\u00e9s pour rechercher d\u2019\u00e9ventuelles traces d\u2019activit\u00e9 malveillante. Si des traces sont d\u00e9tect\u00e9es, l\u2019objet est class\u00e9 comme malveillant et les techniques, les tactiques et les proc\u00e9dures identifi\u00e9es sont cartographi\u00e9es dans la matrice du cadre MITRE ATT&CK<\/a>. Toutes les donn\u00e9es obtenues sont conserv\u00e9es pour une analyse plus approfondie.<\/p>\n Le principal probl\u00e8me de la sandbox est que les cybercriminels les connaissent et ne cessent d\u2019affiner leurs m\u00e9thodes d\u2019\u00e9vasion. Pour contourner la protection de la sandbox, les cybercriminels se concentrent sur le d\u00e9veloppement de technologies qui d\u00e9tectent les fonctionnalit\u00e9s sp\u00e9cifiques des environnements virtuels. Pour ce faire, ils cherchent des objets ou des \u00e9tats caract\u00e9ristiques dans la sandbox, ou encore un comportement anormal de l\u2019utilisateur virtuel. Si le programme malveillant d\u00e9tecte, ou suspecte, de tels signes, il change de comportement ou s\u2019autod\u00e9truit.<\/p>\n Quant aux programmes malveillants utilis\u00e9s lors d\u2019attaques cibl\u00e9es, les cybercriminels analysent m\u00e9ticuleusement la configuration du syst\u00e8me d\u2019exploitation et l\u2019ensemble des programmes install\u00e9s sur la machine prise pour cible. L\u2019activit\u00e9 malveillante ne se d\u00e9clenche que si le programme et le syst\u00e8me r\u00e9pondent parfaitement aux attentes des cybercriminels. Le programme malveillant peut fonctionner \u00e0 des intervalles de temps strictement d\u00e9finis ou s\u2019activer lorsque l\u2019utilisateur a r\u00e9alis\u00e9 certaines actions.<\/p>\n Pour duper une \u00e9ventuelle menace afin qu\u2019elle s\u2019ex\u00e9cute dans un environnement s\u00e9curis\u00e9, plusieurs approches sont combin\u00e9es et d\u00e9ploy\u00e9es\u00a0:<\/p>\n Notre sandbox<\/a> met en \u0153uvre toutes ces techniques. Elle peut imiter le comportement d\u2019un utilisateur r\u00e9el, d\u00e9ployer des environnements randomis\u00e9s et op\u00e9rer en mode automatique ou manuel. Nous avons r\u00e9cemment mis \u00e0 jour notre solution de d\u00e9tection et de r\u00e9ponse \u00e9tendues, Kaspersky Anti Targeted Attack Platform. Cette sandbox int\u00e9gr\u00e9e vous permet d\u00e9sormais de personnaliser les images syst\u00e8me en choisissant parmi plusieurs syst\u00e8mes d\u2019exploitation (qui figurent dans la liste des syst\u00e8mes compatibles) et d\u2019installer des programmes tiers. Vous trouverez plus d\u2019informations sur cette plateforme sur la page consacr\u00e9e \u00e0 KATA<\/a>.<\/p>\n \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" L\u2019efficacit\u00e9 de la sandbox d\u00e9pend principalement de sa capacit\u00e9 \u00e0 imiter un environnement de travail de fa\u00e7on r\u00e9aliste. <\/p>\n","protected":false},"author":2725,"featured_media":20666,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[204,2857,4391,61,527],"class_list":{"0":"post-20665","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-menaces","10":"tag-sandbox","11":"tag-sandboxing","12":"tag-securite","13":"tag-technologie"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sandbox-working-environment\/20665\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sandbox-working-environment\/25704\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sandbox-working-environment\/21124\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sandbox-working-environment\/28392\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sandbox-working-environment\/26003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sandbox-working-environment\/26384\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sandbox-working-environment\/28871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sandbox-working-environment\/35580\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sandbox-working-environment\/48272\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sandbox-working-environment\/21351\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sandbox-working-environment\/30193\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sandbox-working-environment\/26426\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sandbox-working-environment\/32014\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sandbox-working-environment\/31700\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/sandbox\/","name":"sandbox"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20665","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20665"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20665\/revisions"}],"predecessor-version":[{"id":20668,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20665\/revisions\/20668"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20666"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20665"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20665"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20665"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Les d\u00e9fis de la sandbox<\/h2>\n
Comment rendre un environnement artificiel plus r\u00e9el<\/h2>\n
\n