Sophos Firewall – Comment fonctionne la Zero-Day Protection ?
Zero-Day Protection est un module de sécurité pour Sophos Firewall conçu pour protéger également contre les menaces jusqu’alors inconnues. Ce module utilise des technologies avancées de sandboxing pour exécuter et analyser les fichiers suspects dans un environnement isolé et sécurisé. Cela permet de détecter et de bloquer les menaces avant qu’elles ne causent des dommages. La Zero-Day Protection offre une couche de protection supplémentaire et est particulièrement précieuse à une époque où de nouvelles vulnérabilités encore inconnues sont rapidement exploitées.
Dans cet article, nous expliquons le fonctionnement de la Zero-Day Protection, les formats de fichiers pris en charge et les étapes à suivre pour détecter et neutraliser une menace potentielle.
Thèmes
1. La détection et l’acheminement
Lorsqu’un fichier arrive sur votre réseau, qu’il s’agisse d’un téléchargement ou d’une pièce jointe à un courriel, Sophos Firewall le détecte automatiquement. Peu importe qu’il s’agisse d’un fichier connu ou inconnu. Une fois le fichier détecté, le pare-feu le transmet aux SophosLabs Intelix, le service en nuage de Sophos, pour une analyse plus approfondie.
Conditions préalables
Licence : il faut s’assurer que la Web Protection ou la Email Protection ont une licence pour Sophos Firewall, car ces modules sont nécessaires pour analyser correctement le fichier.
Taille du fichier : le fichier doit être inférieur à 10 Mo pour être traité par la Zero-Day Protection.
Formats de fichiers pris en charge : Seuls certains formats de fichiers sont pris en charge par la Zero-Day Protection. Il s’agit entre autres de
- Fichiers exécutables (.exe, .dll)
- Documents (PDF, formats Microsoft Office tels que .docx, .xlsx)
- Archives (ZIP, RAR, 7-Zip)
- Scripts (JavaScript, VBScript)
- Autres formats tels que les fichiers JAR, BAT, RTF et LNK.
- Archives 7-Zip
- Archives de l’ACE
- ARJ Archives
- BZIP2 Compressé
- GZIP Compressé
- ISO 9660 CD-ROM
- Archives LHA 1.x & 2.x
- Archives du Cabinet Microsoft
- Archives de la RAT
- Archives POSIX TAR
- Archives RAR
- XZ Compressé
- Archives ZIP
- Java (fichiers JAR)
- Documents Office (formats OLE & Open-XML)
- Documents PDF
- PE (32 bits & 64 bits, EXE & DLL)
- Documents RTF
- Scripts JavaScript (JS/JSE/WSF), Visual Basic Script (VBS/VBE)
- Fichiers Windows Batch /BAT/
- Raccourcis Windows (fichiers LNK & URL)
Pour plus d’informations, cliquez ici : Sophos KB : Zero-Day Protection ou FAQ Sophos Zero-Day Protection
Une fois ces conditions remplies, le fichier est envoyé aux SophosLabs Intelix pour une analyse plus approfondie.
2. Analyse par les SophosLabs Intelix
Dès qu’un fichier est identifié par Sophos Firewall comme pouvant être analysé, il est téléchargé dans le Sophos Cloud, où le processus d’analyse commence. Intelix des SophosLabs utilise l’apprentissage automatique, le sandboxing et la recherche sur les menaces pour examiner le fichier à la recherche de risques potentiels. Le fichier est exécuté dans un environnement isolé qui simule différents systèmes d’exploitation pour s’assurer qu’il est testé dans des conditions réalistes sans mettre votre système en danger.
Centres de données disponibles :
- Asie-Pacifique (Sydney, Tokyo)
- Europe (Francfort, Londres)
- États-Unis
Si aucune région spécifique n’est sélectionnée, le système utilise le centre de données le plus proche, en fonction du temps de latence.
3. Analyse sandbox
Le premier outil d’analyse utilisé est l’apprentissage automatique. Pour ce faire, Intelix des SophosLabs utilise plusieurs modèles pour évaluer les caractéristiques et la réputation globale du fichier. Le fichier est comparé à des millions de fichiers sûrs et malveillants connus afin de déterminer son caractère potentiellement malveillant.
Après cette évaluation, le fichier passe par une analyse sandbox qui utilise à la fois des techniques dynamiques et statiques. Les accès aux fichiers, les manipulations de la mémoire et du registre ainsi que l’activité du réseau sont ainsi surveillés. En outre, le Deep Learning est utilisé pour la détection des exploits et le CryptoGuard pour identifier le comportement des ransomwares. Cette étape protège le réseau contre les menaces du jour zéro telles que les ransomwares et les attaques ciblées.
Pendant l’exécution dans le bac à sable, Sophos surveille en permanence plusieurs paramètres afin de détecter tout comportement potentiellement malveillant. Il s’agit notamment de
- Activités de réseau inattendues
- Manipulation du système d’exploitation
- Tentatives d’accès à des données sensibles
- Auto-réplication ou autres comportements typiques des virus
Ce processus d’analyse approfondi peut prendre quelques minutes, c’est pourquoi il peut arriver que le téléchargement soit retardé jusqu’à 15 minutes, le temps que l’analyse soit terminée.
En plus de l’analyse technique du fichier, les SophosLabs Intelix effectuent une analyse de réputation. Cette analyse évalue à quel point le fichier est répandu et comment il a été traité par d’autres solutions de sécurité dans le passé. Cela permet de mieux évaluer le risque.
Blocage ou déblocage : en fonction des résultats de l’analyse du sandboxing, le fichier est soit débloqué soit bloqué. Si le fichier est considéré comme sûr, l’utilisateur peut le télécharger immédiatement. Dans le cas contraire, il est bloqué et l’administrateur est informé de la menace.
4. Rédaction d’un rapport
Une fois l’analyse terminée, un rapport détaillé est rédigé, résumant les résultats des différentes étapes de l’analyse. Ce rapport contient des informations telles que
- Détails du téléchargement : origine du fichier, heure du téléchargement et utilisateurs qui ont téléchargé le fichier.
- Résumé de l’analyse : un aperçu du résultat global de l’analyse Zero-Day Protection, la classification du fichier (par exemple propre, suspect, malveillant) et une brève description des menaces détectées.
- Résultats de l’analyse d’apprentissage automatique : détails de l’analyse des propriétés du fichier, de la structure et des combinaisons de caractéristiques.
- Résultats de détonation de la Zero-Day Protection : informations sur l’activité que le fichier exécute, y compris des captures d’écran et des détails sur les processus utilisés et l’activité du registre.
- Analyse complète du fichier : détails complets sur le fichier, y compris les signatures, les certificats utilisés, les ressources appelées et les fonctions d’importation/exportation.
- Rapport VirusTotal : nombre d’entrées dans la base de données VirusTotal et combien de produits de détection de logiciels malveillants ont identifié le fichier comme une menace.
Les administrateurs peuvent à tout moment consulter les rapports détaillés de l’analyse Zero-Day Protection pour mieux comprendre le risque. Il est également possible de libérer des fichiers ou des messages électroniques qui sont encore en cours d’analyse ou pour lesquels une erreur s’est produite. Il convient toutefois d’être prudent, car le partage avant la fin de l’analyse comporte le risque de télécharger un contenu malveillant.
Tester des fichiers individuels
Dans l’article de blog SophosLabs Intelix – L’outil de détection des cybermenaces, nous expliquons comment l’outil en ligne Sophos Intelix peut également contrôler des fichiers individuels.
FAQ
Qu’est-ce que Sophos Zero-Day Protection ?
Sophos Zero-Day Protection est un module de sécurité pour Sophos Firewall, conçu pour détecter et bloquer les nouvelles menaces encore inconnues.
Il utilise des technologies avancées telles que l’apprentissage automatique, le sandboxing et la recherche sur les menaces pour analyser et évaluer les fichiers suspects et les pièces jointes des courriels.
Comment fonctionne la Zero-Day Protection ?
Dès qu’un fichier suspect ou une pièce jointe à un courriel pénètre dans le réseau, il est envoyé aux SophosLabs Intelix™ pour analyse.
Là, le fichier est soumis à une analyse en plusieurs étapes qui comprend l’apprentissage automatique et le sandboxing.
Le système vérifie si le fichier a un comportement suspect et le bloque s’il est considéré comme dangereux.
Quels types de fichiers sont analysés par la Zero-Day Protection ?
Zero-Day Protection analyse principalement les fichiers exécutables, les scripts, les documents et les archives. Il s’agit de formats tels que .exe, .dll, .pdf, .docx, .xlsx, .zip, .rar et bien d’autres. Seuls les fichiers de moins de 10 Mo sont analysés.
Comment l’analyse des fichiers suspects est-elle effectuée ?
L’analyse se déroule en plusieurs étapes : Tout d’abord, le fichier est analysé par le moteur antivirus.
Si le fichier ne contient aucune menace connue, mais qu’il semble tout de même suspect, il est envoyé dans une sandbox pour une analyse plus approfondie, où il est exécuté dans un environnement isolé et surveillé pour détecter tout comportement malveillant.
Combien de temps dure l’analyse par Zero-Day Protection ?
L’analyse prend généralement environ cinq minutes, mais peut prendre jusqu’à dix minutes en fonction de la taille du fichier et de la complexité de l’analyse.
Pour les fichiers qui ont déjà été analysés précédemment, le temps d’analyse peut être inférieur à une seconde en raison de la mise en cache.
Mes données sont-elles traitées en toute sécurité ?
Tous les fichiers envoyés aux SophosLabs Intelix™ pour analyse sont transmis via une connexion SSL cryptée et stockés sur les serveurs sous forme cryptée asymétrique.
Les fichiers ne sont décryptés et traités que pendant la durée de l’analyse.
Dans quels centres de données mes fichiers sont-ils analysés ?
Vous pouvez choisir le centre de données dans lequel vos fichiers seront analysés.
Les régions disponibles incluent l’Asie-Pacifique (Sydney, Tokyo), l’Europe (Francfort, Londres) et les États-Unis.
Si vous ne sélectionnez pas de région spécifique, le système utilisera le centre de données le plus proche en fonction du temps de latence.
Quelles sont les mesures de protection offertes par la Zero-Day Protection contre les ransomwares ?
Zero-Day Protection comprend des fonctions de détection des ransomwares, y compris des analyses dynamiques qui surveillent en temps réel les comportements suspects tels que le chiffrement des fichiers.
Le système utilise également CryptoGuard pour détecter et stopper les attaques de ransomware.
Est-il possible de voir quels fichiers ont été analysés par la Zero-Day Protection ?
Oui, Sophos Firewall dispose d’une vue d’ensemble spéciale qui affiche tous les fichiers et pièces jointes aux courriels qui ont été analysés par Zero-Day Protection.
Vous pouvez y consulter les rapports qui contiennent les détails de l’analyse et les évaluations de sécurité correspondantes.