Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et bonnes pratiques de solutions de détection proactive de menaces avancées.
1. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin
Présentation du Projet de Fin d’Études
Pour l’Obtention du Diplôme d’Ingénieur d’État
en Télécommunications et Technologies de l’Information
Étude et benchmark de solutions Sandboxing
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et
bonnes pratiques de solutions de détection proactive de menaces avancées.
Réalisée par :
M. AOUAD Zakaria
Membres du jury :
M. BELMEKKI El Mostapha [Encadrant - INPT]
M. BATTAS Ahmed [Examinateur 1 - INPT]
M. BAINAAmine [Examinateur 2 - INPT]
M. AIT KADDOUR Azeddine [Parrain - CBI]
1/30
2. Analyse et conception
2
Contexte du projet
1
Étude technique de la solution
3
Benchmark des produits de la solution
4
Mise en place, déroulement et test
5
Conclusion et perspectives
6
Plan
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 2/30
3. Organisme d’accueil Présentation du projet
CBI
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
• Multinationale Marocaine
• Créée en 1970
• Existe dans 7 villes au Maroc
• 3 pays à échelle internationale
• Secteurs d’activités
• Organisation CBI
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 3/30
4. Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
Sécurité
informatique
Techniques
Organisationnels
Juridiques
Humains
Intégrité
Disponibilité
Confidentialité
Existant
Sandbox
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 4/30
5. Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
Problématiques
Naissance et développement des ‘menaces récentes’.
Accroissement du taux de risque d'être attaqué.
Contrainte du temps de traitement des fichiers.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 5/30
6. Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématique et objectifs Conduite du projet
Objectifs
Diminuer ,voire limiter, la vulnérabilité de pénétration des réseaux d’entreprise.
Éviter l’accès ainsi que les modifications des ressources et des biens sensibles sans autorisation.
Détecter les différentes ‘menaces récentes’ dans un délai exacte, prédéfini et surtout court.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 6/30
7. Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématique et objectifs Conduite du projet
Diagramme de Gantt
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 7/30
8. Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Théorie
PME
Communications intranet/internet des utilisateurs ?
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 8/30
9. Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Analyse des hypothèses
Simplification
d’administration du réseau
et distribution dynamique
de sa configuration
Résolution bidirectionnelle
entre l’adresse IP et le nom
de domaine
Assurer la messagerie
sécurisée
Création d’environnement
de partage et de
téléchargement des
fichiers
Serveur DHCP Serveur DNS Serveur Mail Serveur de partage
Stockage des scripts
backend et frontend des
sites-web
Serveur Web Backend
Gestion des requêtes web
client/serveur
Serveur Proxy
Stockage des biens, des
données, des fichiers et des
informations vulnérables
Serveur Base de données
Gestion d’accès à ces
différentes biens
Serveur d’Authentification
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 9/30
10. Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Architecture réseau local sécurisée
Load balancer
distribuer des demandes
en fonction de données
spécifiques à
l'application
augmenter la capacité
(utilisateurs simultanés)
et la fiabilité des
applications.
répartissent les
demandes en fonction
des données contenues
dans les protocoles de
couche d'application
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 10/30
IPS
Mécanisme de
prévention de toute
activité suspecte
Réagissant en temps
réel en stoppant le
trafic suspect en
bloquant le port
1er niveau du firewalling
2ème niveau du firewalling
Routeurs
Switch
11. Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Protection contre les menaces prédéfinies.
Constat
Protection contre les intrusions.
Protection contre les attaques de signatures déterminées.
Vulnérabilité à 30%.
Résultats
Les attaques
Zero Days
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 11/30
12. Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Attaques Zero Days
Une attaque ZeroDays est une menace qui exploite une vulnérabilité inconnue.
Toute menace qui n’a jamais été vue ou traitée.
Les menaces Zero Days ne sont pas détectées par les antivirus.
Chaque année, plus que 12 exploits Zero Days se publient.
Microsoft et Google offrent des récompenses financières pouvant aller jusqu’à 100 000 dollars.
- Heartbleed
- Aurora
- Le piratage de RSA
- Stuxnet de l'Agence Internationale de l'Énergie Atomique (AIEA)
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 12/30
14. Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Définition de la technologie
Flexibilité Sandbox
Un environnement isolé pour exécuter un programme qui n’aurait pas été testé, certifié ou dont on ignore
la provenance.
Elle analyse et trie les fichiers entrants avant qu'ils n'interagissent avec les postes de travail ou serveurs
de l'entreprise.
Le principe du Sandboxing consiste à décompresser ces fichiers afin de vérifier leur intégrité et de
détecter d’éventuels virus et malwares en recréant l’environnement utilisateur.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 14/30
15. Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Principe de fonctionnement
Flexibilité Sandbox
Nouveau
fichier
Lancement
Test de
comportement
Décision
finale
Fin du test
Exécution dans un environnement
virtualisé qui est totalement
déconnecté des serveurs internes
de l'entreprise.
La Sandbox «lance» le fichier suspect et regarde ce qu'il se passe.
Si son comportement est tout à
fait normal, il est noté comme
sain. Sinon, il sera identifié
comme une vraie menace.
La menace est totalement
maîtrisée avant qu’elle ne
réalise ses dégâts.
- Analyse de la réputation
- Emulation en temps réel
- Décompression
- Machine learning
La Sandbox «lance» et essaye de decortiquer le malware.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 15/30
16. Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Rapport d’affinité entre la Sandbox et l’antivirus
Flexibilité Sandbox
Une Sandbox voit ce que les antivirus ne voient pas.
le Sandboxing complète le rôle de l'antivirus, car les deux outils fonctionnent très différemment.
On estime aujourd'hui qu'un antivirus détecte 60% des menaces.
En y ajoutant une fonction de Sandboxing, ce taux repasse alors à plus de 95%.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 16/30
17. Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Avantages
Flexibilité Sandbox
Grâce à la baisse des coûts régulière de la virtualisation et la croissance du cloud, les technologies utilisées
par les Sandboxes sont plus facilement accessibles et mutualisables.
Traitement dans quelques minutes et reporting prêt à diffuser et à consulter.
Multi Choix de déploiement:
Cloud publique
Cloud privé
Déploiement locale
Déploiement hybride
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 17/30
18. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Description des produits
• FSA-500F
• FSA-1000F
• FSA-2000
• FSA-3000
• ATD 3000
• ATD 6000
• ATD 3100
• ATD 6100
• Wildfire 500
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 18/30
19. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
FortiSandbox
Base de données
Signatures antivirus extrêmes qui ont pu être manqué
P.J. URL
- Inspection
- Analyse avancée
GUI
Fichier téléchargé dans
l’environnement de test.
GUI
Soumission d’URL pour
l’identification des pages
web ainsi que leur
contenu
Analyse du
comportement
% à chaque
inspection
Total
Niveau du
risque
Faible moyen élevé
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 19/30
20. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Wildfire
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 20/30
NGFW PAN
Vérification de
l’autorisation de la
signature
Autorisé Non autorisé
Hachage
Calcule
Vérification BD
Présence
d’hachage
dans Wildfire
Pas de
Présence
d’hachage
Verdict
Pas de
Présence
d’hachage
Benign Grayware Phishing Malware
Vérification
de taille et
comparaison
Supérieur
Inférieur
Analyse
de
Wildfire
Verdict
Générer la
signature de
l’échantillon
21. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Analyse de l’échantillon
ATD
Détection des malwares
facilement identifiables
Décortiquer le comportement
de l’échantillon
- Signatures des virus
- Analyse de la réputation
- Émulation en temps réel
Détection des malwares
furtives et avancées
- Analyse statique approfondie
- Décompression
- Machine Learning
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 21/30
Sévérité
-6 -2 -1 0 1 2 3 4 5
22. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Paramètres du benchmark technique
Paramètres
De
jugement
OS
supportés
Mode
d’existence
Protocoles
supportés
Fichiers
supportés
Durée de
traitement
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 22/30
23. Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Prix des solutions Sandboxing
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 23/30
24. Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Préparation du laboratoire du test
Outils utilisés :
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 24/30
25. Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Étapes majeures de la configuration
Configuration réseau :
Définir les zones et les interfaces.
Créer et définir les profils de management.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 25/30
Wildfire
Configuration Wildfire :
Définir la taille maximale/extensions.
Affecter le lien du cloud public/adresse du serveur du cloud privée.
26. Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Étapes majeures de la configuration
FortiSandbox
Configuration réseau de FortiSandbox et
FortiGate.
Configuration de FortiGate comme
passerelle pour FortiSandbox.
Création d’un compte valide pour la
réception des alertes.
Activation de Sandboxing au niveau de
FortiGate et tester les connexions.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 26/30
27. Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Méthodologies du test
L’utilisation de la console de Metasploit pour exploiter les failles sur le système d’exploitation.
L’utilisation du Python pour créer un script d’un fichier infecté.
L’utilisation du langage Java pour préparer un fichier de changement d’hachage.
L’utilisation des fichiers prédéfinis de test publiés par les vendeurs des produits Sandbox.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 27/30
Msfvenom
28. Conclusion
5 Conclusion et perspectives
1 2 3 4 6
perspectives
Récapitulatif
Proposition d’une architecture d’un réseau local sécurisé.
Étude technique de la technologie Sandbox.
Étude explicite des solutions Sandboxing.
Déploiement et configuration des différentes solutions.
Un benchmark technique et commerciale.
Résultats du benchmark
Principes
de la
sécurité
Capital
Largeur
Métiers
Les
biens
Flux
des
données
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 28/30
29. Conclusion
5 Conclusion et perspectives
1 2 3 4 6
perspectives
Future visions
Validation des tests.
Développement d’un fichier infecté.
Amélioration d’une solution Sandbox OpenSource.
Développement d’une solution Sandbox from scratch.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 29/30
31. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin
Présentation du Projet de Fin d’Études
Pour l’Obtention du Diplôme d’Ingénieur d’État
en Télécommunications et Technologies de l’Information
Étude et benchmark de solutions Sandboxing
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et
bonnes pratiques de solutions de détection proactive de menaces avancées.
Réalisée par :
M. AOUAD Zakaria
Membres du jury :
M. BELMEKKI El Mostapha [Encadrant - INPT]
M. BATTAS Ahmed [Examinateur 1 - INPT]
M. BAINAAmine [Examinateur 2 - INPT]
M. AIT KADDOUR Azeddine [Parrain - CBI]
1/30
Notes de l'éditeur
Mon projet s’integer dans le domaine de la SI, volet technique qui s’articule sur CDI les autres selon le cas et le besoin..
Traditionnelement l’Utilisateur est proteger par…. Apres l’apparition d’un type d’attaque qu’on appelera pour l’instant …. L’Utilisateur est devenu vulnerable a ce type d’attauqe, et c’est pour ca on a recout a la technologie Sandbox qu’on explicitera par la suite.
Pour bien entamner le sujet on a suivi un planning que je vous le presente sous forme d’un diagramme de gantt .
Tout d’abord, on a commence par une etude generaliste de quelques equipements de la securite dans le but de la propostion d’architecture. Et puis on a switcher vers l’etude du comportement de la technologie Sandbox et puis on a commencer l’etude de quelques solutions Sandbox pour aboutir a un resultat par la suite via un benchmark. L’etape d’installation, configuration et test vient en dernier lieu pour enricher les etudes deja etablie.
Jusqu’a mtn on est protégé de …… mais on est tjrs vulnerable aux attaques qui s’appelles les attaques Zero days
En effet, il ne sont pas detectees prq (cause: changement de hachage => changement de signature => signature non détectable par la BD des antivirus, le polymorphisme)
De nombreuses organisations offrent des primes à ceux qui découvrent des vulnérabilités zero-day dans leurs logiciels…. , pour les vulnérabilités qui leur sont directement signalées.
attaques zero-day renommées : - openSSL - victime Google apres qu’elle a quite la chine (problèmes diplomatiques) – grande companie de la cybersecurity
Losque le reseau d’entreprise recoit un fichier et que le pare-feu n’arrive pas a l’identifier, il l’envoie a la Sandbox
Qq attaques qui sont programmes a donner affet apres un bout de temps
La sandbox est une tech tres flexible surtout grace a la baisse des couts….
Avant de commencer, rappel sur la def benchmark
Dans un premier temps, on a essaye la method msfvenom qui necessite comme parameter l’@ IP et le port et le listener => copie du fichier chez le victim selon l’extension, des qu’il l’ouvre un reverse tcp se lance (firewall interdit les session ssl tcp telnet direct depuis l’exterieur)
- Autres parametres qui vont affecter le choix (pas de cahiers de charges)