Giải giáp và Tái thiết Nội dung (CDR) là một công nghệ ngăn chặn mối đe dọa tiên tiến ngày càng được các tổ chức sử dụng như một phần của phương pháp bảo mật không tin cậy của họ để bảo vệ chống lại cả các mối đe dọa đã biết và chưa biết.
Khi phần mềm độc hại phát triển và các kỹ thuật tấn công trở nên phức tạp hơn, các biện pháp kiểm soát phòng ngừa truyền thống như trình quét phòng chống mã độc và hộp cát không đủ để ngăn chặn các mối đe dọa trước khi quá muộn vì chúng được xây dựng để phát hiện sự bất thường trong tệp hoặc trong hành vi của tệp.
Với quan điểm rằng mọi tệp tin đều có khả năng gây ra mối đe dọa và tập trung vào việc phòng ngừa thay vì chỉ phát hiện, các tổ chức có thể cải thiện khả năng bảo mật của mình . Deep CDR công nghệ được xây dựng để giải quyết các mối đe dọa mạng zero-day không được phát hiện bởi các giải pháp phân tích động và chống phần mềm độc hại thế hệ tiếp theo. Nó cũng giả định rằng tất cả các tệp đều độc hại, thu thập và sau đó tái tạo chúng theo cách mà tệp được tái tạo vừa có thể sử dụng vừa vô hại.
Được giới thiệu vào năm 2012, OPSWAT 'S MetaDefender Deep CDR được triển khai rộng rãi trên toàn cầu, đặc biệt là bởi các khách hàng trong các ngành được Bộ An ninh Nội địa Hoa Kỳ (US DHS) coi là “ cơ sở hạ tầng trọng yếu ” .
Các vectơ tấn công phổ biến bị vô hiệu hóa bởi MetaDefender Deep CDR bao gồm:
1. Định dạng tệp phức tạp: Những kẻ tấn công thường sẽ khai thác các chức năng phức tạp như các đối tượng nhúng, macro tự động hóa, siêu liên kết, kịch bản hoặc các phương pháp khác để kích hoạt việc thực thi nội dung độc hại. Ví dụ về các định dạng tệp phức tạp bao gồm tài liệu Microsoft Office (tức là Word, Excel và PowerPoint), tệp Adobe PDF, tệp CAD AutoDesk, trong số nhiều định dạng khác.
2. Lỗ hổng ứng dụng: Bằng cách khai thác các lỗ hổng hiện có trong các ứng dụng năng suất thường được sử dụng - bất kể định dạng phức tạp hay đơn giản - kẻ tấn công sẽ ghi đè lên bộ nhớ của ứng dụng thông qua Tấn công tràn bộ đệm hoặc cố gắng quét loại mã độc nào sẽ chạy trên hệ điều hành đích. Ví dụ về các ứng dụng thường bị khai thác bao gồm Adobe Reader, Microsoft Office, v.v.) Theo Cơ sở dữ liệu lỗ hổng quốc gia, 18.376 lỗ hổng đã được ghi nhận tính đến ngày 8 tháng 12 năm 2021, vượt qua kỷ lục năm 2020 là 18351.
Trong chín năm qua, chúng ta đã chứng kiến sự gia tăng đáng kể về số lượng Deep CDR triển khai mô-đun khiến tôi tự hào về những gì nhóm kỹ sư của chúng tôi đã đạt được. Trong cùng thời gian, ngày càng nhiều nhà cung cấp bảo mật tham gia thị trường CDR với những tuyên bố có thể gây nhầm lẫn và không chân thực.
Dưới đây là một số câu hỏi hướng dẫn sẽ giúp bạn xác định giải pháp CDR nào là tốt nhất cho tổ chức của bạn.
Câu hỏi cơ bản
1. CDR hỗ trợ loại định dạng lưu trữ nào? Tài liệu lưu trữ đã trở nên ngày càng phổ biến trong vài năm qua như một cách để tích hợp và lưu trữ nhiều loại tệp trong một tập duy nhất. Yêu cầu xem lại danh sách lưu trữ mà CDR hỗ trợ và kiểm tra xem bạn có thể kiểm soát các tính năng liên quan hay không, chẳng hạn như mức đệ quy (tức là, nếu PDF được nhúng trong tệp PowerPoint, công nghệ có thể phân tích và tái tạo cả hai tệp không?)
2. Có bao nhiêu loại tệp được hỗ trợ? Vì có hơn 5.000 loại tệp đã biết, bạn nên hỏi nhà cung cấp CDR hỗ trợ bao nhiêu loại tệp và xem xét bằng chứng cho mỗi loại tệp và so sánh danh sách các loại tệp với các loại tệp mà tổ chức của bạn sử dụng. Bạn có thể tìm thấy thông tin liên quan tại đây và một số ví dụ về báo cáo vệ sinh tại đây.
3. Khả năng sử dụng có được bảo tồn không? Khi bạn xử lý các tệp như PowerPoint bao gồm các bản dựng hoạt hình hoặc Excel nơi bạn muốn giữ lại các chức năng macro hiện có, bạn cần đảm bảo tệp được xây dựng lại sẽ giữ lại các khả năng này. Một cách để kiểm tra điều này là xử lý tệp mẫu như một phần của quy trình đánh giá của bạn.
4. CDR có hỗ trợ cấu hình toàn diện để phù hợp với trường hợp sử dụng của bạn không? CDR có xóa siêu liên kết cho một loại tệp cụ thể không? Nó có giữ lại hoặc loại bỏ các macro nhúng không?
5. CDR có tạo biên bản kiểm toán không? Ví dụ, CDR có ghi lại và ghi nhật ký những đối tượng nào đã bị xóa và những đối tượng nào đã được vệ sinh không? Làm thế nào bạn có thể xác minh tính toàn vẹn của một kho lưu trữ?
6. Bạn có thể triển khai các chính sách CDR khác nhau cho các kênh dữ liệu riêng biệt không? Ví dụ: CDR có cho phép bạn giữ lại macro Excel cho các email nội bộ trong khi xóa nó cho các email bên ngoài không?
7. CDR hỗ trợ những hệ điều hành nào? Những tệp nào hoạt động trên mỗi hệ điều hành? Nếu tổ chức của bạn hỗ trợ cả Windows và Linux, nhà cung cấp có thể hỗ trợ cả hai không?
8. Hiệu suất CDR trên mỗi loại tệp là gì? Các loại tệp khác nhau nên có hiệu suất khác nhau. Triển khai công nghệ CDR và chạy một số tệp mẫu để xác minh rằng hiệu suất của nhà cung cấp đáp ứng yêu cầu của tổ chức bạn.
Câu hỏi R&D chi tiết
9. Thiết kế an toàn như thế nào? Có áp dụng bất kỳ mẫu thiết kế an toàn nào không? Bạn bảo vệ công cụ CDR như thế nào? Có triển khai quy trình SDLC (Vòng đời phát triển Software ) Secure không? Yêu cầu xem xét kiến trúc thiết kế CDR và thách thức thiết kế.
10. Nó có bền vững không? Có bao nhiêu kỹ sư đang xây dựng công nghệ này, nền tảng của họ là gì? Yêu cầu xem sơ đồ tổ chức.
Quy trình kỹ thuật là gì? Làm thế nào để họ thực hiện QA? Yêu cầu xem lại các quy trình QA kỹ thuật của họ. Quá trình xây dựng có an toàn không? Bất kỳ giải pháp nào để ngăn chặn phần mềm độc hại được nhúng vào chuỗi xây dựng? Nhà cung cấp có chứng nhận bảo mật nào?
11. Nó được kiểm tra như thế nào? Có xác thực của bên thứ ba không? (Một số chính phủ đã tiến hành một số thử nghiệm, kiểm tra Pen-test ngoài nguồn); Yêu cầu xem kết quả. Bộ dữ liệu thử nghiệm lớn như thế nào? Yêu cầu xem các mẫu phần mềm độc hại thực sự và mẫu tấn công zero-day. Làm thế nào bạn có thể chắc chắn khả năng sử dụng vẫn còn với một tập dữ liệu khổng lồ? Yêu cầu xác minh thủ công tập dữ liệu thử nghiệm. Họ có kiểm tra với các mối đe dọa gần đây không? Yêu cầu tập dữ liệu.
12. Làm thế nào dễ dàng để nó tích hợp với sản phẩm hiện tại của bạn? Nghỉ ngơi giao diện lập trình ứng dụng? Yêu cầu xem lại tài liệu.
13. Sản phẩm có tích cực cải tiến không? Tần suất phát hành là gì? Yêu cầu xem các bản phát hành có giá trị trong vài tháng qua.
14. Họ có thể hỗ trợ một loại tệp mới nhanh như thế nào? Thách thức họ với một cái gì đó mà bạn sử dụng trong tổ chức của bạn.
15. Lộ trình sản phẩm của họ trông như thế nào? Có hơn 5.000 định dạng tệp. Bạn có tin rằng nhóm có thể giải quyết nhiều người trong số họ hoặc những người quan trọng nhất đối với tổ chức của bạn không?
Quan điểm pháp lý
16. Nếu công nghệ tận dụng các thư viện của bên thứ ba, chúng có được cấp phép hợp pháp không? Yêu cầu xem EULA để biết danh sách thư viện hoặc các tài liệu hỗ trợ khác.
Chọn công nghệ CDR không phải là một bài tập kiểm tra đơn giản - chúng tôi có một số khóa đào tạo bổ sung có sẵn trong tự do Academy mô-đun.
Nếu bạn muốn tìm hiểu thêm, hãy tải xuống hướng dẫn này cung cấp tổng quan về công nghệ Giải giáp và Tái thiết Nội dung (CDR) và cách bạn có thể chọn giải pháp CDR tốt nhất để bảo vệ doanh nghiệp và cơ sở hạ tầng của mình khỏi các mối đe dọa an ninh mạng mới nổi.
