A kiberfenyegetések folyamatos fejlődésével a támadók új módszereket találnak arra, hogy a nem hagyományos fájltípusok, a beágyazott rosszindulatú tartalom és az újszerű támadási vektorok révén elkerüljék a felderítést. OPSWATlegújabb biztonsági fejlesztései a fenyegetések észlelését a következő szintre emelik, és hatékony eszközöket biztosítanak a szervezetek számára a fenyegetések pontosabb elemzéséhez, osztályozásához és semlegesítéséhez. Az egyedi fájltípus-érzékeléstől a PCAP-ok (hálózati csomagfelvételek) mélyreható vizsgálatáig ezek a fejlesztések biztosítják, hogy a biztonsági csapatok a felmerülő kockázatok előtt járjanak.
Fájltípus-érzékelés
Egyéni szabályok meghatározása
A szervezetek gyakran találkoznak olyan egyedi vagy szabadalmaztatott formátumú fájlokkal, amelyeket a szabványos eszközök nem tudnak azonnal felismerni. A gyártó által biztosított javításokra való várakozás megakaszthatja a munkafolyamatokat, és a csapatok nem tudják, hogy blokkolják-e ezeket a fájlokat (kockáztatva a fennakadást) vagy engedélyezzék őket (kockáztatva a kitettséget).
A Fájltípus-érzékelő motor ezt egyéni szabályalapú fájltípus-érzékeléssel oldja meg, lehetővé téve a szervezetek számára, hogy saját osztályozási logikát határozzanak meg a fel nem ismert fájlokra vonatkozóan.
- Definiáljon saját kritériumokat (pl. fejlécek, kiterjesztések vagy bájtminták) a nem támogatott formátumok osztályozásához.
- Azonnal cselekedjen - nem kell várnia a frissítésekre.
- A biztonság és a termelékenység egyensúlya a szabályok szervezetének egyedi fájlkezelési irányelveihez való igazításával.
Ez visszaadja az irányítást az Ön kezébe, biztosítva, hogy még a hiányos vagy új fájltípusok is összhangban legyenek a munkafolyamatokkal.
Deep CDR™
Adja meg az "intézkedés okát"
A modern dokumentumok több mint egyszerű szöveg és kép - metaadatokat, beágyazott objektumokat és akár rejtett szkripteket is tartalmaznak, amelyek támadási vektorok lehetnek. Míg a makrókat széles körben kockázatosnak ismerik el, az olyan finomabb fenyegetések, mint a dokumentumtulajdonságok, a sablonhivatkozások vagy a régebbi Office-fájlokba ágyazott QR-kódok gyakran elkerülik a vizsgálatot.
Deep CDR mostantól részletes "Reason for Action" magyarázatot ad, amely segít a biztonsági csapatoknak megérteni, hogy egyes elemeket miért szanáltak. Ez az átláthatóság kulcsfontosságú a megfelelőség, a törvényszéki elemzés és a felhasználói bizalom szempontjából.
ASCII-alapú QR-kódok felismerése
A fenyegető szereplők folyamatosan újítanak, hogy elkerüljék a felderítést. Az egyik új taktika a rosszindulatú QR-kódok ASCII formátumba történő beágyazása. Ezeket a QR-kódokat beolvasva adathalász webhelyekre vagy rosszindulatú letöltésekhez vezethetnek.
Deep CDR mostantól felismeri és semlegesíti az ASCII-kódolású QR-kódokat, és így még azelőtt enyhíti ezt az újszerű támadási vektort, hogy kihasználható lenne.
Base64-kódolt JSON adatok rekurzív szanálása
Egy másik fontos fejlesztés a Base64-kódolt JSON-adatok mélyreható vizsgálata. A támadók egyre gyakrabban ágyaznak rosszindulatú hasznos terheket kódolt karakterláncokba az API vagy konfigurációs fájlokban.
Deep CDR mostantól rekurzív szanálási funkciót tartalmaz a Base64-kódolt JSON-tartalomhoz, biztosítva, hogy:
- A Base64-kódolt adatok dekódolása megtörténik.
- A kinyert tartalom fertőtlenítve van.
- A szanált adatokat újra Base64-ben kódoljuk, és újra beillesztjük a JSON struktúrába.
Ez a folyamat biztosítja, hogy a strukturált adatfájlokba nem maradnak beágyazott fenyegetések.
Archívum-kivonás
A PCAP-fájlok kivonása és vizsgálata
A hálózati csomagfelvételek (PCAP-fájlok) aranybányát jelentenek a törvényszéki nyomozók számára, de sok biztonsági megoldás számára vakfoltot jelentenek. A hagyományos eszközök gyakran átláthatatlan tárolóként kezelik a PCAP fájlokat, és figyelmen kívül hagyják a bennük lévő HTTP, FTP vagy IMAP forgalmat. Ez a figyelmetlenség lehetővé teszi a támadók számára, hogy a látszólag jóindulatú hálózati naplókon keresztül adatokat szivárogtassanak ki vagy rosszindulatú programokat juttassanak célba.
Az Archive Engine mostantól a PCAP-fájlokon belüli összes csomagot kivonja és megvizsgálja, ugyanazt a szigorú elemzést alkalmazva, mint az önálló fájlok esetében. A hálózati munkamenetek rekonstruálásával és a kinyert hasznos terhelések vizsgálatával a biztonsági csapatok felismerhetik:
- Malware letöltések
- Adatszivárgási kísérletek
- Parancsnoki és ellenőrző kommunikáció
Rugalmas konfiguráció lehetővé tétele munkafolyamat-integrációval
Korábban számos globális konfigurációs lehetőség modulszinten volt korlátozva. Ezzel a frissítéssel a legfontosabb konfigurációk a munkafolyamatokba kerültek, lehetővé téve:
- Nagyobb rugalmasság a biztonsági irányelvek meghatározásában.
- Könnyebb testreszabhatóság a szervezeti igények alapján.
- Nagyobb hatékonyság a nagyszabású biztonsági telepítések kezelésében.
Frissítések az Ön igényeinek megfelelően
A Deep CDR, a File Type Verification és az Archive Extraction motorok legújabb frissítései közvetlen irányítást biztosítanak a biztonsági csapatok számára a fájlok, dokumentumok és hálózati adatok elemzése felett, így a döntések a kontextusban, nem pedig a találgatásokban gyökereznek. Ha többet szeretne megtudni vagy megnézni ezeket a funkciókat működés közben, lépjen kapcsolatba OPSWAT még ma.
