À medida que as ameaças cibernéticas continuam a evoluir, os atacantes encontram novas formas de evitar a deteção através de tipos de ficheiros não convencionais, conteúdo malicioso incorporado e novos vectores de ataque. Os mais recentes aprimoramentos de segurança do OPSWATlevam a deteção de ameaças para o próximo nível, fornecendo às organizações ferramentas poderosas para analisar, classificar e neutralizar ameaças com maior precisão. Desde a deteção de tipos de ficheiros personalizados até à inspeção profunda de PCAPs (capturas de pacotes de rede), estas actualizações garantem que as equipas de segurança se mantêm à frente dos riscos emergentes.
Deteção de tipo de ficheiro
Definir regras personalizadas
As organizações deparam-se frequentemente com ficheiros em formatos exclusivos ou proprietários que as ferramentas padrão não conseguem reconhecer imediatamente. Esperar pelas correcções fornecidas pelo fornecedor pode atrasar os fluxos de trabalho, deixando as equipas sem saber se devem bloquear estes ficheiros (arriscando a interrupção) ou permiti-los (arriscando a exposição).
O motor de Deteção de Tipos de Ficheiros resolve este problema com a deteção de tipos de ficheiros baseada em regras personalizadas, permitindo às organizações definir a sua própria lógica de classificação para ficheiros não reconhecidos.
- Defina os seus próprios critérios (por exemplo, cabeçalhos, extensões ou padrões de bytes) para classificar formatos não suportados.
- Actue imediatamente - não é necessário esperar por actualizações.
- Equilibre a segurança e a produtividade, adaptando as regras às políticas de tratamento de ficheiros específicas da sua organização.
Isto coloca o controlo de volta nas suas mãos, garantindo que até mesmo nichos ou novos tipos de ficheiros se alinham com os seus fluxos de trabalho.
Deep CDR™
Indicar o "motivo da ação"
Os documentos modernos são mais do que apenas texto e imagens - contêm metadados, objectos incorporados e até scripts ocultos que podem servir como vectores de ataque. Embora as macros sejam amplamente reconhecidas como arriscadas, as ameaças mais subtis, como as propriedades dos documentos, as referências a modelos ou os códigos QR incorporados em ficheiros Office antigos, escapam frequentemente ao escrutínio.
Deep CDR agora fornece explicações detalhadas do "Motivo da ação", ajudando as equipes de segurança a entender por que elementos específicos foram sanitizados. Essa transparência é crucial para conformidade, análise forense e confiança do usuário.
Detetar códigos QR baseados em ASCII
Os agentes das ameaças inovam continuamente para evitar a deteção. Uma tática emergente envolve a incorporação de códigos QR maliciosos em formato ASCII. Estes códigos QR, quando lidos, podem conduzir a sítios Web de phishing ou a descarregamentos maliciosos.
Deep CDR agora detecta e neutraliza códigos QR codificados em ASCII, mitigando esse novo vetor de ataque antes que ele possa ser explorado.
Sanitizar recursivamente dados JSON codificados em Base64
Outra melhoria crítica é a inspeção profunda de dados JSON codificados em Base64. Os atacantes incorporam cada vez mais cargas maliciosas em cadeias de caracteres codificadas em respostas API ou ficheiros de configuração.
Deep CDR agora inclui a funcionalidade de sanitização recursiva para conteúdo JSON codificado em Base64, garantindo que:
- Os dados codificados em Base64 são descodificados.
- O conteúdo extraído é higienizado.
- Os dados higienizados são recodificados em Base64 e reinseridos na estrutura JSON.
Este processo garante que nenhuma ameaça permaneça incorporada nos ficheiros de dados estruturados.
Extração de arquivos
Extrair e inspecionar ficheiros PCAP
As capturas de pacotes de rede (ficheiros PCAP) são uma mina de ouro para os investigadores forenses, mas são também um ponto cego para muitas soluções de segurança. As ferramentas tradicionais tratam frequentemente os PCAPs como contentores opacos, ignorando o tráfego HTTP, FTP ou IMAP neles incorporado. Esta omissão permite aos atacantes exfiltrar dados ou distribuir malware através de registos de rede aparentemente benignos.
O Archive Engine agora extrai e inspeciona todos os pacotes dentro dos arquivos PCAP, aplicando a mesma análise rigorosa dos arquivos independentes. Ao reconstruir sessões de rede e inspecionar cargas úteis extraídas, as equipas de segurança podem detetar:
- Transferências de malware
- Tentativas de exfiltração de dados
- Comunicações de comando e controlo
Permitir uma configuração flexível através da integração do fluxo de trabalho
Anteriormente, várias opções de configuração global eram restringidas ao nível do módulo. Com esta atualização, as principais configurações foram transferidas para os fluxos de trabalho, permitindo:
- Maior flexibilidade na definição de políticas de segurança.
- Personalização mais fácil com base nas necessidades organizacionais.
- Eficiência melhorada na gestão de implementações de segurança em grande escala.
Actualizações para satisfazer as suas necessidades
As últimas actualizações dos motores Deep CDR, File Type Verification e Archive Extraction dão às equipas de segurança controlo direto sobre a forma como os ficheiros, documentos e dados de rede são analisados, para que as decisões se baseiem no contexto e não em suposições. Para saber mais ou ver esses recursos em ação, entre em contato com OPSWAT hoje mesmo.
