Sandboxing : pourquoi Barracuda a retenu l’émulation
Virtualisation et émulation s’opposent lorsqu’il s’agit de placer des codes suspects en bac à sable. Stephen Pao, de Barracuda Networks, explique pourquoi l’équipementier a opté pour la seconde technologie.
Barracuda Networks fait partie des équipementiers qui ont construit leur offre de pare-feu de nouvelle génération à coup de rachats et de partenariats. Dans un entretien organisé à l’occasion d’un voyage de presse à Boston, Stephen Pao, directeur général de l’activité sécurité de Barracuda Networks, revient sur ce choix et sur celui de l’émulation pour l’analyse dynamique, en bac à sable (ou sandboxing) des composants logiciels suspects.
« Les pare-feu de nouvelle génération (NGFW) constituent une évolution majeure de la protection des infrastructures en réseau par rapport aux approches précédentes. Il n’est ainsi plus question de protéger en filtrant simplement par adresse IP ou par protocole, par exemple. » Et cela répond à un besoin bien spécifique : « les professionnels de l’IT n’ont pas demandé aux utilisateurs de recourir à Dropbox. Ce genre de choses survient naturellement. La combinaison du BYOD et de ce type de Shadow IT a créé un environnement dans lequel il faut passer à autre chose. »
Pour Barracuda, la transformation a débuté par le rachat de Phion en 2009, afin de commencer à construire une offre que Stephen Pao présente comme son segment à la plus forte croissance. Est ensuite venue l’acquisition de Purewire, avec laquelle l’équipementier a commencé à développer son offre de sandboxing. Un travail réalisé dans ses laboratoires mais qui n’a pas véritablement conduit à un produit : « cela ne pouvait pas réellement fonctionner sans intervention humaine. » Et puis, « fondamentalement, il s’agissait d’une approche par des signatures, pas celle d’un exécutable ou d’un fichier, mais celle de son comportement. »
Voir plus que ne le permet la virtualisation
Et si les équipes de Barracuda continuent de travailler sur cette approche, l’équipementier a choisi de la renforcer avec une technologie tierce : « nous avons évalué tous les spécialistes sur sandboxing sur le marché »... Pour finalement choisir Lastline et sa technologie d’émulation. «Nous avons cherché à savoir quels types de moteurs de sandboxing produisent les meilleurs résultats. Et il y a plusieurs domaines où l’émulation gagne. » Et de citer en particulier la gestion des comportements adaptatifs des logiciels malveillants : « de nombreux malwares détectent désormais s’ils fonctionnent dans un environnement virtuel. Et si c’est le cas, ils se comporteront ‘gentiment’. » En émulant un processeur, « il est possible de regarder les instructions spécifiquement utilisées par le code » et voir, en particulier, s’il cherche à détecter un environnement virtuel ou encore s’il essaie de… tuer le temps pour passer au travers des mailles du filet qui lui est tendu. Dans le premier cas, pour Stephen Pao, « FireEye passe à côté de pas mal de choses. » Des chiffres ? Non, car les tests ont été conduits sous accord de confidentialité, mais les écarts seraient « significatifs. » Dans quelle mesure ? Plus de 10 % d’échec de détection, de 20 %, de 30 % ? « Vous vous approchez », concède Stephen Pao.
Mais la question du temps est également clé. Le directeur général de l’activité sécurité de Barracuda Networks explique ainsi qu’un code suspect passe en moyenne trois minutes et demi dans un bac à sable : « dans un environnement virtuel, il est possible d’accélérer l’horloge pour empêcher un logiciel malveillant d’attendre que soit passé ce délai. Mais il n’est pas possible de détecter un logiciel qui attend une date précise pour exécuter sa charge utile. L’émulation le permet en revanche car vous pouvez voir ce qui passe durant les états d’attente. »
Une menace impossible à évaluer précisément
Mais cela suffit-il pour autant ? Les spécialistes de la lutte contre les logiciels malveillants révèlent régulièrement l’existence d’opérations actives depuis de nombreuses années, près d’une décennie pour certaines. D’où la question de savoir si l’industrie de la sécurité commence à avoir une idée de l’ampleur de l’iceberg, dont elle ne voit que le sommet émergé. « C’est un vrai défi. Et cela a une traduction commerciale. Lorsque nous avons lancé notre Spyware Firewall, nous pensions pouvoir le vendre. Mais nous avons du changer son nom parce que… personne n’était conscient d’être infecté par des logiciels espions [spyware]… pour la seul raison qu’il s’agit de logiciels espions. Mais près de 100 % des clients auxquels nous l’avions alors présenté avaient des logiciels espions sur leur réseau. » Du coup, vendre un pare-feu de filtrage Web s’est avéré plus facile que vendre une protection anti-spyware. Mais évaluer l’ampleur de la menace est, pour Stephen Pao, impossible, comme « il est impossible de savoir combien de mots de passe sont vulnérables ou compromis à travers le monde. »