A tartalom hatástalanítása és rekonstrukciója (CDR) egy fejlett fenyegetésmegelőzési technológia, amelyet a szervezetek egyre gyakrabban használnak a zéró bizalom alapú biztonsági megközelítés részeként az ismert és ismeretlen fenyegetések elleni védelem érdekében.
Ahogy a rosszindulatú programok fejlődnek és a támadási technikák egyre összetettebbé válnak, a hagyományos megelőző ellenőrzések, mint a rosszindulatú programok elleni motorok és a homokozó dobozok nem elegendőek a fenyegetések megelőzésére, mielőtt túl késő lenne, mivel ezeket arra tervezték, hogy egy fájlban vagy egy fájl viselkedésében lévő anomáliát észleljenek.
Azzal a gondolkodásmóddal, hogy minden fájl potenciális fenyegetést jelent, és a szervezetek a megelőzésre, nem pedig a felderítésre összpontosítva javíthatják biztonsági helyzetüket. A Deep CDR technológiát a nulladik napi kiberfenyegetések kezelésére fejlesztették ki, amelyeket a következő generációs rosszindulatú programok elleni és dinamikus elemző megoldások nem észlelnek. Emellett feltételezi, hogy minden fájl rosszindulatú, és úgy nyeli el, majd regenerálja azokat, hogy a regenerált fájl egyszerre használható és ártalmatlan.
A 2012-ben bevezetett OPSWAT' MetaDefender Deep CDR világszerte széles körben elterjedt, különösen az Egyesült Államok Belbiztonsági Minisztériuma (US DHS) által "kritikus infrastruktúrának" minősített iparágakban tevékenykedő ügyfelek körében.
A MetaDefender Deep CDR által semlegesített gyakori támadási vektorok közé tartoznak:
1. Komplex fájlformátumok: A támadók gyakran kihasználják az olyan összetett funkciókat, mint a beágyazott objektumok, automatizálási makrók, hiperlinkek, szkriptek vagy más módszerek, amelyekkel rosszindulatú tartalmak végrehajtását indítják el. Az összetett fájlformátumok közé tartoznak például a Microsoft Office dokumentumok (pl. Word, Excel és PowerPoint), az Adobe PDF fájlok, az AutoDesk CAD fájlok és még sok más.
2. Alkalmazás sebezhetőségek: Az általánosan használt termelékenységi alkalmazásokban meglévő sebezhetőségek kihasználásával - függetlenül attól, hogy a formátumok összetettek vagy egyszerűek - a támadó puffer túlcsordulásos támadással felülírja az alkalmazás memóriáját, vagy megpróbálja beolvasni, hogy milyen típusú rosszindulatú kódot futtasson a cél operációs rendszeren. Példák a gyakran kihasználható alkalmazásokra: Adobe Reader, Microsoft Office stb.) A National Vulnerability Database szerint 2021. december 8-án 18 376 sebezhetőséget regisztráltak, ami meghaladja a 2020-as rekordot (18351).
Az elmúlt kilenc év során jelentősen nőtt a Deep CDR modulok telepítésének száma, ami büszkeséggel tölt el a mérnöki csapatunk által elért eredményekre. Ugyanebben az időszakban egyre több biztonsági gyártó lépett be a CDR-piacra olyan állításokkal, amelyek zavaróak és álságosak is lehetnek.
Az alábbiakban felsorolunk néhány irányadó kérdést, amelyek segítenek meghatározni, hogy melyik CDR-megoldás a legjobb az Ön szervezete számára.
Alapvető kérdések
1. Milyen archiválási formátumokat támogat a CDR? Az archívumok az elmúlt néhány évben egyre inkább elterjedtek, mint a többféle fájltípus egyetlen kötetben történő integrálásának és tárolásának módja. Kérje a CDR által támogatott archívumok listájának áttekintését, és ellenőrizze, hogy ellenőrizni tudja-e a kapcsolódó funkciókat, például a rekurzió szintjét (pl. ha egy PDF be van ágyazva egy PowerPoint-fájlba, a technológia képes-e elemezni és rekonstruálni mindkét fájlt?).
2. Hány fájltípus támogatott? Mivel több mint 5000 ismert fájltípus létezik, érdemes megkérdezni, hogy a CDR-szállító hány fájltípust támogat, és fájltípusonként megvizsgálni a bizonyítékokat, valamint összehasonlítani a fájltípusok listáját az Ön szervezetében használtakkal. Kapcsolódó információkat itt talál, és néhány példát a szanálási jelentésekre itt.
3. Megmarad-e a használhatóság? Amikor olyan fájlokkal foglalkozik, mint például a PowerPoint, amelyek animációs felépítéseket tartalmaznak, vagy az Excel, ahol szeretné megőrizni a meglévő makrófunkciókat, biztosítania kell, hogy az újjáépített fájl megőrizze ezeket a képességeket. Ennek tesztelésének egyik módja egy mintafájl feldolgozása az értékelési folyamat részeként.
4. Támogatja a CDR az átfogó konfigurációkat, hogy megfeleljen az Ön felhasználási esetének? A CDR eltávolítja a hiperhivatkozásokat egy adott fájltípus esetében? Megtartja vagy eltávolítja a beágyazott makrókat?
5. Létrehoz-e a CDR ellenőrzési nyomvonalat? Például a CDR rögzíti és naplózza-e, hogy mely objektumok kerültek eltávolításra, és mely objektumokat szanálták? Hogyan ellenőrizhető az archívum integritása?
6. Lehet-e különböző CDR-házirendeket telepíteni külön adatcsatornákhoz? Például a CDR lehetővé teszi-e, hogy a belső e-mailek esetében megtartja az Excel-makrót, míg a külső e-mailek esetében eltávolítja azt?
7. Milyen operációs rendszereket támogat a CDR? Milyen fájlok működnek az egyes operációs rendszereken? Ha az Ön szervezete Windows és Linux operációs rendszert is támogat, a gyártó mindkettőt tudja támogatni?
8. Mekkora a CDR teljesítménye fájltípusonként? A különböző fájltípusoknak eltérő teljesítményt kell nyújtaniuk. Telepítse a CDR technológiát, és futtasson néhány mintafájlt, hogy meggyőződjön arról, hogy a szállító teljesítménye megfelel a szervezet követelményeinek.
Részletes K+F kérdések
9. Mennyire biztonságos a tervezés? Alkalmaznak-e valamilyen biztonságos tervezési mintát? Hogyan védi a CDR-motort? Van-e bevezetve Secure SDLC (Software életciklus) folyamat? Kérje a CDR tervezési architektúra felülvizsgálatát és a tervezés megkérdőjelezését.
10. Fenntartható? Hány mérnök építi ezt a technológiát, mi a hátterük? Kérje a szervezeti diagramot.
Mi a mérnöki folyamat? Hogyan végzik a minőségbiztosítást? Kérje meg, hogy tekintsék át a mérnöki minőségbiztosítási eljárásaikat. Biztonságos az építési folyamat? Van-e megoldás a build-láncba ágyazott rosszindulatú szoftverek megakadályozására? Milyen biztonsági tanúsítással rendelkezik a szállító?
11. Hogyan tesztelik? Van-e harmadik fél általi validálás? (Egyes kormányok végeztek néhány tesztet, külső Pen-teszt); kérje az eredmények megtekintését. Mekkora a tesztelési adathalmaz? Kérjen valódi rosszindulatú programmintákat és nulladik napi támadásmintákat. Hogyan lehet biztos abban, hogy a használhatóság megmarad egy hatalmas adathalmaz mellett? Kérje a tesztadathalmazok kézi ellenőrzését. Tesztelik a legújabb fenyegetésekkel? Kérjen adathalmazt.
12. Mennyire könnyen integrálható az Ön jelenlegi termékével? REST API? Kérje a dokumentum áttekintését.
13. Aktívan javul a termék? Milyen gyakorisággal adják ki a terméket? Kérjen betekintést az elmúlt néhány hónap kiadásaiba.
14. Milyen gyorsan tudnak támogatni egy új fájltípust? Hívja ki őket valamivel, amit a szervezetében használ.
15. Hogyan néz ki a termék ütemtervük? Több mint 5000 fájlformátum létezik. Ön szerint a csapat ezek közül sokat vagy a szervezet számára legfontosabbakat tudja kezelni?
Jogi szempontból
16. Ha a technológia harmadik féltől származó könyvtárakat használ, ezek jogszerűen engedélyezettek? Kérjen betekintést a könyvtárak listájához tartozó EULA-kba vagy egyéb támogató dokumentumokba.
A CDR-technológia kiválasztása nem egy egyszerű "pipáld ki a dobozokat" feladat - ingyenes akadémiai modulunkban további képzéseket kínálunk.
Ha többet szeretne megtudni, töltse le ezt az útmutatót, amely áttekintést nyújt a tartalom hatástalanítási és rekonstrukciós (CDR) technológiáról, valamint arról, hogyan választhatja ki a legjobb CDR-megoldást, hogy megvédje vállalkozását és infrastruktúráját a felmerülő kiberbiztonsági fenyegetésektől.
