Selon les équipes de sécurité, il y a toujours de la place dans le budget pour une technologie de sandbox. Mais comment un outil technologique traditionnel peut-il continuer à profiter aux centres d’opérations de sécurité d’aujourd’hui ?
Les informations et les modèles fournis par le sandbox peuvent mettre en lumière les points forts et les lacunes d’un programme de sécurité. Alors que les appliances de sandbox traditionnelles s’arrêtent une fois qu’un fichier ou un code malveillant a été bloqué, une approche plus avancée permet d’associer les tactiques, les techniques et les procédures (TTP) du comportement et de l’intention du malware au cadre MITRE ATT&CK. Le cadre ATT&CK est un puissant outil d’entraînement des données et d’information qui illustre les comportements réels ou possibles d’un adversaire au cours d’une attaque sur la base d’observations du monde réel. Lorsque les renseignements du sandbox sont mis en correspondance avec le cadre, les équipes chargées des opérations de sécurité peuvent appliquer ces informations pour créer des défenses tactiques directement dans d’autres parties de leur pile de sécurité, ce qui fait du sandbox un outil plus intégré dans les flux de travail des opérations de sécurité.
Repenser les anciennes appliances de sandbox
Le sandbox fournit un environnement isolé qui imite le système d’exploitation et les fonctionnalités d’un utilisateur réel afin d’éliminer en toute sécurité les fichiers et codes inconnus ou suspects sans endommager le réseau ni d’autres appliances locales. Les appliances de sandbox sont censées constituer la dernière ligne de défense et la première étape de détection contre les menaces inconnues, apportant des mesures préventives aux entreprises. Cependant, dans le cadre des défenses de sécurité réseau traditionnelles, les appliances de sandbox traditionnelles sont hors bande et leur capacité est limitée. Elles sont souvent incapables d’assurer une protection des données et contre les cybermenaces sans l’ajout d’autres appliances et de dispositifs d’aide au déchiffrement du SSL, ce qui ralentit considérablement les vitesses de connectivité. Avec une augmentation de 314 % des menaces chiffrées, les malwares représentant 91 % des attaques, l’absence d’inspection native du trafic SSL/TLS à grande échelle permet, sans le savoir, à des malwares sophistiqués d’atteindre l’utilisateur et ne fournit une protection qu’après la compromission initiale.
Les menaces modernes exploitant les faiblesses du sandbox ou s’y soustrayant complètement, les centres d’opérations de sécurité (SOC) doivent réexaminer leurs appliances de sandbox en place. La transformation digitale est un facteur supplémentaire qui incite les équipes de sécurité et de réseau à délaisser les appliances de sandbox physiques au profit d’un sandbox basé sur le cloud. Cela réduit non seulement les frais généraux, la complexité et les coûts (des ressources qui peuvent être réaffectées à des projets plus intéressants et critiques), mais assure également une meilleure protection contre les menaces à grande échelle.
Un pas dans la bonne direction avec Zscaler Cloud Sandbox
L’architecture proxy inline de Zscaler Cloud Sandbox s’appuie sur la puissance du cloud pour effectuer rapidement des inspections de contenu et offrir une protection basée sur les renseignements à une échelle infinie. En exploitant des informations en temps réel provenant de plus de 240 milliards de transactions quotidiennes, 250 000 mises à jour quotidiennes de la protection contre les menaces et 300 millions de signaux quotidiens pour des verdicts instantanés concernant l’innocuité des fichiers, le sandbox Cloud-Gen met automatiquement en quarantaine les menaces inconnues à haut risque avant qu’elles n’atteignent l’utilisateur final.
Outre le besoin de connaître le nombre de tentatives hostiles bloquées, certains analystes des opérations de sécurité peuvent également souhaiter réaliser un rapport de rétro-ingénierie. Bien qu’intéressant à réaliser, le traitement des données à présenter aux parties prenantes peut s’avérer fastidieux, sans parler du temps nécessaire pour codifier manuellement le comportement et l’intention du malware selon le cadre MITRE ATT&CK. Plutôt que d’effectuer ce travail manuellement, les SOC peuvent l’automatiser grâce à la fonction de reporting de Zscaler Cloud Sandbox qui dispose désormais de mises en correspondance avec le cadre ATT&CK.
Grâce à la première fonctionnalité de mise en quarantaine IA du secteur, le sandbox Cloud-Gen analyse de manière proactive et conserve en mémoire les fichiers inconnus ou suspects, en les purgeant s’ils sont jugés inoffensifs. En cas de détection d’un malware, le sandbox automatise un rapport qui met en évidence son cycle de vie et sa chaîne de frappe, en mettant son comportement en correspondance avec le cadre ATT&CK, comme l’illustre la capture d’écran ci-dessous. Cette visualisation cartographiée facilite l’opérationnalisation des résultats du sandbox. Au lieu d’empêcher sans discernement toutes les tactiques et techniques, votre SOC peut désormais se concentrer sur les TTP les plus courantes qui ciblent votre entreprise.
Les données et les modèles dérivés du rapport de Cloud Sandbox permettent à vos analystes d’élaborer des détections et des politiques plus solides sur l’ensemble de votre pile de sécurité, y compris la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse aux menaces sur les terminaux (EDR) et d’autres outils. Au-delà de la pile de sécurité, vous pouvez exploiter le rapport pour collaborer avec d’autres équipes et garantir que les configurations dans les environnements multicloud et les surfaces d’attaque potentielles sont sécurisées. En élargissant votre objectif aux activités des adversaires, vous pouvez rester en alerte et prévenir de futures attaques si le fichier ou le code malveillant tentait d’atteindre votre réseau d’une manière différente.
Il est temps de moderniser la technologie des anciennes appliances de sandbox. Pour en savoir plus sur Zscaler Cloud Sandbox et sur les nouvelles fonctions de mise en correspondance et de reporting de MITRE ATT&CK, nous vous invitons à assister dès aujourd’hui au webinaire à la demande « Outside the (Sand)box: Operationalizing MITRE ATT&CK to Strengthen Your Defenses » (Opérationnaliser MITRE ATT&CK pour renforcer vos défenses).
–
Pour en savoir plus sur les dernières et passionnantes innovations optimisées par l’IA de Zscaler, inscrivez-vous à Zenith Live.