Sandbox
Définition de sandbox
Une sandbox ou bac en sable en français, est, en cybersécurité, un espace protégé, isolé, dans lequel vont s’exécuter des scripts ou programmes. L’objectif principal de la sandbox est de détecter les menaces et les comportements malveillants sans compromettre la sécurité du système hôte. Le plus souvent, il est couplé à un système de surveillance qui va inspecter l’activité du programme testé en faisant un état des lieux de l’environnement avant et après l’exécution.
La sandbox permet donc d’identifier l’ensemble des fonctions, notamment cachées, d’un code en forçant son exécution dans un environnement sécurisé et surveillé, d’ouvrir des pièces jointes ou de cliquer sur des liens suspects dans un environnement contrôlé, évitant ainsi tout impact sur le réseau ou l’appareil de l’utilisateur final.
Une sandbox est un outil essentiel pour détecter et prévenir les menaces en analysant le comportement des pièces jointes et des liens dans les e-mails entrants. Elle vise à protéger les utilisateurs et les réseaux en identifiant les comportements suspects et en bloquant les menaces avant qu’elles ne causent des dommages
Quel est l’objectif d’une sandbox en sécurité des messageries?
L’objectif principal d’une sandbox en sécurité des messageries est de détecter et de bloquer les menaces potentielles avant qu’elles n’atteignent les boîtes de réception des utilisateurs.
- Analyse comportementale : Les sandboxes analysent le comportement des pièces jointes et des liens inclus dans les e-mails. Elles surveillent les actions qu’ils entreprennent une fois ouverts, telles que les tentatives de modification de fichiers système, les connexions à des serveurs distants, ou d’autres activités suspectes.
- Détection de malware : L’une des principales missions d’une sandbox est de détecter les logiciels malveillants (malwares), y compris les virus, les chevaux de Troie, les ransomwares et les spywares, qui pourraient être dissimulés dans les e-mails. La sandbox peut identifier les comportements malveillants des fichiers et des liens.
- Détection des menaces Zero-Day : Les attaques zero-day exploitent des vulnérabilités inconnues ou non corrigées. Les sandboxes peuvent détecter ces menaces en examinant les comportements suspects, même si elles n’ont pas de signatures connues.
- Réduction des faux positifs : Les sandboxes visent à minimiser les faux positifs, c’est-à-dire les alertes erronées signalant des fichiers inoffensifs comme des menaces.
- Analyse en temps réel : Les sandboxes effectuent l’analyse en temps réel des e-mails entrants, ce qui permet une détection rapide des menaces potentielles avant qu’elles n’affectent les utilisateurs finaux.
- Protection des utilisateurs : En détectant les menaces avant qu’elles n’atteignent les boîtes de réception des utilisateurs, les sandboxes contribuent à protéger les utilisateurs contre les attaques de phishing, les logiciels malveillants et d’autres menaces potentielles.
- Analyse approfondie des menaces : Si une menace est détectée, la sandbox fournit généralement une analyse détaillée de son comportement, ce qui aide les équipes de sécurité à comprendre la nature de la menace et à prendre des contre-mesures appropriées.
Comment fonctionne une sandbox ?
Le fonctionnement d’une sandbox repose sur l’idée de l’isolement. Lorsqu’un fichier ou un lien suspect est soumis à une sandbox, il est exécuté dans un environnement virtuel distinct, souvent appelé « bac à sable ». Cet environnement est entièrement séparé du système hôte de l’utilisateur ou du réseau de l’entreprise, ce qui signifie que tout ce qui se produit à l’intérieur de la sandbox reste confiné.
La sandbox observe attentivement le comportement du fichier ou du lien suspect pendant son exécution. Elle surveille les actions qu’il entreprend, les fichiers qu’il tente de modifier, les connexions réseau qu’il établit, et d’autres indicateurs de comportement potentiellement malveillant. Si la sandbox détecte une activité suspecte ou malveillante, elle peut prendre des mesures telles que la mise en quarantaine du fichier, le blocage de l’accès au lien ou la génération d’une alerte pour les administrateurs.
L’isolation se fait classiquement par l’intermédiaire de systèmes virtualisés. Elle peut s’effectuer à plusieurs niveaux :
– Au niveau système : C’est alors un système d’exploitation complet qui est disponible dans l’espace de test, généralement virtualisé. Il est alors possible d’examiner tous les impacts ou actions du logiciel testé.
– Au niveau applicatif : Ce traitement est souvent utilisé pour tester un document ou une page web, c’est alors uniquement une instance logicielle spécifique, du navigateur ou du logiciel exécutant le document qui est disponible dans la sandbox.
En surveillant l’activité lors de l’exécution du processus testé, il sera possible d’identifier les tentatives d’altération du système qu’il initie. Il est ainsi possible de constater si le logiciel effectue notamment :
– Des modifications au niveau des fichiers locaux.
– Des appels réseaux.
– Des installations logicielles.
– Des accès à la mémoire ou aux fichiers.
Le sandboxing est très largement utilisé par les systèmes antivirus qui ont besoin de connaître l’ensemble des actions effectuées par un exécutable afin d’identifier s’il intègre des menaces.
Quelles sont les limites/ contraintes d’une sandbox ?
Les limites et contraintes du sandboxing se trouvent dans les ressources et le temps d’analyse nécessaires. Pour qu’elle soit pertinente, l’analyse doit se faire sur un environnement vierge, qu’il est donc nécessaire d’initier à chaque test, afin qu’il ne soit pas pollué par une analyse précédente. Il faut ensuite attendre l’exécution de l’élément testé, puis analyser son activité avant de tuer l’environnement de test. C’est un processus très chronophage, difficile à utiliser sur l’ensemble d’un flux de messagerie par exemple.
- Détection différée : Les sandboxes détectent les menaces en analysant le comportement des fichiers et des liens. Cela signifie que la détection peut être différée jusqu’à ce que la menace commence à agir. Certaines attaques peuvent contourner la sandbox en restant inactives jusqu’à ce qu’elles atteignent leur cible, ce qui les rend plus difficiles à détecter.
- Contournement par les cybercriminels (sandbox-evading malware) : Les cybercriminels cherchent constamment des moyens de contourner les sandboxes. Ils peuvent utiliser des techniques d’évasion pour éviter la détection, une fois à l’intérieur de la sandbox. Il existe des dizaines de techniques d’évasion de sandbox qui peuvent être intégrées dans les logiciels malveillants.
- Faux Négatifs : Bien que les sandboxes visent à réduire les faux positifs, elles peuvent parfois générer des faux négatifs, c’est-à-dire qu’elles peuvent ne pas détecter certaines menaces. Cela peut donner aux utilisateurs une fausse confiance en la sécurité.
- Surcharge de trafic : Dans les environnements à fort trafic, l’utilisation d’une sandbox pour analyser tous les e-mails entrants peut entraîner une surcharge et des retards dans la livraison des messages légitimes.
- Protection limitée contre les menaces ciblées : Les attaques ciblées, telles que les attaques APT (Advanced Persistent Threat), sont conçues pour échapper à la détection. Les sandboxes peuvent ne pas être suffisamment efficaces pour les détecter.
- Complexité des menaces : Certaines menaces, telles que les attaques de phishing sophistiquées, peuvent être difficiles à détecter uniquement en surveillant le comportement des fichiers. Les sandboxes peuvent ne pas être adaptées à toutes les catégories de menaces.
Pour une protection complète, il est recommandé de les combiner avec d’autres technologies de sécurité, telles que des filtres anti-spam, des pare-feu et des solutions de détection d’intrusion, pour créer une défense multicouche robuste contre les menaces.
Comment Mailsafe d’Altospam utilise les sandbox ?
Dans le cadre de Mailsafe, nous utilisons les sandbox dans deux cadres très spécifiques :
– Sur les documents Office. Un exécutable spécifique simule l’ouverture du document avec une analyse de ses scripts ou macros VBA.
– Sur les fichiers HTML ou PDF en pièce jointe, afin d’analyser le comportement du code Javascript embarqué.
Ces deux traitements restent très rapides et permettent de conserver un temps d’analyse global raisonnable, de l’ordre de trois à cinq secondes par message, tout en assurant une analyse en profondeur des éléments contenus dans les messages.
Libérez vos boîtes mails. Stoppez les intrusions. Protégez votre organisation.
Malware ? Ransomware ? Phishing ? Spam? L’email est le premier vecteur d’une cyberattaque. Notre solution détecte et neutralise les menaces connues et inconnues en temps réel.