Content Disarm and Reconstruction (CDR) è una tecnologia avanzata di prevenzione delle minacce sempre più utilizzata dalle organizzazioni come parte del loro approccio di sicurezza zero-trust per proteggersi da minacce sia note che sconosciute.
Con l'evoluzione del malware e la complessità delle tecniche di attacco, i controlli preventivi tradizionali, come i motori antimalware e le sandbox, non sono sufficienti a prevenire le minacce prima che sia troppo tardi, perché sono stati costruiti per rilevare un'anomalia in un file o nel comportamento di un file.
Con l'idea che ogni file rappresenti una potenziale minaccia e concentrandosi sulla prevenzione piuttosto che sul semplice rilevamento, le organizzazioni possono migliorare la loro posizione di sicurezza. La tecnologia Deep CDR è stata sviluppata per affrontare le minacce informatiche zero-day che non vengono rilevate dalle soluzioni antimalware e di analisi dinamica di nuova generazione. Inoltre, presuppone che tutti i file siano dannosi, ingerendoli e rigenerandoli in modo che il file rigenerato sia utilizzabile e innocuo.
Introdotto nel 2012, OPSWAT MetaDefender Deep CDR è ampiamente diffuso in tutto il mondo, in particolare presso i clienti dei settori considerati "infrastrutture critiche" dalla Sicurezza Nazionale degli Stati Uniti (DHS).
I vettori di attacco più comuni neutralizzati da MetaDefender Deep CDR includono:
1. Formati di file complessi: Gli aggressori spesso sfruttano funzionalità complesse come oggetti incorporati, macro di automazione, collegamenti ipertestuali, scripting o altri metodi per innescare l'esecuzione di contenuti dannosi. Esempi di formati di file complessi sono i documenti di Microsoft Office (ad esempio, Word, Excel e PowerPoint), i file Adobe PDF, i file AutoDesk CAD e molti altri.
2. Vulnerabilità delle applicazioni: Sfruttando le vulnerabilità esistenti all'interno delle applicazioni di produttività comunemente utilizzate - indipendentemente dal fatto che si tratti di formati complessi o semplici - un aggressore sovrascrive la memoria di un'applicazione tramite un attacco di Buffer Overflow o tenta di analizzare quale tipo di codice dannoso eseguire sul sistema operativo di destinazione. Secondo il National Vulnerability Database, all'8 dicembre 2021 sono state registrate 18.376 vulnerabilità, superando il record di 18351 del 2020.
Negli ultimi nove anni abbiamo assistito a un aumento significativo del numero di implementazioni del modulo Deep CDR , il che mi rende orgoglioso dei risultati ottenuti dal nostro team di ingegneri. Nello stesso periodo, un numero crescente di fornitori di sicurezza si è affacciato sul mercato dei CDR con affermazioni che possono essere confuse e false.
Di seguito sono elencate alcune domande guida che vi aiuteranno a determinare la soluzione CDR migliore per la vostra organizzazione.
Domande di base
1. Che tipo di formati di archivio supporta il CDR? Negli ultimi anni gli archivi sono diventati sempre più diffusi come metodo per integrare e archiviare più tipi di file in un unico volume. Chiedete di esaminare l'elenco degli archivi supportati dal CDR e verificate che sia possibile controllare le relative funzioni, come il livello di ricorsione (ad esempio, se un PDF è incorporato in un file PowerPoint, la tecnologia può analizzare e ricostruire entrambi i file).
2. Quanti tipi di file sono supportati? Poiché esistono più di 5.000 tipi di file conosciuti, è necessario chiedere quanti tipi di file supporta un fornitore di CDR ed esaminare le prove per tipo di file e confrontare l'elenco dei tipi di file con quelli utilizzati dalla vostra organizzazione. Potete trovare informazioni correlate qui e alcuni esempi di rapporti di sanificazione qui.
3. L'usabilità è preservata? Quando si tratta di file come PowerPoint che includono animazioni o Excel in cui si desidera conservare le funzioni macro esistenti, è necessario assicurarsi che il file ricostruito mantenga tali funzionalità. Un modo per verificare questo aspetto è quello di elaborare un file campione come parte del processo di valutazione.
4. Il CDR supporta configurazioni complete per adattarsi al vostro caso d'uso? Il CDR rimuove i collegamenti ipertestuali per un tipo di file specifico? Mantiene o rimuove le macro incorporate?
5. Il CDR crea una traccia di controllo? Ad esempio, il CDR registra e registra quali oggetti sono stati rimossi e quali sono stati sanificati? Come si può verificare l'integrità di un archivio?
6. È possibile implementare criteri CDR diversi per canali di dati separati? Ad esempio, il CDR consente di mantenere una macro Excel per le e-mail interne e di rimuoverla per le e-mail esterne?
7. Quali sistemi operativi supporta il CDR? Quali file funzionano su ciascun sistema operativo? Se la vostra organizzazione supporta sia Windows che Linux, il fornitore è in grado di supportarli entrambi?
8. Quali sono le prestazioni del CDR per tipo di file? I diversi tipi di file dovrebbero avere prestazioni diverse. Distribuite la tecnologia CDR ed eseguite alcuni file di esempio per verificare che le prestazioni del fornitore soddisfino i requisiti della vostra organizzazione.
Domande dettagliate su R&S
9. Quanto è sicuro il progetto? È stato applicato un modello di progettazione sicuro? Come si protegge il motore del CDR? È stato implementato un processo SDLC (Software Development Lifecycle)Secure ? Chiedete di esaminare l'architettura del progetto di un CDR e contestate il progetto.
10. È sostenibile? Quanti ingegneri stanno costruendo questa tecnologia, qual è il loro background? Chiedete di vedere un organigramma.
Qual è il processo di progettazione? Come si svolge l'AQ? Chiedete di esaminare le procedure di AQ dell'azienda. Il processo di creazione è sicuro? Ci sono soluzioni per prevenire il malware incorporato nella catena di creazione? Quali certificazioni di sicurezza possiede il fornitore?
11. Come viene testato? Esiste una convalida da parte di terzi? (Alcuni governi hanno condotto alcuni test, Pen-test esterni); chiedete di vedere i risultati. Quanto è grande il set di dati del test? Chiedete di vedere veri campioni di malware e campioni di attacchi zero-day. Come si può essere sicuri che l'usabilità rimanga con un set di dati enorme? Chiedete di verificare manualmente i set di dati di test. Eseguono test con minacce recenti? Richiedete un set di dati.
12. Quanto facilmente si integra con il vostro prodotto attuale? REST API? Chiedete di rivedere il documento.
13. Il prodotto sta migliorando attivamente? Qual è la frequenza di rilascio? Chiedete di vedere i rilasci degli ultimi mesi.
14. Quanto velocemente sono in grado di supportare un nuovo tipo di file? Metteteli alla prova con qualcosa che utilizzate nella vostra organizzazione.
15. Come si presenta la loro roadmap di prodotti? Esistono più di 5.000 formati di file. Ritenete che il team sia in grado di affrontare molti di essi o quelli più importanti per la vostra organizzazione?
Prospettiva legale
16. Se la tecnologia utilizza librerie di terze parti, sono legalmente autorizzate? Chiedete di vedere gli EULA per l'elenco delle librerie o altri documenti di supporto.
La scelta di una tecnologia CDR non è un semplice esercizio di selezione delle caselle: abbiamo a disposizione una formazione aggiuntiva nel modulo gratuito della nostra Academy.
Per saperne di più, scaricate questa guida che fornisce una panoramica sulla tecnologia Content Disarm and Reconstruction (CDR) e su come scegliere la migliore soluzione CDR per proteggere la vostra azienda e la vostra infrastruttura dalle minacce emergenti alla sicurezza informatica.
