Content Disarm and Reconstruction (CDR) este o tehnologie avansată de prevenire a amenințărilor, utilizată din ce în ce mai des de organizații ca parte a abordării de securitate de încredere zero pentru a se proteja împotriva amenințărilor cunoscute și necunoscute.
Pe măsură ce programele malware evoluează și tehnicile de atac devin mai complexe, controalele preventive tradiționale, cum ar fi motoarele anti-malware și sandboxurile, nu sunt suficiente pentru a preveni amenințările înainte de a fi prea târziu, deoarece acestea au fost create pentru a detecta o anomalie într-un fișier sau în comportamentul unui fișier.
Considerând că fiecare fișier reprezintă o amenințare potențială și concentrându-se mai degrabă pe prevenire decât doar pe detectare, organizațiile își pot îmbunătăți poziția de securitate. Tehnologia Deep CDR a fost creată pentru a aborda amenințările cibernetice de tip zero-day care nu sunt detectate de soluțiile anti-malware și de analiză dinamică de ultimă generație. De asemenea, presupune că toate fișierele sunt rău intenționate, ingerându-le și apoi regenerându-le într-un mod în care fișierul regenerat este atât utilizabil, cât și inofensiv.
Introdus în 2012, OPSWAT's MetaDefender Deep CDR este utilizat pe scară largă la nivel mondial, în special de către clienții din industriile considerate "infrastructură critică" de către Departamentul pentru Securitate Internă al Statelor Unite (US DHS).
Vectorii de atac comuni neutralizați de MetaDefender Deep CDR includ:
1. Formate complexe de fișiere: Atacatorii exploatează adesea funcționalități complexe, cum ar fi obiectele încorporate, macrourile de automatizare, hiperlinkurile, scripturile sau alte metode pentru a declanșa execuția de conținut malițios. Printre exemplele de formate de fișiere complexe se numără documentele Microsoft Office (de exemplu, Word, Excel și PowerPoint), fișierele Adobe PDF, fișierele AutoDesk CAD și multe altele.
2. Vulnerabilitățile aplicațiilor: Prin exploatarea vulnerabilităților existente în cadrul aplicațiilor de productivitate utilizate în mod obișnuit - indiferent dacă formatele sunt complexe sau simple - un atacator va suprascrie memoria unei aplicații prin intermediul unui atac de tip Buffer Overflow Attack sau va încerca să scaneze ce tip de cod malițios să ruleze pe sistemul de operare țintă. Printre exemplele de aplicații exploatate în mod obișnuit se numără Adobe Reader, Microsoft Office etc.) Potrivit National Vulnerability Database, la 8 decembrie 2021 au fost înregistrate 18 376 de vulnerabilități, ceea ce depășește recordul din 2020, de 18351.
În ultimii nouă ani, am asistat la o creștere semnificativă a numărului de implementări ale modulului Deep CDR , ceea ce mă face să fiu mândru de ceea ce a realizat echipa noastră de ingineri. În aceeași perioadă, un număr tot mai mare de furnizori de securitate au intrat pe piața CDR cu afirmații care pot fi atât confuze, cât și mincinoase.
Mai jos sunt enumerate câteva întrebări orientative care vă vor ajuta să determinați care este cea mai bună soluție CDR pentru organizația dumneavoastră.
Întrebări de bază
1. Ce tipuri de formate de arhivă acceptă CDR? Arhivele au devenit din ce în ce mai răspândite în ultimii doi ani ca modalitate de integrare și stocare a mai multor tipuri de fișiere într-un singur volum. Cereți să examinați lista arhivelor pe care CDR le suportă și verificați dacă puteți controla funcțiile aferente, cum ar fi nivelul de recursivitate (de exemplu, dacă un PDF este încorporat într-un fișier PowerPoint, poate tehnologia să analizeze și să reconstruiască ambele fișiere).
2. Câte tipuri de fișiere sunt acceptate? Deoarece există peste 5 000 de tipuri de fișiere cunoscute, ar trebui să întrebați câte tipuri de fișiere acceptă un furnizor CDR și să analizați dovezile pentru fiecare tip de fișier și să comparați lista de tipuri de fișiere cu cele pe care le utilizează organizația dumneavoastră. Puteți găsi informații conexe aici și câteva exemple de rapoarte de igienizare aici.
3. Se păstrează utilizabilitatea? Atunci când aveți de-a face cu fișiere precum PowerPoint, care includ animații sau Excel, unde doriți să păstrați funcțiile macro existente, trebuie să vă asigurați că fișierul reconstruit va păstra aceste capacități. O modalitate de a testa acest lucru este procesarea unui fișier eșantion ca parte a procesului de evaluare.
4. CDR suportă configurații complete pentru a se potrivi cu cazul dumneavoastră de utilizare? 5. CDR elimină hiperlinkurile pentru un anumit tip de fișier? Păstrează sau elimină macrocomenzile încorporate?
5. Creează CDR o pistă de audit? De exemplu, CDR înregistrează și consemnează ce obiecte au fost eliminate și ce obiecte au fost igienizate? Cum puteți verifica integritatea unei arhive?
6. Puteți implementa politici CDR diferite pentru canale de date separate? De exemplu, CDR vă va permite să păstrați o macro Excel pentru e-mailurile interne și să o eliminați pentru e-mailurile externe?
7. Ce sisteme de operare acceptă CDR? Ce fișiere funcționează pe fiecare sistem de operare? Dacă organizația dvs. suportă atât Windows, cât și Linux, poate furnizorul să le suporte pe ambele?
8. Care este performanța CDR pentru fiecare tip de fișier? Diferitele tipuri de fișiere ar trebui să aibă performanțe diferite. Implementați tehnologia CDR și rulați câteva mostre de fișiere pentru a verifica dacă performanța furnizorului corespunde cerințelor organizației dumneavoastră.
Întrebări detaliate privind cercetarea și dezvoltarea
9. Cât de sigură este proiectarea? Este aplicat vreun model de proiectare securizat? Cum protejați motorul CDR? Există un proces SDLC (Software Development Lifecycle)Secure implementat? Cereți să examinați o arhitectură de proiectare CDR și să contestați proiectarea.
10. Este durabil? Câți ingineri construiesc această tehnologie, care este pregătirea lor? Cereți să vedeți o organigramă.
Ce este procesul de inginerie? Cum se realizează asigurarea calității? Cereți să se revizuiască procedurile de asigurare a calității în domeniul ingineriei. Este procesul de construcție sigur? Există vreo soluție pentru a preveni integrarea de programe malware în lanțul de construcție? Ce certificare de securitate are furnizorul?
11. Cum este testat? Există o validare din partea unei terțe părți? (Unele guverne au efectuat unele teste, teste de penetrare externalizate); cereți să vedeți rezultatele. 12. Cât de mare este setul de date de testare? Cereți să vedeți eșantioane reale de malware și eșantioane de atac de tip zero-day. Cum puteți fi siguri că utilizabilitatea rămâne cu un set de date masiv? Cereți să verificați manual seturile de date de testare. Testează cu amenințări recente? Solicitați un set de date.
12. Cât de ușor se integrează cu produsul dvs. actual? REST API? Cereți să revizuiască documentul.
13. Produsul se îmbunătățește în mod activ? Care este frecvența de lansare? Cereți să vedeți ultimele câteva luni de lansări.
14. Cât de repede pot susține un nou tip de fișier? Puneți-i la încercare cu ceva ce folosiți în organizația dumneavoastră.
15. Cum arată foaia de parcurs a produselor? Există mai mult de 5 000 de formate de fișiere. Credeți că echipa poate aborda multe dintre ele sau pe cele mai importante pentru organizația dvs.
Perspectiva juridică
16. În cazul în care tehnologia utilizează biblioteci terțe, acestea sunt licențiate legal? Cereți să vedeți EULA-urile pentru lista de biblioteci sau alte documente justificative.
Selectarea unei tehnologii CDR nu este un simplu exercițiu de bifare a căsuțelor - avem o pregătire suplimentară disponibilă în modulul gratuit al Academiei noastre.
Dacă doriți să aflați mai multe, descărcați acest ghid care oferă o prezentare generală a tehnologiei CDR (Content Disarm and Reconstruction) și a modului în care puteți selecta cea mai bună soluție CDR pentru a vă proteja afacerea și infrastructura de amenințările emergente la adresa securității cibernetice.
