A tartalom hatástalanítása és rekonstrukciója (CDR) egy fejlett fenyegetésmegelőzési technológia, amelyet a szervezetek egyre gyakrabban használnak a zéró bizalom alapú biztonsági megközelítés részeként az ismert és ismeretlen fenyegetések elleni védelem érdekében.
Ahogy a rosszindulatú programok fejlődnek és a támadási technikák egyre összetettebbé válnak, a hagyományos megelőző ellenőrzések, mint a rosszindulatú programok elleni motorok és a homokozó dobozok nem elegendőek a fenyegetések megelőzésére, mielőtt túl késő lenne, mivel ezeket arra tervezték, hogy egy fájlban vagy egy fájl viselkedésében lévő anomáliát észleljenek.
With the mindset that every file presents a potential threat and focusing on prevention rather than just detection, organizations can improve their security posture. Deep CDR™ Technology was built to address zero-day cyber threats that are not detected by next-generation anti-malware and dynamic analysis solutions. It also assumes all files are malicious, ingesting and then regenerating them in a manner in which the regenerated file is both usable and harmless.
Introduced in 2012, OPSWAT’s MetaDefender Deep CDR™ Technology is widely deployed globally, particularly by customers in industries deemed “critical infrastructure” by the United States Homeland Security (US DHS).
Common attack vectors neutralized by MetaDefender Deep CDR™ Technology include:
1. Komplex fájlformátumok: A támadók gyakran kihasználják az olyan összetett funkciókat, mint a beágyazott objektumok, automatizálási makrók, hiperlinkek, szkriptek vagy más módszerek, amelyekkel rosszindulatú tartalmak végrehajtását indítják el. Az összetett fájlformátumok közé tartoznak például a Microsoft Office dokumentumok (pl. Word, Excel és PowerPoint), az Adobe PDF fájlok, az AutoDesk CAD fájlok és még sok más.
2. Alkalmazás sebezhetőségek: Az általánosan használt termelékenységi alkalmazásokban meglévő sebezhetőségek kihasználásával - függetlenül attól, hogy a formátumok összetettek vagy egyszerűek - a támadó puffer túlcsordulásos támadással felülírja az alkalmazás memóriáját, vagy megpróbálja beolvasni, hogy milyen típusú rosszindulatú kódot futtasson a cél operációs rendszeren. Példák a gyakran kihasználható alkalmazásokra: Adobe Reader, Microsoft Office stb.) A National Vulnerability Database szerint 2021. december 8-án 18 376 sebezhetőséget regisztráltak, ami meghaladja a 2020-as rekordot (18351).
Over the last nine years, we witnessed a significant increase in the number of Deep CDR™ Technology module deployments which makes me proud of what our engineering team has accomplished. Over the same period, a growing number of security vendors have entered the CDR market with claims that can be both confusing and disingenuous.
Az alábbiakban felsorolunk néhány irányadó kérdést, amelyek segítenek meghatározni, hogy melyik CDR-megoldás a legjobb az Ön szervezete számára.
Alapvető kérdések
1. Milyen archiválási formátumokat támogat a CDR? Az archívumok az elmúlt néhány évben egyre inkább elterjedtek, mint a többféle fájltípus egyetlen kötetben történő integrálásának és tárolásának módja. Kérje a CDR által támogatott archívumok listájának áttekintését, és ellenőrizze, hogy ellenőrizni tudja-e a kapcsolódó funkciókat, például a rekurzió szintjét (pl. ha egy PDF be van ágyazva egy PowerPoint-fájlba, a technológia képes-e elemezni és rekonstruálni mindkét fájlt?).
2. Hány fájltípus támogatott? Mivel több mint 5000 ismert fájltípus létezik, érdemes megkérdezni, hogy a CDR-szállító hány fájltípust támogat, és fájltípusonként megvizsgálni a bizonyítékokat, valamint összehasonlítani a fájltípusok listáját az Ön szervezetében használtakkal. Kapcsolódó információkat itt talál, és néhány példát a szanálási jelentésekre itt.
3. Megmarad-e a használhatóság? Amikor olyan fájlokkal foglalkozik, mint például a PowerPoint, amelyek animációs felépítéseket tartalmaznak, vagy az Excel, ahol szeretné megőrizni a meglévő makrófunkciókat, biztosítania kell, hogy az újjáépített fájl megőrizze ezeket a képességeket. Ennek tesztelésének egyik módja egy mintafájl feldolgozása az értékelési folyamat részeként.
4. Támogatja a CDR az átfogó konfigurációkat, hogy megfeleljen az Ön felhasználási esetének? A CDR eltávolítja a hiperhivatkozásokat egy adott fájltípus esetében? Megtartja vagy eltávolítja a beágyazott makrókat?
5. Létrehoz-e a CDR ellenőrzési nyomvonalat? Például a CDR rögzíti és naplózza-e, hogy mely objektumok kerültek eltávolításra, és mely objektumokat szanálták? Hogyan ellenőrizhető az archívum integritása?
6. Lehet-e különböző CDR-házirendeket telepíteni külön adatcsatornákhoz? Például a CDR lehetővé teszi-e, hogy a belső e-mailek esetében megtartja az Excel-makrót, míg a külső e-mailek esetében eltávolítja azt?
7. Milyen operációs rendszereket támogat a CDR? Milyen fájlok működnek az egyes operációs rendszereken? Ha az Ön szervezete Windows és Linux operációs rendszert is támogat, a gyártó mindkettőt tudja támogatni?
8. Mekkora a CDR teljesítménye fájltípusonként? A különböző fájltípusoknak eltérő teljesítményt kell nyújtaniuk. Telepítse a CDR technológiát, és futtasson néhány mintafájlt, hogy meggyőződjön arról, hogy a szállító teljesítménye megfelel a szervezet követelményeinek.
Részletes K+F kérdések
9. Mennyire biztonságos a tervezés? Alkalmaznak-e valamilyen biztonságos tervezési mintát? Hogyan védi a CDR-motort? Van-e bevezetve Secure SDLC (Software életciklus) folyamat? Kérje a CDR tervezési architektúra felülvizsgálatát és a tervezés megkérdőjelezését.
10. Fenntartható? Hány mérnök építi ezt a technológiát, mi a hátterük? Kérje a szervezeti diagramot.
Mi a mérnöki folyamat? Hogyan végzik a minőségbiztosítást? Kérje meg, hogy tekintsék át a mérnöki minőségbiztosítási eljárásaikat. Biztonságos az építési folyamat? Van-e megoldás a build-láncba ágyazott rosszindulatú szoftverek megakadályozására? Milyen biztonsági tanúsítással rendelkezik a szállító?
11. Hogyan tesztelik? Van-e harmadik fél általi validálás? (Egyes kormányok végeztek néhány tesztet, külső Pen-teszt); kérje az eredmények megtekintését. Mekkora a tesztelési adathalmaz? Kérjen valódi rosszindulatú programmintákat és nulladik napi támadásmintákat. Hogyan lehet biztos abban, hogy a használhatóság megmarad egy hatalmas adathalmaz mellett? Kérje a tesztadathalmazok kézi ellenőrzését. Tesztelik a legújabb fenyegetésekkel? Kérjen adathalmazt.
12. Mennyire könnyen integrálható az Ön jelenlegi termékével? REST API? Kérje a dokumentum áttekintését.
13. Aktívan javul a termék? Milyen gyakorisággal adják ki a terméket? Kérjen betekintést az elmúlt néhány hónap kiadásaiba.
14. Milyen gyorsan tudnak támogatni egy új fájltípust? Hívja ki őket valamivel, amit a szervezetében használ.
15. Hogyan néz ki a termék ütemtervük? Több mint 5000 fájlformátum létezik. Ön szerint a csapat ezek közül sokat vagy a szervezet számára legfontosabbakat tudja kezelni?
Jogi szempontból
16. Ha a technológia harmadik féltől származó könyvtárakat használ, ezek jogszerűen engedélyezettek? Kérjen betekintést a könyvtárak listájához tartozó EULA-kba vagy egyéb támogató dokumentumokba.
A CDR-technológia kiválasztása nem egy egyszerű "pipáld ki a dobozokat" feladat - ingyenes akadémiai modulunkban további képzéseket kínálunk.
Ha többet szeretne megtudni, töltse le ezt az útmutatót, amely áttekintést nyújt a tartalom hatástalanítási és rekonstrukciós (CDR) technológiáról, valamint arról, hogyan választhatja ki a legjobb CDR-megoldást, hogy megvédje vállalkozását és infrastruktúráját a felmerülő kiberbiztonsági fenyegetésektől.
