Aller au contenu
Avanet

Sophos Firewall - Comment fonctionne la Zero-Day Protection ?

Sophos Firewall

Zero-Day Protection est un module de sécurité pour Sophos Firewall conçu pour protéger également contre les menaces jusqu’alors inconnues. Ce module utilise des technologies avancées de sandboxing pour exécuter et analyser les fichiers suspects dans un environnement isolé et sécurisé. Cela permet de détecter et de bloquer les menaces avant qu’elles ne causent des dommages. La Zero-Day Protection offre une couche de protection supplémentaire et est particulièrement précieuse à une époque où de nouvelles vulnérabilités encore inconnues sont rapidement exploitées.

Dans cet article, nous expliquons le fonctionnement de la Zero-Day Protection, les formats de fichiers pris en charge et les étapes à suivre pour détecter et neutraliser une menace potentielle.

1. La détection et l’acheminement

Lorsqu’un fichier arrive sur votre réseau, qu’il s’agisse d’un téléchargement ou d’une pièce jointe à un courriel, Sophos Firewall le détecte automatiquement. Peu importe qu’il s’agisse d’un fichier connu ou inconnu. Une fois le fichier détecté, le pare-feu le transmet aux SophosLabs Intelix, le service en nuage de Sophos, pour une analyse plus approfondie.

Conditions préalables

Licence : il faut s’assurer que la Web Protection ou la Email Protection ont une licence pour Sophos Firewall, car ces modules sont nécessaires pour analyser correctement le fichier.

Taille du fichier : le fichier doit être inférieur à 10 Mo pour être traité par la Zero-Day Protection.

Formats de fichiers pris en charge : Seuls certains formats de fichiers sont pris en charge par la Zero-Day Protection. Il s’agit entre autres de

  • Fichiers exécutables (.exe, .dll)
  • Documents (PDF, formats Microsoft Office tels que .docx, .xlsx)
  • Archives (ZIP, RAR, 7-Zip)
  • Scripts (JavaScript, VBScript)
  • Autres formats tels que les fichiers JAR, BAT, RTF et LNK.

Liste complète

Archives 7-Zip

Archives de l’ACE

ARJ Archives

BZIP2 Compressé

GZIP Compressé

ISO 9660 CD-ROM

Archives LHA 1.x & 2.x

Archives du Cabinet Microsoft

Archives de la RAT

Archives POSIX TAR

Archives RAR

XZ Compressé

Archives ZIP

Java (fichiers JAR)

Documents Office (formats OLE & Open-XML)

Documents PDF

PE (32 bits & 64 bits, EXE & DLL)

Documents RTF

Scripts JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)

Fichiers Windows Batch /BAT/

Raccourcis Windows (fichiers LNK & URL)

Pour plus d’informations, cliquez ici : Sophos KB : Zero-Day Protection ou FAQ Sophos Zero-Day Protection

Une fois ces conditions remplies, le fichier est envoyé aux SophosLabs Intelix pour une analyse plus approfondie.

2. Analyse par les SophosLabs Intelix

Dès qu’un fichier est identifié par Sophos Firewall comme pouvant être analysé, il est téléchargé dans le Sophos Cloud, où le processus d’analyse commence. Intelix des SophosLabs utilise l’apprentissage automatique, le sandboxing et la recherche sur les menaces pour examiner le fichier à la recherche de risques potentiels. Le fichier est exécuté dans un environnement isolé qui simule différents systèmes d’exploitation pour s’assurer qu’il est testé dans des conditions réalistes sans mettre votre système en danger.

Centres de données disponibles :

  • Asie-Pacifique (Sydney, Tokyo)
  • Europe (Francfort, Londres)
  • États-Unis

Si aucune région spécifique n’est sélectionnée, le système utilise le centre de données le plus proche, en fonction du temps de latence.

3. Analyse sandbox

Le premier outil d’analyse utilisé est l’apprentissage automatique. Pour ce faire, Intelix des SophosLabs utilise plusieurs modèles pour évaluer les caractéristiques et la réputation globale du fichier. Le fichier est comparé à des millions de fichiers sûrs et malveillants connus afin de déterminer son caractère potentiellement malveillant.

Après cette évaluation, le fichier passe par une analyse sandbox qui utilise à la fois des techniques dynamiques et statiques. Les accès aux fichiers, les manipulations de la mémoire et du registre ainsi que l’activité du réseau sont ainsi surveillés. En outre, le Deep Learning est utilisé pour la détection des exploits et le CryptoGuard pour identifier le comportement des ransomwares. Cette étape protège le réseau contre les menaces du jour zéro telles que les ransomwares et les attaques ciblées.

Pendant l’exécution dans le bac à sable, Sophos surveille en permanence plusieurs paramètres afin de détecter tout comportement potentiellement malveillant. Il s’agit notamment de

  • Activités de réseau inattendues
  • Manipulation du système d’exploitation
  • Tentatives d’accès à des données sensibles
  • Auto-réplication ou autres comportements typiques des virus

Ce processus d’analyse approfondi peut prendre quelques minutes, c’est pourquoi il peut arriver que le téléchargement soit retardé jusqu’à 15 minutes, le temps que l’analyse soit terminée.

En plus de l’analyse technique du fichier, les SophosLabs Intelix effectuent une analyse de réputation. Cette analyse évalue à quel point le fichier est répandu et comment il a été traité par d’autres solutions de sécurité dans le passé. Cela permet de mieux évaluer le risque.

Blocage ou déblocage : en fonction des résultats de l’analyse du sandboxing, le fichier est soit débloqué soit bloqué. Si le fichier est considéré comme sûr, l’utilisateur peut le télécharger immédiatement. Dans le cas contraire, il est bloqué et l’administrateur est informé de la menace.

4. Rédaction d’un rapport

Une fois l’analyse terminée, un rapport détaillé est rédigé, résumant les résultats des différentes étapes de l’analyse. Ce rapport contient des informations telles que

  • Détails du téléchargement : origine du fichier, heure du téléchargement et utilisateurs qui ont téléchargé le fichier.
  • Résumé de l’analyse : un aperçu du résultat global de l’analyse Zero-Day Protection, la classification du fichier (par exemple propre, suspect, malveillant) et une brève description des menaces détectées.
  • Résultats de l’analyse d’apprentissage automatique : détails de l’analyse des propriétés du fichier, de la structure et des combinaisons de caractéristiques.
  • Résultats de détonation de la Zero-Day Protection : informations sur l’activité que le fichier exécute, y compris des captures d’écran et des détails sur les processus utilisés et l’activité du registre.
  • Analyse complète du fichier : détails complets sur le fichier, y compris les signatures, les certificats utilisés, les ressources appelées et les fonctions d’importation/exportation.
  • Rapport VirusTotal : nombre d’entrées dans la base de données VirusTotal et combien de produits de détection de logiciels malveillants ont identifié le fichier comme une menace.

Les administrateurs peuvent à tout moment consulter les rapports détaillés de l’analyse Zero-Day Protection pour mieux comprendre le risque. Il est également possible de libérer des fichiers ou des messages électroniques qui sont encore en cours d’analyse ou pour lesquels une erreur s’est produite. Il convient toutefois d’être prudent, car le partage avant la fin de l’analyse comporte le risque de télécharger un contenu malveillant.

Tester des fichiers individuels

Dans l’article de blog SophosLabs Intelix - L’outil de détection des cybermenaces, nous expliquons comment l’outil en ligne Sophos Intelix peut également contrôler des fichiers individuels.

FAQ

Qu’est-ce que Sophos Zero-Day Protection ?

Sophos Zero-Day Protection est un module de sécurité pour Sophos Firewall conçu pour détecter et bloquer les menaces nouvelles et jusqu’alors inconnues. Il utilise des technologies avancées comme l’apprentissage automatique, le sandboxing et la recherche sur les menaces pour analyser et évaluer les fichiers et pièces jointes suspects.

Comment fonctionne la Zero-Day Protection ?

Dès qu’un fichier ou une pièce jointe suspecte arrive sur le réseau, il est envoyé à SophosLabs Intelix™ pour analyse. Le fichier y passe par une analyse en plusieurs étapes incluant apprentissage automatique et sandboxing. Le système recherche les comportements suspects et bloque le fichier s’il est classé comme dangereux.

Quels types de fichiers sont analysés par la Zero-Day Protection ?

La Zero-Day Protection analyse principalement les fichiers exécutables, les scripts, les documents et les archives. Cela inclut des formats comme .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar et beaucoup d’autres. Seuls les fichiers de moins de 10 Mo sont analysés.

Comment l’analyse des fichiers suspects est-elle effectuée ?

L’analyse se déroule en plusieurs étapes : le fichier est d’abord analysé par le moteur antivirus. Si le fichier ne contient pas de menace connue mais paraît tout de même suspect, il est envoyé pour une analyse plus approfondie dans une sandbox, où il est exécuté dans un environnement isolé et surveillé afin de détecter un comportement malveillant.

Combien de temps dure l’analyse par Zero-Day Protection ?

L’analyse dure généralement environ cinq minutes, mais peut prendre jusqu’à dix minutes selon la taille du fichier et la complexité de l’analyse. Pour les fichiers déjà analysés auparavant, le temps d’analyse peut être inférieur à une seconde grâce au cache.

Mes données sont-elles traitées de manière sécurisée ?

Tous les fichiers envoyés à SophosLabs Intelix™ pour analyse sont transmis via une connexion SSL chiffrée et stockés sur les serveurs avec un chiffrement asymétrique. Les fichiers ne sont déchiffrés et traités que pendant la durée de l’analyse.

Dans quels centres de données mes fichiers sont-ils analysés ?

Vous pouvez choisir le centre de données dans lequel vos fichiers sont analysés. Les régions disponibles incluent notamment Asie-Pacifique (Sydney, Tokyo), Europe (Francfort, Londres) et États-Unis. Si vous ne sélectionnez aucune région spécifique, le système utilise le centre de données le plus proche en fonction de la latence.

Quelles protections la Zero-Day Protection offre-t-elle contre les ransomwares ?

La Zero-Day Protection inclut des fonctions de détection des ransomwares, notamment des analyses dynamiques qui surveillent en temps réel les comportements suspects comme le chiffrement de fichiers. Le système utilise également CryptoGuard pour détecter et stopper les attaques de ransomware.

Peut-on voir quels fichiers ont été analysés par la Zero-Day Protection ?

Oui, Sophos Firewall propose une vue dédiée qui affiche tous les fichiers et pièces jointes analysés par la Zero-Day Protection. Vous pouvez y consulter des rapports contenant les détails de l’analyse et les évaluations de sécurité correspondantes.