CDR (ang. Content Disarm & Reconstruction) – technologia cyberbezpieczeństwa polegająca na usuwaniu potencjalnie złośliwych części plików bez utraty ich pierwotnej treści. Nazywana jest też „oczyszczaniem zawartości”. Obecnie to jedyna technologia, która gwarantuje prawie 100% skuteczność w wykrywaniu i zapobieganiu atakom phishingowym i malware.
Szkodliwe oprogramowanie jest rozpowszechniane przede wszystkim przez Internet i może przybierać różne formy. Ponad 90% złośliwego oprogramowania malware pochodzi z wiadomości e-mail, przeglądania stron www i przenośnych nośników danych. Większość infekcji złośliwym oprogramowaniem zaczyna się od wiadomości phishingowej e-mail. To od lat najbardziej skuteczna metoda działania cyberprzestępców, nakłaniająca odbiorców do otworzenia załącznika ze złośliwym oprogramowaniem lub kliknięcia w link do strony zawierającej szkodliwy plik. Kanałem dostarczenia złośliwego oprogramowania są coraz częściej platformy współpracy korporacyjnej, takie jak Microsoft Teams lub Slack, a także media społecznościowe i aplikacje mobilne.
Tradycyjne reaktywne mechanizmy zabezpieczeń, polegające na wykrywaniu złośliwego kodu lub działań cyberprzestępców, mają trudności z wykrywaniem coraz bardziej złożonego złośliwego oprogramowania. Wiele z tych mechanizmów nie rozpoznaje zagrożeń typu Zero-Day, ponieważ zabezpieczają tylko przed znanymi już zagrożeniami. To stwarza dużą lukę w zabezpieczeniach organizacji. Dlatego aby zapobiec współczesnym atakom złośliwego oprogramowania wiele przedsiębiorstw rozszerza swoje systemy bezpieczeństwa o rozwiązania typu CDR.
Czym jest CDR?
Technologia CRD (Content Disarm & Reconstruction) znana jest też jako sanityzacja danych lub rozbrajanie i rekonstrukcja zawartości. Zakłada, że cała zawartość pliku jest złośliwa, więc nie musi próbować wykrywać stale ewoluującego złośliwego oprogramowania. Zamiast tego usuwa wszystkie składniki pliku, które nie są zgodne z jego oryginalną specyfikacją. W odróżnieniu od tradycyjnych rozwiązań antywirusowych, technologia CDR traktuje każdy plik przychodzący z wiadomości e-mail, przeglądarki stron www, przenośnych nośników danych czy transferu plików B2B, jako potencjalne źródło zagrożenia. Takie podejście zapewnia ochronę zarówno przed znanymi, jak i zupełnie nowymi zagrożeniami niezależnie od poziomu ich zaawansowania. Technologia CDR może chronić szereg punktów wejścia do sieci organizacji, w tym punkty końcowe, pocztę e-mail, ruch sieciowy i usługi udostępniania plików. Podczas gdy sandbox i większość innych technik antywirusowych polega na wykrywaniu, CDR chroni także przed zagrożeniami, które nie są jeszcze znane. Zabezpiecza przed skryptami osadzonymi w plikach Office i dokumentach PDF, które są trudne do wykrycia i stanowią duże wyzwanie dla rozwiązań bezpieczeństwa opartych na skanowaniu statycznym. Może też zneutralizować wyrafinowane złośliwe oprogramowanie, które opóźnia swoje działanie w momencie weryfikacji w środowisku sandbox.
Jak działa CDR?
CDR rozkłada plik lub wiadomość e-mail na części składowe, a następnie identyfikuje i usuwa elementy, które nie są zgodne z oryginalną specyfikacją danego typu pliku, normą ISO czy polityką organizacji. Wszelkie pliki wykonywalne zawarte w dokumencie są również usuwane lub oczyszczane, niezależnie od tego, czy stanowią potencjalne zagrożenie. Następnie z pozostałej bezpiecznej zawartości „odbudowuje” czystą wersję pliku, który jest przesyłany dalej do odbiorcy.
Dla kogo jest CDR?
Wysoka ochrona przed zagrożeniami jaką zapewnia technologia CDR jest potrzebna w organizacjach, w których bezpieczeństwo ma znaczenie priorytetowe, np. w instytucjach finansowych lub organizacjach rządowych. Jednak nawet mniejsze firmy mogą odnieść korzyści z CDR np. stosując rozwiązania CDR w wybranych obszarach środowiska zamiast wdrażania pełnych procesów CDR w całej organizacji. Większość dostępnych obecnie systemów CDR umożliwia ustalenie zasad sanityzacji, które ściśle odpowiadają potrzebom organizacji. Np. makra w plikach wysyłanych wewnętrznie mogą pozostać aktywne, ale będą zawsze usuwane w plikach pochodzących z niezaufanego źródła zewnętrznego.
Jakie rozwiązanie CDR wybrać?
Przy wyborze systemu CDR istotne znaczenie ma dokładność rekonstrukcji i obsługa wielu typów plików, w tym zagnieżdżonych. Ważną cechą na jaką należy zwrócić uwagę jest też możliwość dostosowania rozwiązania do wymagań organizacji w zakresie obowiązujących regulacji czy polityk bezpieczeństwa. Należy również zwrócić uwagę na dostępne funkcje raportowania np. co jest czyszczone i w jaki sposób, ponieważ w przyszłości pozwoli to na wprowadzanie ulepszeń w konfiguracji. Ponadto dzięki szczegółowym raportom zespoły ds. bezpieczeństwa mogą szybko oceniać strategie ataków i odpowiednio dostosować inne ustawienia kontroli bezpieczeństwa.
Jednym z najbardziej innowacyjnych rozwiązań CDR, które zapewnia skuteczną ochronę organizacji na całym świecie, jest Gate Scanner firmy Sasa Software. Narzędzie działa proaktywnie i zapobiega prawie 100% niewykrywalnych zagrożeń oraz ataków z użyciem złośliwego oprogramowania przy zachowaniu pełnej widoczności, użyteczności i funkcjonalności plików. Gate Scanner ogranicza również ryzyko związane z zaniedbaniami pracowników oraz chroni przed atakami phishingowymi.
Analitycy MarketsandMarkets prognozują, że do 2023 r. wartość rynku CDR wyniesie 298 mln USD, a według Gartnera już w 2022 r. co piąta organizacja będzie wykorzystywać CDR w ramach swoich strategii ochrony. Rozwiązania CDR oferują wymierne korzyści dla organizacji i przewyższają tradycyjne rozwiązania bezpieczeństwa w prawie wszystkich aspektach – są łatwiejsze do wdrożenia, nie wymagają ciągłych aktualizacji, a ich działanie jest wielokrotnie szybsze niż analiza typu sandbox. Dlatego współczesne organizacje, którym zależy na bezpieczeństwie powinny wdrożyć CDR jako skuteczną i proaktywną ochronę przed coraz bardziej wyrafinowanymi i trudnymi do wykrycia cyberzagrożeniami.
Przedstawicielem firmy Sasa Software w Polsce jest Quest-Dystrybucja Sp. z o.o.
Tekst źródłowy: https://searchsecurity.techtarget.com/tip/Using-content-disarm-and-reconstruction-for-malware-protection