TOOLinux

Le journal du Libre

Sandbox : une protection contre les menaces avancées chez Kaspersky

jeudi 28 novembre 2019

Kaspersky lance la nouvelle solution Kaspersky Sandbox. D’abord pour Android et Windows, mais pas encore pour Linux directement. Objectif : combattre les menaces avancées développées pour contourner la détection par les Endpoint Protection Platforms.

La solution analyse automatiquement les nouveaux fichiers suspects et transmet la conclusion à l’EPP mise en place. De cette façon, les organisations renforcent leur protection contre des menaces auparavant inconnues, même si elles ne disposent pas d’analystes expérimentés ou si leurs ressources sont limitées.

Afin de détecter l’intention malveillante d’un vecteur, Kaspersky Sandbox effectue une analyse de comportement, puis collecte et analyse tous les artefacts. Si le vecteur exécute effectivement des actions malveillantes, l’environnement Sandbox l’identifie comme un malware et le signale à la protection des terminaux en vue d’autres actions.

Les actions automatisées possibles pour la solution Kaspersky Endpoint Security for Business comprennent notamment : la mise en quarantaine des vecteurs, la notification aux utilisateurs, l’analyse des zones critiques du système d’exploitation ou la recherche du vecteur détecté sur d’autres ordinateurs au sein de l’organisation afin d’empêcher la propagation de la menace.

"Selon une étude réalisée par Kaspersky auprès des décideurs informatiques, 47 % des PME et 51 % des grandes entreprises affirment qu’il devient plus difficile de distinguer les attaques génériques des attaques avancées. Cela signifie que les analystes de sécurité doivent consacrer du temps à l’évaluation de nombreux fichiers suspects et ne peuvent se concentrer sur les menaces les plus critiques."

Réponse accélérée grâce à la mémoire intégrée

La décision de considérer ou non le vecteur comme une menace est stockée dans le cache opérationnel du serveur de Kaspersky Sandbox. Lorsque l’analyse du fichier, qui est déjà réalisée dans Sandbox, est demandée par un autre terminal au sein du réseau géré, l’EPP reçoit la conclusion à partir de cette base de connaissances partagée. Le fichier entier ne doit pas être ré-analysé, ce qui accélère la réponse et réduit la charge sur les serveurs et les machines virtuelles.

La solution fournit une couche de sécurité supplémentaire qui permet une réponse automatisée aux menaces avancées. Grâce à l’API fournie, Kaspersky Sandbox peut également être intégrée avec d’autres solutions EPP.

Pour l’heure, seuls Windows et Android sont concernés, mais d’autres systèmes d’exploitation pourraient suivre, dont Linux.