OPSWAT MetaDefender Core 已獲得通用標準 EAL4+(評估保證等級 4+)認證,為組織提供針對可信檔案工作流程之進階威脅偵測與防禦平台的獨立第三方驗證。
MetaDefender Core 應用範圍廣泛的平台:其具備多層次架構,配備可自訂的工作流程引擎,並支援 REST 與ICAP ,企業可將其部署於本地端、雲端及物理隔離環境中。
此認證向各組織提供獨立的第三方驗證,證明MetaDefender Core 目前最廣為認可的安全性評估框架之一所訂定的要求。
了解通用標準 EAL4+ 及其認證涵蓋範圍
《通用準則》(Common Criteria)是一套由 ISO/IEC 15408 規範的國際公認框架,適用於 31 個成員國,旨在對資訊科技產品的安全特性進行獨立評估。EAL 等級範圍為 1 至 7,其中 EAL4+ 代表商用產品可達到的最高等級之一。在此等級下,經認可的獨立實驗室會進行系統性的設計分析、獨立的漏洞測試、文件審查以及功能性安全評估。 「+」標示確認該產品滿足超出標準 EAL4 基準的增強要求。
對於硬體產品而言,評估範圍僅限於實體元件與韌體。至於Core其評估範圍涵蓋該平台的完整處理流程:檔案導入、格式偵測、跨層級技術的內容分析、重建邏輯、輸出驗證、工作流程執行,以及系統與應用程式透過該層與平台互動的API 。
評估範圍
Hardware 認證旨在驗證其封閉且專用的攻擊面。MetaDefender Core EAL4+ 認證則驗證了一套完整的多引擎軟體處理流程,企業可將其整合至自身產品、工作流程及基礎架構中,使其成為檔案安全領域中要求最嚴格且最具實質意義的軟體認證之一。
對於正在評估供應商安全聲明的 IT 總監、合規主管、法律顧問及高階主管而言,這項區別至關重要。軟體平台獲得 EAL4+ 認證,意味著獨立評估不僅涵蓋了產品的功能,更涵蓋了其運作方式——包括安全邏輯的設計完整性、API 的穩健性,以及在所有受支援的檔案類型和部署模式下輸出的可靠性。
EAL4+ 評估的重點
EAL4+ 評估將MetaDefender Core分層架構視為一個統一平台進行評估。評估範圍涵蓋以下技術與功能。
深度CDR™技術
內容無害化與重建
透過移除所有潛在惡意內容(包括腳本、巨集、嵌入式物件及違反政策之元素),並重新生成功能完整且安全的檔案,能對超過 200 種檔案類型進行遞迴式淨化。 Deep CDR™ 技術不受檢測方法限制:它透過操作檔案結構而非威脅簽名,來中和從未遇過的威脅,包括零日攻擊。基於重建的防禦機制獲得 EAL4+ 認證,獨立驗證了一種截然不同的安全邏輯類別。
Metascan™ Multiscanning
30 多個並行運作的防惡意軟體引擎
透過同時啟用超過 30 種頂尖的反惡意軟體引擎進行掃描,在簽名、啟發式分析及機器學習模型等領域,惡意軟體偵測覆蓋率可達 99% 以上。EAL4+ 評估涵蓋了負責管理引擎並行調度、結果彙整及政策套用的協調層——而不僅僅是各引擎本身。
Adaptive Sandbox 自適應性沙箱
基於模擬的行為分析
透過模擬檔案行為,在未知及零日攻擊情境中偵測出遭入侵的跡象,其分析速度比傳統沙箱方法快 10 倍。本次評估旨在檢視該平台能否準確識別隱蔽檔案類型及混淆載荷中的威脅相關行為。
File-Based Vulnerability Assessment 與SBOM 生成
可識別檔案內容中的可被利用漏洞,並針對軟體套件、開源元件及二進位建構產出Software 。此功能能在檔案檢查工作流程中,直接提供軟體供應鏈的透明度及部署前風險分析。
真實檔案類型偵測與來源國分析
基於人工智慧的檔案類型識別功能,可防止檔案透過偽造副檔名進行偽裝及惡意軟體規避。透過來源國與供應商偵測功能,組織得以在自動化檢查工作流程中,直接執行地緣政治信任政策,並標記來自受限或不可信司法管轄區的檔案。
自訂工作流程引擎與 REST /ICAP API
組織會配置自訂的檔案處理政策,以依序協調上述各項功能的任意組合,並根據檔案類型、來源、目的地或風險分類,套用不同的規則。作為整體安全架構的一部分,我們對第三方應用程式用以存取平台的 REST 和ICAP API 進行了評估,涵蓋存取控制、輸入驗證及回應完整性等面向。
EAL4+ 安全保證亦涵蓋MetaDefender Core 部署方式
MetaDefender Core 作為獨立平台Core 亦Core 透過 RESTAPI ICAP 作為整合元件Core 於更廣泛的環境中。企業、軟體供應商及託管服務供應商皆將其納入自身的安全工作流程與產品架構之中。
當醫療保健應用程式整合MetaDefender Core 檢查檔案上傳時,其使用的檔案檢查功能現已獲得 EAL4+ 認證。當金融服務機構使用MetaDefender Core 支援外發附件的 DLP 合規性時,其底層邏輯已通過獨立評估。當政府機關Core IT/OT 邊界部署MetaDefender Core 時,該部署所基於的平台已通過 EAL4+ 標準的評估。
隨平台而來的認證
MetaDefender Core 獲得 EAL4+ 認證Core 將其整合至產品中的組織,無需自行進行評估,即可在其自身產品及工作流程中獲得經認證的安全保障。
這項承襲而來的保證,對將檔案檢查功能嵌入平台的軟體供應商、提供檔案安全即服務的託管安全服務供應商、利用MetaDefender Core API 管控 CI/CD 管道的 DevSecOps 團隊,以及代表受監管客戶部署檔案檢查功能的系統整合商而言,都具有直接的實質意義。 在上述每種情境中,EAL4+ 認證皆能提供經文件佐證的第三方證明,顯示內嵌的安全引擎符合全球標準——這是一項僅憑供應商聲明無法達成的論點。
| 框架 | 相關義務 | 經認證Core |
|---|---|---|
| 通用資料保護條例 | 個人資料處理的技術保障措施;資料最小化;資料外洩防範 | Proactive DLP Deep CDR™ 技術 · 稽核記錄 |
| HIPAA公司 | 電子傳輸中受保護健康資訊(PHI)的保護;對包含健康資料之檔案系統的存取控制 | Proactive DLP Multiscanning SIEM 整合 |
| PCI DSS | 針對檔案處理系統的惡意軟體防護;監控離開持卡人環境的資料 | Multiscanning DLP · 原產地 |
| NIST CSF | 針對檔案型威脅的偵測、應對與復原功能;供應鏈風險管理 | Adaptive Sandbox SBOM · 漏洞評估 |
| CMMC | 惡意程式碼防護;稽核日誌生成;國防承包商的供應鏈風險評估 | Multiscanning Deep CDR™ 技術 · SBOM · 稽核日誌 |
適用於受監管及高安全性環境的認證平台
OPSWAT 對獨立認證OPSWAT 大量OPSWAT 因為依賴MetaDefender Core 的組織Core 包括金融服務、國防、政府及關鍵基礎設施——無法僅憑供應商的承諾來制定安全決策。他們需要確鑿的證據,證明獨立評估機構已對每一項安全主張進行了嚴格的挑戰、測試與驗證。
此認證涵蓋了分層技術,可在檔案型威脅抵達安全邊界之前,透過MetaDefender Core 的所有通道與部署模式,對其進行分析、偵測及防範。
對於在評估其進階威脅防禦平台時,需要比供應商承諾更多保障的組織而言MetaDefender Core EAL4+ 認證提供了支持此決策的獨立且有據可查的證據。
