Glossaire

Sandboxing

Qu'est-ce que le sandboxing ?

Le sandboxing est une technique qui consiste à créer un environnement de test isolé, un « bac à sable » dans lequel il est possible d'exécuter ou de procéder à la« suppression contrôlée » d'une URL ou d'un fichier suspect attaché en pièce jointe à un e-mail ou autrement transmis sur votre réseau, afin d'observer ce qui se produit. Si les signes d'un comportement malveillant sont constatés dans le fichier ou l'URL, cela signifie qu'une nouvelle menace a été détectée. Le sandboxing doit être un environnement virtuel sécurisé qui émule fidèlement le processeur de vos serveurs de production.

Le sandboxing est particulièrement efficace pour se protéger contre les menaces zero-day. Les filtres de messages entrants traditionnels analysent les e-mails afin de détecter les expéditeurs, URL et types de fichiers malveillants connus. Malheureusement, des dizaines de nouvelles menaces (également appelées menaces « zero-day ») apparaissent chaque jour et ne sont pas détectées par les filtres de messagerie. Le sandboxing, qui est un composant clé d'Advanced Threat Protection, offre une couche de protection supplémentaire permettant de tester tous les e-mails qui traversent les filtres de messagerie avec des URL, des types de fichiers ou des expéditeurs suspects avant qu'ils atteignent votre réseau ou votre serveur de messagerie.

Bien que le sandboxing constitue une technique de défense efficace et importante, elle présente deux inconvénients majeurs.

  1. Le sandboxing requiert beaucoup de temps et de ressources. Analyser tout votre trafic numérique via un système de sandboxing s'avère trop coûteux et peu pratique.
  2. Le sandboxing n'est pas infaillible. Depuis que le sandboxing est devenu plus courant, les cybercriminels ont commencé à concevoir des menaces avec des fonctionnalités qui les rendent plus difficiles à détecter. Par exemple, une menace peut être programmée pour rester inactive jusqu'à une date ultérieure, afin de paraître inoffensive pendant la procédure de sandboxing. Une autre technique d'évasion efficace consiste à donner au programme malveillant la capacité de détecter s'il se trouve dans un environnement virtuel, et de rester inactif jusqu'à ce qu'il atteigne un véritable ordinateur de bureau ou autre appareil.

Dans quelle mesure le sandboxing est-il important ?

La quantité et l'efficacité des menaces zero-day augmentent en permanence, c'est pourquoi vous devez impérativement avoir une stratégie pour protéger vos données et vos programmes contre les menaces qui échappent aux filtres de messages, de logiciels malveillants et de virus traditionnels. Le sandboxing est l'un des outils les plus éprouvés pour garder une longueur d'avance sur les pirates informatiques. Certaines solutions cloud de sandboxing peuvent vous fournir une protection efficace sans dégrader les performances de votre réseau et sans laisser les pirates ingénieux échapper facilement à leur détection.

Ce que vous pouvez faire

Barracuda Advanced Threat Protection est un service cloud sophistiqué qui vous offre les avantages du sandboxing tout en éliminant les inconvénients associés aux solutions de sandboxing autonomes plus traditionnelles. Barracuda Advanced Threat Protection applique une stratégie multicouche qui utilise des comparaisons de signatures et des analyses comportementales, heuristiques et de code statique afin de pré-filtrer le trafic et d'identifier la vaste majorité des menaces. Ensuite, il achemine uniquement le petit nombre de fichiers suspects restants vers une sandbox pour identifier définitivement les menaces zero-day et les bloquer avant qu'elles n'atteignent votre réseau.

Ce service est évolutif en fonction du volume de vos e-mails et de votre trafic pour veiller à ce qu'il n'affecte pas négativement les performances de votre messagerie ou de votre réseau. Il est ainsi bien plus efficace et rentable qu'une solution de sandboxing autonome.

Il emploie également diverses techniques pour déjouer les stratégies d'évasion. Par exemple, il détecte toute tentative du fichier analysé d'interroger la mémoire ou le registre du système. Il enraye les techniques de détonations retardées en faisant avancer son horloge/calendrier interne. Bref, il expose le malware potentiel à tous les environnements possibles qui sont susceptibles de déclencher son comportement malveillant. S'il contient bien du code malveillant, il sera ainsi activé.

Et contrairement au sandboxing par ordinateur virtuel plus traditionnel, Barracuda Advanced Threat Protection utilise une sandbox avec émulation de processeur. De ce fait, il est impossible pour le malware de le distinguer d'un ordinateur de bureau physique.

Advanced Threat Protection est disponible avec les produits Barracuda suivants :

  • Barracuda CloudGen Firewall : protège les réseaux avec un sandboxing automatique de tous les fichiers suspects transférés depuis ou vers votre réseau.
  • Barracuda Web Application Firewall : protège votre site et vos applications Web contre les téléchargements de fichiers malveillants.
  • Barracuda Essentials : ce service cloud protège votre système de messagerie, ainsi que les serveurs sur site et Office 365, avec un sandboxing de toutes les pièces jointes et tous les liens suspects contenus dans chaque e-mail reçu et envoyé.
  • Barracuda Email Security Gateway : offre des fonctionnalités pour la sécurité des e-mails similaires à celles de Barracuda Essentials, mais sous la forme d'une appliance physique ou virtuelle.
  • Barracuda Web Security Gateway : assure la sécurité de la navigation sur le Web grâce à une protection et un sandboxing automatique des fichiers téléchargés à partir des sites Internet.

En savoir plus

Contactez-nous pour découvrir comment ajouter une protection par sandboxing automatique au sein de votre entreprise afin de bloquer les menaces avancées.