O Content Disarm and Reconstruction (CDR) é uma tecnologia avançada de prevenção de ameaças cada vez mais utilizada pelas organizações como parte da sua abordagem de segurança de confiança zero para proteção contra ameaças conhecidas e desconhecidas.
À medida que o malware evolui e as técnicas de ataque se tornam mais complexas, os controlos preventivos tradicionais, como os motores anti-malware e as caixas de areia, não são suficientes para evitar ameaças antes que seja demasiado tarde, porque foram criados para detetar uma anomalia num ficheiro ou no comportamento de um ficheiro.
Com a mentalidade de que todos os ficheiros representam uma potencial ameaça e concentrando-se na prevenção em vez de apenas na deteção, as organizações podem melhorar a sua postura de segurança. A tecnologia Deep CDR foi criada para lidar com as ciberameaças de dia zero que não são detectadas pelas soluções anti-malware e de análise dinâmica da próxima geração. Também parte do princípio de que todos os ficheiros são maliciosos, ingerindo-os e regenerando-os de forma a que o ficheiro regenerado seja utilizável e inofensivo.
Introduzido em 2012, o OPSWAT's MetaDefender Deep CDR é amplamente utilizado a nível mundial, particularmente por clientes em indústrias consideradas "infra-estruturas críticas" pela Segurança Interna dos Estados Unidos (US DHS).
Os vectores de ataque comuns neutralizados pelo MetaDefender Deep CDR incluem:
1. Formatos de ficheiros complexos: Os atacantes exploram frequentemente funcionalidades complexas, como objectos incorporados, macros de automatização, hiperligações, scripts ou outros métodos para desencadear a execução de conteúdos maliciosos. Exemplos de formatos de ficheiros complexos incluem documentos do Microsoft Office (ou seja, Word, Excel e PowerPoint), ficheiros Adobe PDF, ficheiros AutoDesk CAD, entre muitos outros.
2. Vulnerabilidades das aplicações: Explorando as vulnerabilidades existentes nas aplicações de produtividade habitualmente utilizadas - independentemente de os formatos serem complexos ou simples - um atacante sobrescreve a memória de uma aplicação através de um ataque de sobrecarga de tampão ou tenta analisar o tipo de código malicioso a executar no sistema operativo alvo. De acordo com a National Vulnerability Database, foram registadas 18 376 vulnerabilidades em 8 de dezembro de 2021, o que ultrapassa o recorde de 2020 de 18351.
Nos últimos nove anos, assistimos a um aumento significativo do número de implementações do módulo Deep CDR , o que me deixa orgulhoso do que a nossa equipa de engenharia conseguiu. Durante o mesmo período, um número crescente de fornecedores de segurança entrou no mercado de CDR com afirmações que podem ser confusas e falsas.
Abaixo estão listadas algumas perguntas de orientação que o ajudarão a determinar qual a melhor solução CDR para a sua organização.
Perguntas de base
1. Que tipos de formatos de arquivo são suportados pelo CDR? Os arquivos têm-se tornado cada vez mais comuns nos últimos anos como forma de integrar e armazenar vários tipos de ficheiros num único volume. Peça para rever a lista de arquivos suportados pelo CDR e verifique se pode controlar as funcionalidades relacionadas, como o nível de recursão (ou seja, se um PDF estiver incorporado num ficheiro PowerPoint, a tecnologia pode analisar e reconstruir ambos os ficheiros).
2. Quantos tipos de ficheiros são suportados? Uma vez que existem mais de 5000 tipos de ficheiros conhecidos, deve perguntar quantos tipos de ficheiros são suportados por um fornecedor de CDR, analisar as provas por tipo de ficheiro e comparar a lista de tipos de ficheiros com os que a sua organização utiliza. Pode encontrar informações relacionadas aqui e alguns exemplos de relatórios de higienização aqui.
3. A usabilidade é preservada? Quando se lida com ficheiros como o PowerPoint, que inclui compilações de animação, ou o Excel, em que se pretende preservar as funções de macro existentes, é necessário garantir que o ficheiro reconstruído manterá essas capacidades. Uma forma de testar isto é processar um ficheiro de amostra como parte do seu processo de avaliação.
4. O CDR suporta configurações abrangentes para se adequar ao seu caso de utilização? O CDR remove hiperligações para um tipo de ficheiro específico? Ele retém ou remove macros incorporadas?
5. O CDR cria uma pista de auditoria? Por exemplo, o CDR grava e regista quais os objectos que foram removidos e quais os objectos que foram higienizados? Como é que se pode verificar a integridade de um arquivo?
6. É possível implementar políticas de CDR diferentes para canais de dados distintos? Por exemplo, o CDR permite-lhe reter uma macro Excel para mensagens de correio eletrónico internas e removê-la para mensagens de correio eletrónico externas?
7. Quais são os sistemas operativos suportados pelo CDR? Que ficheiros funcionam em cada sistema operativo? Se a sua organização suporta tanto o Windows como o Linux, o fornecedor pode suportar ambos?
8. Qual é o desempenho do CDR por tipo de ficheiro? Os diferentes tipos de ficheiros devem ter um desempenho diferente. Implemente a tecnologia CDR e execute alguns ficheiros de amostra para verificar se o desempenho do fornecedor cumpre os requisitos da sua organização.
Perguntas pormenorizadas sobre I&D
9. Qual é o grau de segurança da conceção? É aplicado algum padrão de conceção seguro? Como é que se protege o motor CDR? Existe um processo de SDLC (ciclo de vida de desenvolvimentoSoftware )Secure implementado? Peça para analisar uma arquitetura de conceção de CDR e questione a conceção.
10. É sustentável? Quantos engenheiros estão a construir esta tecnologia, qual é a sua formação? Peça para ver um organigrama.
Qual é o processo de engenharia? Como é que realizam a garantia de qualidade? Peça para rever os seus procedimentos de garantia de qualidade de engenharia. O processo de construção é seguro? Existe alguma solução para impedir a incorporação de malware na cadeia de construção? Que certificação de segurança tem o fornecedor?
11. Como é testado? Existe validação por terceiros? (Alguns governos efectuaram alguns testes, subcontrataram Pen-test); peça para ver os resultados. Qual é a dimensão do conjunto de dados de teste? Peça para ver amostras reais de malware e amostras de ataques de dia zero. Como é que pode ter a certeza de que a usabilidade se mantém com um conjunto de dados enorme? Peça para verificar manualmente os conjuntos de dados de teste. São efectuados testes com ameaças recentes? Solicite um conjunto de dados.
12. Qual a facilidade de integração com o seu produto atual? REST API? Pedir para rever o documento.
13. O produto está a melhorar ativamente? Qual é a frequência de lançamento? Peça para ver os lançamentos dos últimos meses.
14. Com que rapidez conseguem suportar um novo tipo de ficheiro? Desafie-os com algo que utiliza na sua organização.
15. Como é que é o roteiro do produto? Existem mais de 5.000 formatos de ficheiros. Acredita que a equipa pode abordar muitos deles ou os mais importantes para a sua organização?
Perspetiva jurídica
16. Se a tecnologia utiliza bibliotecas de terceiros, estas estão legalmente licenciadas? Peça para ver os EULAs da lista de bibliotecas ou outros documentos de apoio.
A seleção de uma tecnologia CDR não é um simples exercício de verificação das caixas - temos alguma formação adicional disponível no nosso módulo gratuito da Academia.
Se quiser saber mais, descarregue este guia que fornece uma visão geral da tecnologia de Desarmamento e Reconstrução de Conteúdos (CDR) e como pode selecionar a melhor solução CDR para proteger a sua empresa e infraestrutura contra as ameaças emergentes à cibersegurança.
