La nouvelle solution Kaspersky Sandbox automatise la protection contre les menaces avancées
janvier 2020 par Marc Jacob
Kaspersky lance sa nouvelle solution Kaspersky Sandbox, destinée à aider les entreprises à combattre les menaces avancées conçues pour échapper à la détection par les plateformes de protection des postes de travail (EPP). Cette solution analyse automatiquement les nouveaux fichiers suspects et transmet sa conclusion à la plateforme EPP installée. Les entreprises peuvent ainsi renforcer leur protection contre des menaces jusque-là inconnues même si elles manquent dans leurs équipes d’analystes expérimentés ou ne disposent que de ressources limitées.
Selon une enquête de Kaspersky réalisée auprès de décideurs informatiques, 47 % des PME et 51 % des grandes entreprises pensent qu’il devient plus difficile de faire la différence entre les attaques génériques et avancées. Cela signifie que les analystes en sécurité doivent passer du temps à évaluer de nombreux fichiers suspects au lieu de se concentrer sur l’investigation et le traitement des menaces les plus critiques. Le problème est encore plus aigu dans les petites et moyennes entreprises, confrontées à une pénurie de compétences en sécurité informatique, de sorte que l’ensemble de la gestion de la sécurité incombe au département informatique. Pourtant, ces entreprises font face à peu près aux mêmes menaces que les grandes, en particulier les attaques avancées.
A la différence de nombreux services de veille des menaces qui s’adressent à des analystes chevronnés dans le domaine de la sécurité, Kaspersky Sandbox ne nécessite aucune intervention manuelle pour examiner l’impact des objets à risque. Lorsque Kaspersky Endpoint Security for Business ou une autre solution EPP détecte un objet suspect qui ne peut être classé comme malveillant sans une analyse approfondie de son comportement, celui-ci est automatiquement transmis à Kaspersky Sandbox.
Pour détecter la malveillance d’un objet, Kaspersky Sandbox effectue une analyse comportementale, collecte et analyse tous les éléments et, si l’objet exécute des actions suspectes, telles que le cryptage ou le téléchargement d’une charge malveillante exploitant une faille Zero Day, Sandbox l’identifie comme étant un malware et le signale à la solution EPP pour que celle-ci le traite. Dans le cas de Kaspersky Endpoint Security for Business, les actions automatiques possibles sont la mise en quarantaine de l’objet, l’envoi d’une notification à l’utilisateur, l’examen de zones critiques du système d’exploitation ou la recherche de l’objet détecté sur d’autres machines au sein de l’entreprise afin d’endiguer la propagation de la menace.
En outre, Kaspersky Sandbox stocke la décision concernant le caractère menaçant ou non de l’objet dans une mémoire cache opérationnelle se trouvant sur le serveur Kaspersky Sandbox. Ainsi, si l’analyse d’un fichier déjà effectuée dans Sandbox est demandée par un autre poste sur le réseau supervisé, la plateforme EPP peut obtenir le résultat dans cette base de connaissances partagée sans avoir à réanalyser le fichier. Cela a pour avantage d’accélérer la réponse et d’alléger la charge de travail des serveurs de machines virtuelles.
Kaspersky Sandbox est conçu de façon à compléter le niveau de protection offert par Kaspersky Endpoint Security for Business avec une couche de sécurité supplémentaire permettant d’automatiser la réponse aux menaces avancées. Cependant, grâce à l’API fournie, Kaspersky Sandbox peut également s’intégrer avec d’autres solutions EPP.