MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
La technologie de sandbox de Kaspersky est maintenant disponible pour une utilisation au sein même du réseau de l’entreprise. Le logiciel “sur site” Kaspersky Research Sandbox est conçu pour les organisations aux restrictions strictes en termes de partage de données, pour leur permettre de développer leur propre SOC (Security Operations Center) ou de construire un centre d’alerte et de réaction aux attaques informatiques (CERTs). La solution accompagne les entreprises dans la détection et l’analyse de menaces ciblées tout en assurant que l’ensemble des fichiers examinés soient conservés au sein de l’organisation.
L’an passé, près de la moitié des entreprises (45 %) ont fait l’expérience d’une attaque ciblée d’après les résultats de l’étude menée par Kaspersky auprès des décideurs IT. Ces menaces sont souvent conçues pour fonctionner uniquement dans un contexte particulier au sein de l’organisation ciblée : par exemple, un fichier peut n’avoir aucun effet malveillant tant qu’une certaine application n’est pas ouverte ou qu’un utilisateur ne consulte pas un document précis. En outre, certains fichiers peuvent indiquer qu’ils ne se trouvent pas dans l’environnement de l’utilisateur par exemple, s’il n’y a aucun signe que quelqu’un travaille sur le terminal et n’exécuteront pas le code malveillant. Cependant, comme un SOC reçoit généralement de nombreuses alertes de sécurité, les analystes ne peuvent pas examiner chaque menace manuellement pour déterminer laquelle est la plus dangereuse.
Pour aider les entreprises à analyser des menaces plus avancées de façon plus fréquente et plus approfondie, les technologies de sandbox de Kaspersky peuvent désormais être implémentées au sein même de l’organisation d’un client. La solution Kaspersky Research Sandbox émule le système de l’organisation avec des paramètres aléatoires (comme le nom de l’utilisateur et de l’ordinateur, l’adresse IP, etc.) et imite un environnement utilisé activement, de sorte que les logiciels malveillants ne peuvent pas distinguer qu’ils fonctionnent sur une machine virtuelle.
Kaspersky Research Sandbox est une évolution du module interne de sandbox utilisé par les propres chercheurs de Kaspersky en matière de lutte contre les logiciels malveillants. Dorénavant, ces technologies sont disponibles à l’ensemble des entreprises sous la forme d’une installation sur site isolée. Par conséquent, l’ensemble des fichiers analysés demeureront dans le périmètre de l’entreprise, permettant aux entreprises les plus strictes sur leur politique de partage de données d’adopter cette solution.
Kaspersky Research Sandbox intègre un API spécifique pour faciliter son intégration aux côtés d’autres solutions de sécurité, afin que chaque fichier potentiellement suspect puisse être automatiquement redirigé vers la solution de sandbox pour être analysé. Les résultats de ces analyses peuvent également être exportés vers un système de gestion des tâches au sein du SOC. Cette automatisation des tâches les plus répétitives réduit significativement le temps requis normalement pour une analyse post-incident.
Dès lors que la solution est installée au sein du réseau de l’entreprise, elle permet de recréer virtuellement l’environnement d’exploitation. La nouvelle solution Kaspersky Research Sandbox permet de connecter les différentes machines virtuelles au réseau interne de l’organisation. En conséquence, cela permet de détecter les malwares conçus pour être actifs dans une certaine infrastructure et mieux comprendre leur fonctionnement et les informations ciblées. De plus, les analystes peuvent configurer leur version de Windows avec un logiciel spécifique préinstallé pour émuler complètement leur environnement d’entreprise. Cela simplifie la détection par une entreprise des menaces liées à leur environnement, comme les logiciels malveillants récemment découverts qui ont été utilisés dans des attaques contre des entreprises industrielles. Kaspersky Research Sandbox est également compatible avec le système d’exploitation Android pour la détection de malwares sur mobile.
Kaspersky Research Sandbox fournit des rapports détaillés sur l’exécution des différents fichiers et documents au sein du réseau. Le rapport contient notamment des cartes d’exécution et une liste étendue des actions et mouvements effectués au sein de l’objet analysé, et présentant également les activités du réseau et du système via des captures d’écran, ainsi qu’une liste des dossiers téléchargés et modifiés. En sachant exactement les capacités d’action de chaque malware, les experts en cybersécurité peuvent établir une liste des mesures requises pour protéger l’organisation des différentes menaces. Les analystes des SOC et des CERT sont également en mesure de créer leurs propres règles YARA pour vérifier l’analyse faite contre eux de différents fichiers.
« Notre Kaspersky Cloud Sandbox, lancée en 2018, fonctionne parfaitement pour des organisations qui ont besoin d’analyser des menaces complexes sans investissement additionnel au niveau de l’infrastructure matérielle. Toutefois, les organisations dotées d’un SOC et d’un CERT en interne, et ayant une politique stricte en termes de partage de données ont besoin d’une plus grande maîtrise des fichiers analysés. Aujourd’hui, avec Kaspersky Research Sandbox, elles peuvent choisir des options de déploiement adaptées à leur infrastructure, tout en leur permettant de personnaliser les images de la solution sur site à n’importe quel environnement d’entreprise, » commente Veniamin Levtsov, VP, Corporate Business chez Kaspersky.
Kaspersky Research Sandbox peut être intégrée avec Kaspersky Private Security Network. Cela permet aux organisations de bénéficier d’aperçus sur le comportement d’un objet, mais aussi de recevoir des informations sur la notoriété des fichiers téléchargés ou des adresses web du malware identifié par la base de données de threat intelligence de Kaspersky et installée au sein du centre de données de l’entreprise.
Kaspersky Research Sandbox est au cœur de la gamme de solutions dédiées aux chercheurs et analystes en sécurité de Kaspersky. Ce portefeuille comprend également la solution Kaspersky Threat Attribution Engine, Kaspersky CyberTrace et Kaspersky Threat Data Feeds. Cette offre aide les organisations à analyser et vérifier l’existence des menaces émergentes, et de faciliter la réponse aux incidents en fournissant des informations qualifiées sur les menaces.
