Check Point Software met le sandboxing dans le nuage

Check Point Software a présenté fin août la version R77 du logiciel embarqué par ses appliances de sécurité. Une évolution « majeure », explique Thierry Karsenti, directeur technique Europe de Check Point. Au programme, en particulier, une nouvelle fonctionnalité clé : ThreatCloud Emulation. Ce service s’apparente avant tout à un mécanisme de mise en bac à sable - ou sandboxing - des éléments suspects. Des pièces jointes potentiellement malveillantes sont ainsi ouvertes dans une machine virtuelle avant d’accéder à leur destinataire, avec une analyse comportementale complète : « cela permet de détecter un certain nombre de menaces qui ne sont pas forcément connues, et que l’anti-virus ou l’IPS ne verraient pas. » Comme toujours avec le sandboxing se pose la question de l’environnement émulé : « plus l’environnement émulé est conforme à l’environnement réel, mieux c’est, bien sûr », reconnaît Thierry Karsenti, soulignant donc que « l’environnement émulé doit être le plus précis et le plus flexible possible. Nous savons émuler différents environnements Windows en parallèle ». Surtout, un client peut fournir les images de son propre environnement. Toutefois, le directeur technique de Check Point pour l’Europe relève que « dans le monde réel, disposer d’images personnalisées n’est pas toujours essentiel car le poste de travail n’est pas toujours parfaitement maîtrisé ». Dès lors, il lui apparaît « plus intéressant de disposer d’un vaste éventail d’environnements ».

Subtilité qui en intéressera plus d’un, le service de sandboxing de Check Point peut également être déployé en local, avec des images standards ou bien en utilisant ses images personnalisées. De quoi offrir une garantie de confidentialité « rassurante » pour certaines entreprises.

La sécurité en mode communautaire

L’approche Cloud de Check Point ne s’arrête pas là. Comme un nombre croissants d’acteurs du domaine, l’équipementier mise sur l’approche communautaire favorisée par le Cloud : « l’équipement va interroger la base de données dans le nuage, en temps réel, pour chercher l’information dont il a besoin. Il n’est plus limité par la taille de la base ni par les délais de mise à jour. » Surtout, « le consommateur peut être acteur en acceptant que soient remontées des données anonymisées sur les menaces. Nous sommes plus intelligents collectivement », relève Thierry Karsenti. Un approche collaborative d’autant plus importante à ses yeux que… « la menace se développe de manière collaborative ». De son côté, Check Point peut profiter de ces données pour analyser l’évolution des menaces, « étudier la dimension pandémique d’une attaque, sur quels secteurs verticaux elle se concentre, est-ce qu’elle touche certains pays plus que d’autres, etc. »

Et selon lui, « les clients jouent le jeu. Le produit permet de voir très clairement quelles sont les informations partagées et comment elles le sont ». Une visibilité rassurante qui, associée à la valeur apportée par cette approche communautaire, emporte rapidement l’adhésion des clients. Toutefois, la participation varie selon les secteurs d’activité : « le secteur bancaire nous demande d’accéder à des informations qui ne soient pertinentes que pour lui et que le service Cloud se transforme en plateforme d’échange à son échelle. Nous travaillons avec le secteur bancaire pour avancer dans ce sens. » En tout, Check Point peut compter sur 200 000 passerelles déployées à travers le monde, précise Thierry Karsenti, tout en reconnaissant ne pas pouvoir fournir de chiffre quant à la participation des clients.

Autre nouveauté significative de R77, des performances des équipements en progression de 30 à 50 % par rapport à la version précédente. « Toute la partie inspection du trafic a été revue pour renforcer les performances. Nous avons redéveloppé et optimisé l’intégralité du moteur d’inspection, fort d’un recul de 5 ans par rapport au moteur précédent », explique Thierry Karsenti.