Content Disarm and Reconstruction (CDR) ist eine fortschrittliche Technologie zur Abwehr von Bedrohungen, die zunehmend von Unternehmen als Teil ihres Zero-Trust-Sicherheitsansatzes zum Schutz vor bekannten und unbekannten Bedrohungen eingesetzt wird.
Da sich Malware weiterentwickelt und die Angriffstechniken immer komplexer werden, reichen die herkömmlichen Präventivkontrollen wie Anti-Malware-Engines und Sandboxen nicht aus, um Bedrohungen abzuwehren, bevor es zu spät ist, denn sie wurden entwickelt, um eine Anomalie in einer Datei oder im Verhalten einer Datei zu erkennen.
Mit der Einstellung, dass jede Datei eine potenzielle Bedrohung darstellt, und der Konzentration auf Prävention statt nur auf Erkennung können Unternehmen ihre Sicherheitslage verbessern. Die Technologie von Deep CDR wurde entwickelt, um Zero-Day-Cyber-Bedrohungen anzugehen, die von Anti-Malware-Lösungen der nächsten Generation und dynamischen Analyselösungen nicht erkannt werden. Sie geht außerdem davon aus, dass alle Dateien bösartig sind, nimmt sie auf und regeneriert sie dann so, dass die regenerierte Datei sowohl brauchbar als auch harmlos ist.
Die 2012 eingeführte Website OPSWAT MetaDefender Deep CDR wird weltweit eingesetzt, insbesondere von Kunden aus Branchen, die vom US-Heimatschutzministerium (United States Homeland Security, DHS) als "kritische Infrastruktur" eingestuft werden.
Zu den gängigen Angriffsvektoren, die von MetaDefender Deep CDR neutralisiert werden, gehören:
1. Komplexe Dateiformate: Angreifer nutzen häufig komplexe Funktionen wie eingebettete Objekte, Automatisierungsmakros, Hyperlinks, Skripte oder andere Methoden, um die Ausführung bösartiger Inhalte auszulösen. Beispiele für komplexe Dateiformate sind Microsoft Office-Dokumente (z. B. Word, Excel und PowerPoint), Adobe PDF-Dateien, AutoDesk CAD-Dateien und viele andere.
2. Schwachstellen in Anwendungen: Durch das Ausnutzen bestehender Schwachstellen in häufig verwendeten Produktivitätsanwendungen - unabhängig davon, ob es sich um komplexe oder einfache Formate handelt - überschreibt ein Angreifer den Speicher einer Anwendung über einen Pufferüberlauf-Angriff oder versucht zu scannen, welche Art von bösartigem Code auf dem Zielbetriebssystem ausgeführt werden soll. Beispiele für häufig ausgenutzte Anwendungen sind Adobe Reader, Microsoft Office usw.) Laut der National Vulnerability Database wurden bis zum 8. Dezember 2021 18.376 Schwachstellen verzeichnet, was den Rekord von 18351 aus dem Jahr 2020 übertrifft.
In den letzten neun Jahren konnten wir einen erheblichen Anstieg der Zahl der Implementierungen von Deep CDR Modulen verzeichnen, was mich stolz auf die Leistungen unseres Entwicklungsteams macht. Im gleichen Zeitraum ist eine wachsende Zahl von Sicherheitsanbietern in den CDR-Markt eingetreten, deren Behauptungen sowohl verwirrend als auch unaufrichtig sein können.
Im Folgenden finden Sie einige Leitfragen, die Ihnen dabei helfen werden, die für Ihr Unternehmen am besten geeignete CDR-Lösung zu finden.
Grundlegende Fragen
1. Welche Arten von Archivformaten unterstützt das CDR? Archive haben sich in den letzten Jahren immer mehr durchgesetzt, da sie eine Möglichkeit darstellen, mehrere Dateitypen in einem einzigen Datenträger zu integrieren und zu speichern. Bitten Sie um Einsicht in die Liste der vom CDR unterstützten Archive und vergewissern Sie sich, dass Sie damit zusammenhängende Funktionen steuern können, z. B. den Grad der Rekursion (d. h. wenn eine PDF-Datei in eine PowerPoint-Datei eingebettet ist, kann die Technologie beide Dateien analysieren und rekonstruieren).
2. Wie viele Dateitypen werden unterstützt? Da es mehr als 5.000 bekannte Dateitypen gibt, sollten Sie sich erkundigen, wie viele Dateitypen ein CDR-Anbieter unterstützt, die Nachweise pro Dateityp prüfen und die Liste der Dateitypen mit denen vergleichen, die Ihr Unternehmen verwendet. Entsprechende Informationen finden Sie hier und einige Beispiele für Bereinigungsberichte hier.
3. Bleibt die Benutzerfreundlichkeit erhalten? Wenn Sie mit Dateien wie PowerPoint arbeiten, die Animationen enthalten, oder mit Excel, wo Sie bestehende Makrofunktionen beibehalten möchten, müssen Sie sicherstellen, dass die neu erstellte Datei diese Funktionen beibehält. Eine Möglichkeit, dies zu testen, ist die Verarbeitung einer Beispieldatei als Teil Ihres Bewertungsprozesses.
4. Unterstützt das CDR umfassende Konfigurationen, die für Ihren Anwendungsfall geeignet sind? Entfernt das CDR Hyperlinks für einen bestimmten Dateityp? Behält es eingebettete Makros bei oder entfernt es sie?
5. Erstellt das CDR einen Prüfpfad? Erfasst und protokolliert das CDR beispielsweise, welche Objekte entfernt und welche Objekte bereinigt wurden? Wie kann man die Integrität eines Archivs überprüfen?
6. Können Sie unterschiedliche CDR-Richtlinien für verschiedene Datenkanäle einsetzen? Erlaubt es das CDR beispielsweise, ein Excel-Makro für interne E-Mails beizubehalten, während es für externe E-Mails entfernt wird?
7. Welche Betriebssysteme unterstützt das CDR? Welche Dateien funktionieren auf den einzelnen Betriebssystemen? Wenn Ihr Unternehmen sowohl Windows als auch Linux unterstützt, kann der Anbieter beide unterstützen?
8. Wie ist die CDR-Leistung pro Dateityp? Verschiedene Dateitypen sollten eine unterschiedliche Leistung haben. Setzen Sie die CDR-Technologie ein und führen Sie einige Beispieldateien aus, um zu prüfen, ob die Leistung des Anbieters den Anforderungen Ihres Unternehmens entspricht.
Detaillierte F&E-Fragen
9. Wie sicher ist der Entwurf? Wird ein sicheres Entwurfsmuster angewandt? Wie wird die CDR-Engine geschützt? Ist ein Secure SDLC-Prozess (Software Development Lifecycle) implementiert? Bitten Sie darum, eine CDR-Entwurfsarchitektur zu prüfen und den Entwurf zu hinterfragen.
10. Ist sie nachhaltig? Wie viele Ingenieure arbeiten an dieser Technologie, welchen Hintergrund haben sie? Bitten Sie um ein Organigramm.
Wie sieht der technische Prozess aus? Wie wird die Qualitätssicherung durchgeführt? Bitten Sie um eine Überprüfung der technischen QS-Verfahren. Ist der Build-Prozess sicher? Gibt es eine Lösung zur Verhinderung von Malware in der Build-Kette? Über welche Sicherheitszertifizierung verfügt der Anbieter?
11. Wie wird es getestet? Gibt es eine Validierung durch Dritte? (Einige Regierungen haben einige Tests durchgeführt, externe Pen-Tests); fragen Sie nach den Ergebnissen. Wie groß ist der Testdatensatz? Fragen Sie nach echten Malware-Proben und Zero-Day-Angriffsproben. Wie können Sie sicher sein, dass die Benutzerfreundlichkeit bei einer großen Datenmenge erhalten bleibt? Bitten Sie darum, die Testdatensätze manuell zu überprüfen. Werden die Tests mit aktuellen Bedrohungen durchgeführt? Fordern Sie einen Datensatz an.
12. Wie leicht lässt es sich in Ihr aktuelles Produkt integrieren? REST API? Bitten Sie um Überprüfung des Dokuments.
13. Wird das Produkt aktiv verbessert? Wie häufig werden neue Versionen veröffentlicht? Bitten Sie um Einsicht in die Veröffentlichungen der letzten paar Monate.
14. Wie schnell können sie einen neuen Dateityp unterstützen? Fordern Sie sie mit etwas heraus, das Sie in Ihrem Unternehmen verwenden.
15. Wie sieht ihr Produktplan aus? Es gibt mehr als 5.000 Dateiformate. Glauben Sie, dass das Team in der Lage ist, viele davon oder die für Ihr Unternehmen wichtigsten zu bearbeiten?
Rechtliche Perspektive
16. Wenn die Technologie Bibliotheken von Drittanbietern nutzt, sind diese rechtmäßig lizenziert? Bitten Sie um Einsicht in die EULAs für die Liste der Bibliotheken oder andere unterstützende Dokumente.
Die Auswahl einer CDR-Technologie ist keine einfache Übung zum Abhaken von Kästchen - wir bieten in unserem kostenlosen Akademiemodul einige zusätzliche Schulungen an.
Wenn Sie mehr erfahren möchten, laden Sie diesen Leitfaden herunter, der einen Überblick über die Content Disarm and Reconstruction (CDR)-Technologie gibt und erklärt, wie Sie die beste CDR-Lösung auswählen können, um Ihr Unternehmen und Ihre Infrastruktur vor neuen Cybersecurity-Bedrohungen zu schützen.
