A tartalom hatástalanítása és rekonstrukciója (CDR) egy fejlett fenyegetésmegelőzési technológia, amelyet a szervezetek egyre gyakrabban használnak a zéró bizalom alapú biztonsági megközelítés részeként az ismert és ismeretlen fenyegetések elleni védelem érdekében.
Ahogy a rosszindulatú programok fejlődnek és a támadási technikák egyre összetettebbé válnak, a hagyományos megelőző ellenőrzések, mint a rosszindulatú programok elleni motorok és a homokozó dobozok nem elegendőek a fenyegetések megelőzésére, mielőtt túl késő lenne, mivel ezeket arra tervezték, hogy egy fájlban vagy egy fájl viselkedésében lévő anomáliát észleljenek.
Ha a szervezetek minden fájlt potenciális fenyegetésként kezelnek, és a puszta észlelés helyett a megelőzésre helyezik a hangsúlyt, javíthatják biztonsági helyzetüket. A Deep CDR™ technológiát azért fejlesztették ki, hogy kezelje azokat a zero-day kiberfenyegetéseket, amelyeket az új generációs kártevőirtó és dinamikus elemző megoldások nem észlelnek. A technológia továbbá minden fájlt rosszindulatúnak tekint, majd úgy dolgozza fel és állítja elő újra, hogy az új fájl használható, ugyanakkor ártalmatlan legyen.
OPSWAT2012-ben bevezetett MetaDefender CDR™ technológiáját világszerte széles körben alkalmazzák, különösen azok az ügyfelek, akik az Egyesült Államok Belbiztonsági Minisztériuma (US DHS) által „kritikus infrastruktúrának” minősített iparágakban működnek.
MetaDefender CDR™ technológia által semlegesített leggyakoribb támadási vektorok a következők:
1. Komplex fájlformátumok: A támadók gyakran kihasználják az olyan összetett funkciókat, mint a beágyazott objektumok, automatizálási makrók, hiperlinkek, szkriptek vagy más módszerek, amelyekkel rosszindulatú tartalmak végrehajtását indítják el. Az összetett fájlformátumok közé tartoznak például a Microsoft Office dokumentumok (pl. Word, Excel és PowerPoint), az Adobe PDF fájlok, az AutoDesk CAD fájlok és még sok más.
2. Alkalmazás sebezhetőségek: Az általánosan használt termelékenységi alkalmazásokban meglévő sebezhetőségek kihasználásával - függetlenül attól, hogy a formátumok összetettek vagy egyszerűek - a támadó puffer túlcsordulásos támadással felülírja az alkalmazás memóriáját, vagy megpróbálja beolvasni, hogy milyen típusú rosszindulatú kódot futtasson a cél operációs rendszeren. Példák a gyakran kihasználható alkalmazásokra: Adobe Reader, Microsoft Office stb.) A National Vulnerability Database szerint 2021. december 8-án 18 376 sebezhetőséget regisztráltak, ami meghaladja a 2020-as rekordot (18351).
Az elmúlt kilenc évben a Deep CDR™ Technology modulok telepítéseinek számában jelentős növekedést tapasztaltunk, ami miatt büszke vagyok mérnöki csapatunk eredményeire. Ugyanezen időszak alatt egyre több biztonsági szolgáltató lépett be a CDR-piacra olyan állításokkal, amelyek egyszerre zavarosak és megtévesztőek is lehetnek.
Az alábbiakban felsorolunk néhány irányadó kérdést, amelyek segítenek meghatározni, hogy melyik CDR-megoldás a legjobb az Ön szervezete számára.
Alapvető kérdések
1. Milyen archiválási formátumokat támogat a CDR? Az archívumok az elmúlt néhány évben egyre inkább elterjedtek, mint a többféle fájltípus egyetlen kötetben történő integrálásának és tárolásának módja. Kérje a CDR által támogatott archívumok listájának áttekintését, és ellenőrizze, hogy ellenőrizni tudja-e a kapcsolódó funkciókat, például a rekurzió szintjét (pl. ha egy PDF be van ágyazva egy PowerPoint-fájlba, a technológia képes-e elemezni és rekonstruálni mindkét fájlt?).
2. Hány fájltípus támogatott? Mivel több mint 5000 ismert fájltípus létezik, érdemes megkérdezni, hogy a CDR-szállító hány fájltípust támogat, és fájltípusonként megvizsgálni a bizonyítékokat, valamint összehasonlítani a fájltípusok listáját az Ön szervezetében használtakkal. Kapcsolódó információkat itt talál, és néhány példát a szanálási jelentésekre itt.
3. Megmarad-e a használhatóság? Amikor olyan fájlokkal foglalkozik, mint például a PowerPoint, amelyek animációs felépítéseket tartalmaznak, vagy az Excel, ahol szeretné megőrizni a meglévő makrófunkciókat, biztosítania kell, hogy az újjáépített fájl megőrizze ezeket a képességeket. Ennek tesztelésének egyik módja egy mintafájl feldolgozása az értékelési folyamat részeként.
4. Támogatja a CDR az átfogó konfigurációkat, hogy megfeleljen az Ön felhasználási esetének? A CDR eltávolítja a hiperhivatkozásokat egy adott fájltípus esetében? Megtartja vagy eltávolítja a beágyazott makrókat?
5. Létrehoz-e a CDR ellenőrzési nyomvonalat? Például a CDR rögzíti és naplózza-e, hogy mely objektumok kerültek eltávolításra, és mely objektumokat szanálták? Hogyan ellenőrizhető az archívum integritása?
6. Lehet-e különböző CDR-házirendeket telepíteni külön adatcsatornákhoz? Például a CDR lehetővé teszi-e, hogy a belső e-mailek esetében megtartja az Excel-makrót, míg a külső e-mailek esetében eltávolítja azt?
7. Milyen operációs rendszereket támogat a CDR? Milyen fájlok működnek az egyes operációs rendszereken? Ha az Ön szervezete Windows és Linux operációs rendszert is támogat, a gyártó mindkettőt tudja támogatni?
8. Mekkora a CDR teljesítménye fájltípusonként? A különböző fájltípusoknak eltérő teljesítményt kell nyújtaniuk. Telepítse a CDR technológiát, és futtasson néhány mintafájlt, hogy meggyőződjön arról, hogy a szállító teljesítménye megfelel a szervezet követelményeinek.
Részletes K+F kérdések
9. Mennyire biztonságos a tervezés? Alkalmaznak-e valamilyen biztonságos tervezési mintát? Hogyan védi a CDR-motort? Van-e bevezetve Secure SDLC (Software életciklus) folyamat? Kérje a CDR tervezési architektúra felülvizsgálatát és a tervezés megkérdőjelezését.
10. Fenntartható? Hány mérnök építi ezt a technológiát, mi a hátterük? Kérje a szervezeti diagramot.
Mi a mérnöki folyamat? Hogyan végzik a minőségbiztosítást? Kérje meg, hogy tekintsék át a mérnöki minőségbiztosítási eljárásaikat. Biztonságos az építési folyamat? Van-e megoldás a build-láncba ágyazott rosszindulatú szoftverek megakadályozására? Milyen biztonsági tanúsítással rendelkezik a szállító?
11. Hogyan tesztelik? Van-e harmadik fél általi validálás? (Egyes kormányok végeztek néhány tesztet, külső Pen-teszt); kérje az eredmények megtekintését. Mekkora a tesztelési adathalmaz? Kérjen valódi rosszindulatú programmintákat és nulladik napi támadásmintákat. Hogyan lehet biztos abban, hogy a használhatóság megmarad egy hatalmas adathalmaz mellett? Kérje a tesztadathalmazok kézi ellenőrzését. Tesztelik a legújabb fenyegetésekkel? Kérjen adathalmazt.
12. Mennyire könnyen integrálható az Ön jelenlegi termékével? REST API? Kérje a dokumentum áttekintését.
13. Aktívan javul a termék? Milyen gyakorisággal adják ki a terméket? Kérjen betekintést az elmúlt néhány hónap kiadásaiba.
14. Milyen gyorsan tudnak támogatni egy új fájltípust? Hívja ki őket valamivel, amit a szervezetében használ.
15. Hogyan néz ki a termék ütemtervük? Több mint 5000 fájlformátum létezik. Ön szerint a csapat ezek közül sokat vagy a szervezet számára legfontosabbakat tudja kezelni?
Jogi szempontból
16. Ha a technológia harmadik féltől származó könyvtárakat használ, ezek jogszerűen engedélyezettek? Kérjen betekintést a könyvtárak listájához tartozó EULA-kba vagy egyéb támogató dokumentumokba.
A CDR-technológia kiválasztása nem egy egyszerű "pipáld ki a dobozokat" feladat - ingyenes akadémiai modulunkban további képzéseket kínálunk.
Ha többet szeretne megtudni, töltse le ezt az útmutatót, amely áttekintést nyújt a tartalom hatástalanítási és rekonstrukciós (CDR) technológiáról, valamint arról, hogyan választhatja ki a legjobb CDR-megoldást, hogy megvédje vállalkozását és infrastruktúráját a felmerülő kiberbiztonsági fenyegetésektől.
