Kaspersky lance Kaspersky Cloud Sandbox
avril 2018 par Marc Jacob
Pour aider les entreprises à améliorer leurs investigations et leurs réponses face aux menaces complexes, Kaspersky Lab lance un nouveau service appelé Kaspersky Cloud Sandbox. Permettant aux utilisateurs de détoner les fichiers suspects dans un environnement virtuel en leur fournissant un rapport complet sur les activités de chacun, ce service est conçu pour renforcer l’efficacité de la réponse aux incidents et des investigations de cybersécurité, et ce, sans aucun risque pour les systèmes informatiques de l’entreprise. Dispensé via le cloud, le service permet aux entreprises de bénéficier d’environnements de type « sandbox » sans investissement supplémentaire dans une infrastructure matérielle. La solution est disponible par abonnement dans le cadre du portail Kaspersky Threat Intelligence.
De nouvelles formes de cybercriminalités, exploitant des logiciels légitimes qui créent de nouveaux besoins en matière de protection.
Ces derniers temps, l’exploitation de failles dans des logiciels légitimes est devenue l’un des outils favoris des cybercriminels, qui peuvent ainsi facilement masquer leurs activités malveillantes derrière des processus ayant la confiance des utilisateurs. Même les équipes de cybersécurité expérimentées ne peuvent pas toujours être certaines d’avoir repéré tous les malwares en raison de l’existence de telles techniques. Pour y remédier, ces équipes doivent être dotées de technologies avancées de détection, notamment de type « sandbox », qui nécessitent souvent de lourds investissements, hors de portée de nombreux services de sécurité informatique.
Grâce à Kaspersky Cloud Sandbox, des capacités avancées de détection et d’investigation sont disponibles sous forme de service au sein du portail Kaspersky Threat Intelligence, de sorte que les équipes de cybersécurité puissent bénéficier d’une technologie de pointe tout en respectant leurs contraintes budgétaires. Le service permet à ces équipes, ainsi qu’aux spécialistes des centres de sécurité opérationnelle (SOC), d’obtenir des informations approfondies sur le comportement et la conception des malwares, en détectant des cybermenaces ciblées qui n’ont pas encore été identifiées en circulation.
Pour contraindre un malware à dévoiler son potentiel, une technologie de sandbox performante doit intégrer des techniques anti-évasion avancées. Un programme malveillant, conçu pour s’exécuter dans un environnement logiciel donné, ne s’activera pas sur une machine virtuelle « propre ». Pour éviter cette situation, Kaspersky Cloud Sandbox applique diverses techniques émulant des actions de l’utilisateur, par exemple un clic sur le bouton Windows, le défilement d’un document, des processus spéciaux donnant au malware une opportunité de se démasquer, la définition aléatoire des paramètres de l’environnement utilisateur, etc.
Kaspersky Cloud Sandbox, au moyen d’une infrastructure de machine virtuelle, permet aux utilisateurs de tester les fichiers suspects manuellement et automatiquement
Dès lors qu’un malware commence à se livrer à ses activités destructrices, Kaspersky Cloud Sandbox fait appel à son sous-système de journalisation et intercepte les actions malveillantes de manière non intrusive. Lorsqu’un document adopte un comportement suspect, par exemple s’il se met à créer une chaîne de code dans la mémoire de la machine, à exécuter des commandes Shell ou à implanter ses charges virales, ces événements sont enregistrés et archivés par Kaspersky Cloud Sandbox, qui peut détecter un large éventail d’éléments malveillants : ajout de DLL, création et modification de clés de registre, requêtes HTTP et DNS, création, suppression ou modification de fichiers, etc. L’utilisateur obtient alors un rapport complet contenant des graphiques de visualisation des données et des copies d’écran, ainsi qu’un journal Sandbox lisible en clair.
Les performances de Kaspersky Cloud Sandbox en matière de détection s’appuient sur les informations de veille des menaces en temps réel provenant de Kaspersky Security Network (KSN) et indiquant immédiatement aux utilisateurs le statut des menaces, connues ou nouvelles, découvertes en circulation. Une analyse comportementale avancée, reposant sur 20 années d’expérience de Kaspersky Lab dans la lutte contre les menaces les plus complexes, permet de détecter des objets malveillants encore non observés jusque-là.
En dehors d’outils avancés de détection, les experts SOC et les chercheurs peuvent amplifier leurs réponses aux incidents avec d’autres services disponibles via le portail Kaspersky Threat Intelligence. Dans le cadre d’une investigation numérique ou de la réponse à un incident, un responsable de la cybersécurité peut recevoir les détails les plus récents sur les URL, domaines, adresses IP, hashcodes de fichiers, noms de menaces, données statistiques/comportementales et WHOIS/DNS, puis relier ces connaissances aux indicateurs d’infection (IoC) produits par l’analyse de l’échantillon dans Kaspersky Cloud Sandbox. Des API sont également disponibles pour automatiser l’intégration de la solution dans les opérations de sécurité des clients, ce qui permet aux équipes de cybersécurité de renforcer en quelques minutes leurs capacités d’investigation des incidents.