Les 3 principales lacunes des solutions de sandboxing traditionnelles

Cependant, les approches traditionnelles du sandboxing présentent trois inconvénients majeurs dans les environnements actuels : Les sandbox traditionnels reposent sur le backhauling , c’est-à-dire qu’ils forcent les données à passer par un réseau central, en effet ils sont liés au matériel d’un data center et sont donc trop lents pour protéger efficacement un personnel distant en constante augmentation. Les sandbox traditionnels utilisent le mode TAP (Terminal Access Point) pour inspecter les fichiers suspects, effectuant l’analyse au fur et à mesure que les fichiers se déplacent vers leur destination. Le sandbox envoie une alerte s’il détecte une menace, mais souvent trop tardivement car l’inspection TAP ne bloque pas réellement les fichiers. Les sandbox traditionnels ne peuvent pas inspecter efficacement le trafic chiffré sans fortement le ralentir. La plupart des programmes malveillants actuels sont transmis par des canaux chiffrés, et certaines entreprises auraient besoin de huit fois plus d’appliances sandbox pour disposer d’une puissance de traitement suffisante. Lire la suite .

Ressources > Glossaire des termes de sécurité > Qu’est-ce que la protection contre les menaces avancées ?

Qu’est-ce que la protection contre les menaces avancées ?

Q: Quelles sont les méthodes d’attaque avancées les plus courantes ?

L’hameçonnage incite un utilisateur à suivre un lien provenant d’une source en apparence fiable afin d’accéder aux informations ou aux identifiants de la société. Il s’agit de la méthode la plus courante utilisée par les hackers APT pour accéder à un réseau interne. L’installation de programmes malveillants aide les cyberattaquants à s’enfoncer plus profondément dans un réseau une fois qu’ils en ont obtenu l’accès, ce qui leur permet de surveiller l’activité et de collecter les données de la société. Cela se fait le plus souvent par hameçonnage. Le décodage de mot de passe permet aux hackers d’obtenir un accès administratif et à se déplacer librement sur le réseau. La création d’une porte dérobée assure au hacker un moyen de revenir sur le réseau s’il doit le quitter. Lire la suite .

Q: Comment fonctionne la protection contre les menaces avancées ?

Les solutions ATP incluent souvent : L’analyse du trafic réseau pour détecter les anomalies de sécurité et de fonctionnement de votre réseau. Le partage des renseignements sur les menaces pour apporter la même protection à tous les clients d’un fournisseur donné. Le sandboxing pour détecter et isoler les fichiers suspects afin de les analyser et d’intervenir Lire la suite .

Regarder notre vidéo

Définition de la protection contre les menaces avancées

La protection contre les menaces avancées (ATP) est un sous-ensemble de solutions de sécurité conçues pour défendre les données sensibles contre les cyberattaques complexes, notamment les programmes malveillants, les campagnes d’hameçonnage, etc. La technologie ATP combine souvent la sécurité du cloud, la sécurité de la messagerie, la sécurité des terminaux et bien plus encore, afin de consolider les défenses de votre entreprise dans un paysage de menaces en constante évolution, ce qui vous permet de mieux anticiper et de prévenir les brèches de sécurité potentiellement coûteuses.

Les méthodes et tactiques d’attaque des cybercriminels se révèlent de plus en plus sophistiquées. De plus, et alors que les données continuent à se déplacer vers le cloud, les surfaces d’attaque s’élargissent et de nouveaux vecteurs d’attaque se font remarquer. Heureusement, la technologie de cybersécurité a évolué dans le même sens, allant au-delà des pare-feu et de la sécurité réseau traditionnelle pour surmonter ces nouveaux vecteurs et types de cybermenaces.

Quels sont les avantages de la protection contre les menaces avancées ?

Dans le paysage moderne des menaces, l’ATP vous permet de combattre le feu par le feu. Contrairement aux produits de sécurité traditionnels, qui sont généralement des solutions déconnectées à usage unique, les outils les plus efficaces actuellement opèrent ensemble pour vous procurer :

Une visibilité en temps réel des menaces : le volume élevé de menaces actuelles ne vous permet pas d’attendre des scans programmés pour déterminer si vous êtes en sécurité. Une protection efficace contre les menaces avancées surveille l’ensemble de votre trafic, en permanence, contrairement aux solutions antivirus traditionnelles.
Intelligence du cloud partagée : la mise à jour de votre protection est au mieux peu pratique, au pire impossible. Avec les renseignements sur les menaces fournis dans le cloud, aussitôt qu’une solution donnée bloque une nouvelle menace quelque part, elle peut la bloquer partout.
Contexte et corrélation centralisés : les mesures de sécurité réactives, en temps réel et prédictives optimisées par une IA avancée confèrent une vue d’ensemble à votre équipe de sécurité, ce qui signifie une détection, une prévention et une remédiation plus rapides des menaces.

Qu’est-ce qui caractérise une menace « avancée » ?

Une menace peut être qualifiée d’avancée pour différentes raisons. Par exemple si :

Ses auteurs disposent de ressources ou d’outils illimités permettant de mener à bien une attaque et de maintenir l’accès à un réseau.
Les hackers disposent d’un financement suffisant pour adapter une attaque en fonction des besoins.
Une attaque a été conçue pour cibler une entreprise spécifique.

Replaçons les menaces avancées dans leur contexte, sous leurs différentes formes.

Menaces persistantes avancées

Une menace persistante avancée (APT, à ne pas confondre avec ATP) est une attaque au cours de laquelle un hacker accède furtivement au réseau d’une entreprise et s’y implante, lui permettant d’y rester indétecté pendant une période prolongée. Les APT ciblent souvent une entreprise spécifique et font généralement appel à des programmes malveillants avancés qui peuvent contourner ou esquiver les mesures de sécurité classiques. Il s’agit d’attaques sophistiquées auxquelles il convient d’opposer une défense tout aussi sophistiquée.

Une fois qu’un attaquant obtient l’accès à un réseau cible, généralement par le biais d’attaques d’hameçonnage d’identifiants ou de programmes malveillants, il peut accéder à toutes les ressources de la société, de ses données à ses conversations privées et autres documents sensibles. S’ils demeurent suffisamment longtemps non détectés (des semaines, des mois, voire des années), ils peuvent rassembler d’énormes quantités de données et les utiliser à des fins malveillantes.

Quelles sont les méthodes d’attaque avancées les plus courantes ?

Les attaques avancées partagent quelques techniques de base qui permettent le plus souvent aux acteurs malveillants de parvenir à leurs fins. Les techniques les plus répandues sont :

L’hameçonnage incite un utilisateur à suivre un lien provenant d’une source en apparence fiable afin d’accéder aux informations ou aux identifiants de la société. Il s’agit de la méthode la plus courante utilisée par les hackers APT pour accéder à un réseau interne.
L’installation de programmes malveillants aide les cyberattaquants à s’enfoncer plus profondément dans un réseau une fois qu’ils en ont obtenu l’accès, ce qui leur permet de surveiller l’activité et de collecter les données de la société. Cela se fait le plus souvent par hameçonnage.
Le décodage de mot de passe permet aux hackers d’obtenir un accès administratif et à se déplacer librement sur le réseau.
La création d’une porte dérobée assure au hacker un moyen de revenir sur le réseau s’il doit le quitter.

[Une étude de Ponemon a révélé] un déclin significatif, passant de 71 % des personnes interrogées qui pensaient que leur entreprise parvenait à efficacement limiter les risques, les vulnérabilités et les attaques à l’échelle de l’entreprise avant la pandémie de COVID-19, à seulement 44 % des personnes interrogées pendant la pandémie.

Ponemon Institute, « Cybersecurity in the Remote Work Era »

Les coûts des violations de données sont passés de 3,86 millions USD [en 2020] à 4,24 millions USD [en 2021], soit le coût total moyen le plus élevé depuis la publication de ce rapport il y a 17 ans.

IBM, « Cost of a Data Breach Report 2021 »

Comment fonctionne la protection contre les menaces avancées ?

Les solutions de protection contre les menaces avancées sont conçues pour détecter et répondre aux menaces avancées avant qu’elles ne causent la perte de vos données ou ne nuisent à votre entreprise. Bien que les offres des différents fournisseurs de services varient considérablement en ce qui concerne leurs fonctions principales, les solutions ATP incluent souvent :

L’analyse du trafic réseau pour détecter les anomalies de sécurité et de fonctionnement de votre réseau.
Le partage des renseignements sur les menaces pour apporter la même protection à tous les clients d’un fournisseur donné.
Le sandboxing pour détecter et isoler les fichiers suspects afin de les analyser et d’y répondre.

Les lacunes des solutions de sandboxing traditionnelles

Au fur et à mesure que l’espace a évolué, les progrès de l’apprentissage automatique et de l’automatisation augmentant la rapidité et améliorant la précision de l’ATP, le sandboxing reste un outil de sécurité avancée crucial. Cependant, les approches traditionnelles du sandboxing présentent trois inconvénients majeurs dans les environnements actuels :

Les sandbox traditionnels reposent sur le backhauling, c’est-à-dire qu’ils forcent les données à passer par un réseau central, en effet ils sont liés au matériel d’un data center et sont donc trop lents pour protéger efficacement un personnel distant en constante augmentation.
Les sandbox traditionnels utilisent le mode TAP (Terminal Access Point) pour inspecter les fichiers suspects, effectuant l’analyse au fur et à mesure que les fichiers se déplacent vers leur destination. Le sandbox envoie une alerte s’il détecte une menace, mais souvent trop tardivement car l’inspection TAP ne bloque pas réellement les fichiers.
Les sandbox traditionnels ne peuvent pas inspecter efficacement le trafic chiffré sans fortement le ralentir. La plupart des programmes malveillants actuels sont transmis par des canaux chiffrés, et certaines entreprises auraient besoin de huit fois plus d’appliances sandbox pour disposer d’une puissance de traitement suffisante.

Protection avancée Zscaler contre les menaces

Zscaler Cloud Sandbox est un moteur de protection contre les programmes malveillants basé sur le cloud, optimisé par l’IA et l’AA, conçu pour stopper les menaces émergentes et protéger tous vos employés, où qu’ils soient. Au lieu de travailler en mode TAP, il opère inline, inspectant tout votre trafic, y compris le trafic chiffré, avant de transférer n’importe quel fichier suspect. Avec une protection permanente contre les menaces de type « zero day », une protection contre les ransomwares et une visibilité en temps réel du comportement des programmes malveillants, il détecte et bloque en continu les nouvelles menaces évolutives dès qu’elles apparaissent.

Zscaler Cloud Sandbox est une fonctionnalité entièrement intégrée de Zscaler Internet Access™, qui fait partie de Zscaler Zero Trust Exchange™. La plateforme est fournie sous forme de service cloud, et sans équipement à acheter ni logiciel à gérer, vous éliminerez la complexité et serez opérationnel en quelques minutes.

En savoir plus sur la protection Zscaler contre les menaces avancées.

Ressources supplémentaires

Livre blanc : Combattre les menaces persistantes avancées (APT) avec le sandboxing cloud
Webinaire : Combattre les ransomwares et les menaces avancées

Shift-right pour l'automatisation des flux de travail