Ce billet est le cinquième d'une série de formations sur la cybersécurité parrainée par l'AcadémieOPSWAT . Il passe en revue les technologies et les processus nécessaires pour concevoir, mettre en œuvre et gérer un programme de protection des infrastructures critiques.
Les logiciels malveillants sont dangereux, mais pas de manière évidente. Si les logiciels malveillants étaient faciles à détecter, chaque courrier électronique, réseau ou système de partage bénéficierait d'une protection complète. Les outils de cybersécurité évoluant, la facilité avec laquelle toutes sortes de contenus malveillants sont stoppés devrait également évoluer. Pourtant, en 2020, le Centre d'études stratégiques et internationales de McAfee a fait état d'une perte mondiale record d'un peu moins de 1 000 milliards de dollars. Pourquoi les logiciels malveillants sont-ils toujours aussi efficaces dans l'ère moderne de la cybersécurité ?
Conçus pour s'assimiler à nos attentes naturelles, certains logiciels malveillants échappent habilement aux audits et aux outils d'analyse. Un courrier électronique, un site web ou des outils en ligne gratuits apparemment normaux sont autant de portes d'entrée permettant à des acteurs malveillants d'injecter des codes, des programmes ou des processus malveillants pour atteindre leurs objectifs.
L'intention malveillante déguisée pour profiter de la bonne nature d'un individu a toujours été une stratégie efficace. Par analogie, les zones de conflit armé utilisent des mines terrestres pour transformer une route innocente en un piège dangereux. Il en va de même pour les logiciels malveillants évasifs.
Si nous observons la route et que nous voyons une plaque de terre perturbée ou un détecteur de métaux qui bipe, nous pouvons déterminer ce que nous avons trouvé et rendre le chemin sûr pour la circulation. Mais il arrive que nous ne le sachions pas. Les mines terrestres peuvent être enterrées avec soin ou constituées de composants non métalliques, ce qui fait obstacle à nos tentatives de découverte.
Le moyen le plus sûr est de faire exploser notre chemin à l'avance.
Dès la Seconde Guerre mondiale, des fléaux rotatifs massifs ont été fixés à de grands véhicules blindés pour frapper le sol et faire exploser les mines afin d'ouvrir un chemin sûr à travers les champs de mines. Des véhicules de conception similaire sont encore utilisés aujourd'hui. Cette méthode est violente et coûteuse, mais elle est contrôlée, calculée et extrêmement efficace.
Les outils modernes de cybersécurité, tels que l'analyse Sandbox , nous permettent de faire exploser les logiciels malveillants de la même manière. Des échantillons de programmes et de fichiers sont chargés dans des environnements virtuels isolés et sécurisés où les logiciels malveillants peuvent s'exécuter, mais sans nuire à aucun système extérieur. L'échantillon de logiciels malveillants est notre mine, et le site Sandbox notre fléau lourdement blindé.
Avec la détonation du code, nous pouvons analyser chaque aspect du contenu et vérifier son intention. Le fichier peut être sûr ou tenter de contacter des sources externes non vérifiées, de modifier des clés de registre ou d'analyser le système de fichiers local. L'exécution d'un logiciel malveillant dans un environnement isolé afin d'analyser son comportement est connue sous le nom d'analyse dynamique.
Contrairement à notre route, qui présente la condition binaire "sûr" ou "non sûr", nous devons tenir compte de la complexité de l'intention d'un fichier. De nombreux programmes légitimes effectuent des actions qui relèvent d'une activité potentiellement malveillante. Tous les sites Sandbox ne sont pas égaux, et ce qui fait un bon produit, ce sont les méthodes et les calculs utilisés pour fournir la plus grande certitude possible lors de l'analyse de l'activité d'un fichier.
OPSWAT MetaDefender Cloud, un outil que tout le monde peut essayer gratuitement, offre une option Sandbox puissante qui peut être utilisée pour évaluer les fichiers téléchargés par rapport à un système de pondération robuste. La possibilité de faire exploser un fichier en toute sécurité fournit des informations qui pourraient autrement échapper aux techniques traditionnelles d'analyse statique. Les bacs à sable offrent une excellente défense contre les attaques de type "zero-day", où les définitions de fichiers n'ont pas encore été ajoutées aux bases de données des sociétés d'antivirus. En fait, de nombreuses sociétés AV utilisent les bacs à sable pour savoir quels fichiers ajouter à leurs signatures de logiciels malveillants.
Le bac à sable n'est toutefois pas une solution universelle pour lutter contre les logiciels malveillants. Pour ne pas contaminer les résultats, chaque fichier doit être analysé individuellement. Il faut beaucoup de temps et de ressources matérielles pour traiter ne serait-ce qu'un seul fichier PDF, un programme d'installation, un exécutable, etc. Il est essentiel de savoir quand et dans quelles circonstances utiliser Sandbox, pour que cette technologie soit réellement efficace.
Vous voulez en savoir plus ? OPSWAT L'Académie propose plusieurs cours de formation à la cybersécurité qui vous permettront d'approfondir vos connaissances sur le Sandboxing et d'autres technologies de sécurité proposées par OPSWAT . Rendez-vous suropswatacademy.com et inscrivez-vous gratuitement dès aujourd'hui !
