檔案無毒化 (CDR) 是一種高階威脅防禦技術,越來越多地被組織用作其零信任安全方法的一部分,以防範已知和未知威脅。
隨著惡意軟體的發展和攻擊技術變得越來越複雜,傳統的預防性控制(如反惡意軟體引擎和沙箱)不足以在為時已晚之前阻止威脅,因為它們旨在檢測檔或檔案行為中的異常情況。
本著每個檔都存在潛在威脅的心態,並專注於預防而不僅僅是檢測,組織可以 改善其安全狀況。Deep CDR(檔案無毒化) 技術旨在解決次世代反惡意軟體和動態分析解決方案無法檢測到的零時差網路威脅。它還假設所有檔都是惡意的,攝取然後以重新生成的檔既可用又無害的方式重新生成它們。
2012年推出, OPSWAT的MetaDefender Deep CDR 在全球範圍內廣泛部署,特別是被美國國土安全部 (US DHS)視為「關鍵基礎設施」產業的客戶。
常見攻擊媒介被中和 MetaDefender Deep CDR(檔案無毒化) 包括:
1. 複雜的檔格式: 攻擊者通常會利用複雜的功能(如嵌入物件、自動化巨集、超連結、腳本或其他方法)來觸發惡意內容的執行。複雜檔格式的示例包括 Microsoft Office 檔案(即 Word、Excel 和 PowerPoint)、Adobe PDF 檔、AutoDesk CAD 檔等。
2. 應用程式漏洞:透過利用常用生產力應用程式中的現有漏洞(無論格式是複雜還是簡單),攻擊者將透過緩衝區溢出攻擊覆蓋 應用程式 的記憶體,或嘗試掃描要在目標操作系統上運行的惡意代碼類型。常用的應用程式示例包括Adobe Reader,Microsoft Office等)根據 國家漏洞資料庫的資料,截至 2021 年 12 月 8 日,記錄了 18,376 個漏洞,超過了 2020 年的 18,351 個。
在過去的九年裡,我們見證了數量的顯著增加。 Deep CDR 模組部署讓我為我們的工程團隊所取得的成就感到自豪。在同一時期,越來越多的安全供應商進入 CDR 市場,其聲明可能既令人困惑又不誠實。
下面列出了一些指南問題,可説明您確定哪種 CDR 解決方案最適合您的組織。
基線問題
1. CDR 支援哪些類型的存檔格式? 在過去的幾年裡,存檔作為一種在單個卷中整合和儲存多種檔案類型的方式變得越來越普遍。要求查看 CDR 支援的存檔清單,並檢查您是否可以控制相關功能,例如遞歸級別(即,如果 PDF 嵌入到 PowerPoint 檔案中,該技術是否可以分析和重建這兩個檔?
2. 支援多少種檔案類型?由於已知檔案類型超過 5,000 種,因此應詢問 CDR 供應商支援多少種檔案類型,並查看每種檔案類型的證據,並將檔案類型清單與組織使用的檔案類型清單進行比較。您可以在此處找到相關資訊,並在此處找到一些消毒報告範例。
3. 可用性是否保留? 在處理包含動畫生成的 PowerPoint 或要保留現有巨集函數的 Excel 等檔時,需要確保重新生成的檔將保留這些功能。測試這一點的一種方法是在評估過程中處理範例檔。
4. CDR 是否支援適合您的客戶案例的綜合配置? CDR 是否刪除特定檔案類型的超連結?它是保留還是刪除嵌入的巨集?
5. CDR 是否創建審計追蹤? 例如,CDR 是否記錄和記錄哪些對象被刪除,哪些物件被清理?如何驗證存檔的完整性?
6. 是否可以為單獨的資料通道部署不同的 CDR 策略? 例如,CDR 是否允許您為內部電子郵件保留 Excel 巨集,而為外部電子郵件刪除它?
7. CDR支援哪些作業系統? 哪些檔案適用於每個作業系統?如果您的組織同時支援 Windows 和 Linux,供應商是否可以同時支援這兩種方式?
8. 每種檔案類型的 CDR 性能是多少? 不同的檔案類型應該具有不同的性能。部署 CDR 技術並運行一些範例檔,以驗證供應商性能是否滿足組織的要求。
詳細的研發問題
9.設計的安全性如何?是否應用了任何安全設計模式?如何保護 CDR 引擎?是否實施了保護 SDLC(軟體開發生命週期)流程?要求檢閱 CDR 設計架構並質疑設計。
10. 它是否可持續? 有多少工程師正在建構這項技術,他們的背景是什麼?要求查看組織結構圖。
工程流程是怎樣的?他們如何執行 QA?要求審查他們的工程 QA 程式。建構過程安全嗎?有什麼解決方案可以防止惡意軟體嵌入到建構鏈中嗎?供應商有哪些安全認證?
11. 如何測試? 是否有第三方驗證?(一些政府進行了一些測試,外包了Pen-test);要求查看結果。測試資料集有多大?要求查看真正的惡意軟體樣本和零時差攻擊樣本。您如何確保在海量資料集中保持可用性?要求 手動驗證測試資料集。他們是否使用最近的威脅進行測試?請求資料集。
12. 它與您當前產品的整合有多容易?休息 API? 要求審閱檔案。
13. 產品是否在積極改進? 發佈頻率是多少?要求查看過去幾個月的發佈量。
14. 它們能以多快的速度支援新的檔案類型? 用你在組織中使用的一些東西來挑戰他們。
15. 他們的產品路線圖是什麼樣的? 有 5,000 多種檔案格式。您相信團隊可以解決其中的許多問題或對您的組織最重要的問題嗎?
法律視角
16. 如果該技術利用第三方庫,它們是否獲得合法許可? 要求查看EULA,瞭解庫或其他支援檔案的清單。
選擇 CDR 技術不是一個簡單的開箱即用的練習——我們在 免費的學院模組中提供了一些額外的培訓。
如果您想瞭解更多資訊, 請下載本指南 ,其中概述了檔案無毒化 (CDR) 技術,以及如何選擇最佳的 CDR 解決方案來保護您的業務和基礎設施免受新出現的網路安全威脅。
