Sanboxing : Barracuda Networks mise sur l’émulation

Barracuda Networks vient de présenter la version 6.0 de son logiciel de pare-feu de nouvelle génération (NGFW). Celle-ci embarque un moteur de sandboxing basé sur l’émulation de système plutôt que la virtualisation. C’est une première pour Barracuda Networks dont les précédentes versions du logiciel de pare-feu n’embarquaient par de détection des menaces avancées.

Dans sa documentation, l’équipementier explique vouloir ainsi offrir une protection contre les logiciels malveillants avancés, les exploits de type zero-day, et les attaques ciblées « qui ne sont pas détectés par l’anti-virus ou par l’IPS. » Le service transfert le code suspect dans un service en ligne déporté qui les isole dans un environnement système complet émulé afin de les y exécuter et leur attribuer un niveau de risque. Les règles locales déterminent alors comment traiter les fichiers concernés, avec notamment notification à l’administrateur ou blocage par mise en liste noire. Ce dispositif peut être utilisé sur les trafics HTTP et HTTPS en combinaison avec le service de pare-feu ou de proxy Web. Un rapport détaillé peut être demandé pour chaque fichier.

En l’état, le service se concentre sur les fichiers Office, les exécutables Windows, les documents PDF, les fichiers d’installation APK pour Android, ainsi que les archives ZIP et RAR. Il est conçu comme non bloquant par défaut : si le fichier inspecté passe avec succès le filtre anti-virus et la base de données de hash de logiciels malveillants, il est d’abord livré à l’utilisateur final avant d’être analysé par le service Cloud de détection des logiciels malveillants. Ses communications sont ultérieurement bloquées par le pare-feu s’il s’avère malveillant.

Barracuda Networks n’est pas le seul à préférer l’émulation de système à la virtualisation pour le sandboxing de fichiers suspects, telle que la pratique notamment FireEye avec un hyperviseur taillé sur mesure à cette fin. La start-up Lastline, notamment, mise sur l’émulation, l’estimant plus efficace, en particulier l’émulation de système complet. Le point crucial était là la configuration de l’environnement émulé.

Outre l’introduction d’un service de détection des menaces avancées, Barracuda Networks a doté la version 6.0 de son logiciel de pare-feu de nouvelle génération de capacités améliorées d’intégration des terminaux mobiles. Le logiciel est immédiatement disponible gratuitement pour les clients de l’équipementier. Le service de détection des menaces avancées est proposé à l’abonnement à partir du modèle F200 pour 399 $ par an.