Site icon Cyberdian, Cabinet de Conseil en Cybersécurité

Comment bien choisir votre sandbox pour analyser les virus?

Ce n’est un secret pour aucun analyste en cybersécurité : des outils de travail efficaces sont la clé pour bien réussir à assurer une bonne protection contre les virus.

Ces dernières années, pour faire face à l’augmentation du nombre des cyberattaques, de plus en plus de sociétés se munissent de plateforme d’analyse de virus intelligente (Sandbox) pour automatiser le traitement de fichiers suspects. Le but de cette plateforme est de permettre aux analystes de gagner du temps en les soulageant des tâches complexes et chronophages.

Qu’est-ce que l’analyse de virus ?

L’analyse de virus consiste à utiliser des outils et des procédures pour comprendre le comportement d’un fichier suspect. Le but étant d’obtenir un verdict sur la dangerosité de celui-ci, en l’analysant dans un environnement isolé.

Cela permet aux analystes de comprendre les fonctions, les objectifs et l’impact potentiel du virus. Pour y parvenir, les équipes de sécurité utilisent des outils qui analysent les logiciels malveillants.     

A quoi va me servir une Sandbox ?

Une sandbox est un environnement composé d’un serveur et d’une ou plusieurs machines d’analyses isolées du reste du réseau de l’entreprise.

Elle va permettre à un utilisateur de soumettre au serveur un fichier suspect. Le système va exécuter et monitorer automatiquement le fichier sur une machine d’analyse. Celle-ci est un système d’exploitation dédié à l’exécution de virus se rapprochant le plus possible des ordinateurs bureautiques utilisés par les employés de l’entreprise.  L’objectif étant de duper les virus intelligents qui cherchent à se détonner seulement s’ils sont lancés sur un ordinateur particulier (Sandbox évasions). 

Cet outil permet de réaliser de l’analyse dynamique, contrairement aux logiciels antivirus classiques qui se basent eux sur de l’analyse statique. L’analyse dynamique est une méthode qui consiste à exécuter le fichier que l’on souhaite diagnostiquer. Cela permet d’étudier le comportement du fichier dans un environnement réel, isolé et sécurisé et d’obtenir ainsi des informations très détaillées sur la nature de ces interactions avec le système d’informations afin d’avoir un verdict clair sur sa dangerosité.

Un environnement sandbox peut permettre d’obtenir par exemple la liste des processus lancés par le logiciel, une copie de la RAM, les échanges réseaux, les appels systèmes, ou bien les interactions avec le disque dur.

Une sandbox est un outil très intéressant pour lutter contre les « 0 days », c’est-à-dire les vulnérabilités récentes, non connues par les antivirus.

Comment choisir sa sandbox ?

Il existe plusieurs critères à prendre en compte pour le choix de votre sandbox, comme : le type de technologies utilisées, la montée en charge, le type de fichiers supportés, sa capacité d’analyse ou bien la qualité des rapports fournis.

Il existe trois grandes familles de sandbox :

Les bonnes sandbox sont majoritairement payantes avec un forfait basé sur le nombre d’analyses réalisées, mais il existe cependant quelques projets open source sur le marché comme : CAPEv2 (pour Malware Configuration And Payload Extraction) qui est une sandbox basée sur un agent créé par Doomedraven et Kevin O’Reilly dérivé du projet communautaire Cuckoo. Capev2 est un projet mature disposant d’une communauté active qui contribue à améliorer la sandbox de jour en jour. 

Quitter la version mobile