Content Disarm and Reconstruction (CDR), hem bilinen hem de bilinmeyen tehditlere karşı koruma sağlamak için sıfır güven güvenlik yaklaşımlarının bir parçası olarak kuruluşlar tarafından giderek daha fazla kullanılan gelişmiş bir tehdit önleme teknolojisidir.
Kötü amaçlı yazılımlar geliştikçe ve saldırı teknikleri daha karmaşık hale geldikçe, kötü amaçlı yazılımdan koruma motorları ve kum havuzları gibi geleneksel önleyici kontroller, bir dosyadaki veya bir dosyanın davranışındaki bir anormalliği tespit etmek için oluşturulduğundan, çok geç olmadan tehditleri önlemek için yeterli değildir.
Her dosyanın potansiyel bir tehdit oluşturduğu zihniyetiyle ve sadece tespit etmek yerine önlemeye odaklanarak kuruluşlar güvenlik duruşlarını iyileştirebilirler. Deep CDR teknolojisi, yeni nesil kötü amaçlı yazılımdan koruma ve dinamik analiz çözümleri tarafından tespit edilmeyen sıfır gün siber tehditlerini ele almak için oluşturulmuştur. Ayrıca, tüm dosyaların kötü amaçlı olduğunu varsayar, bunları alır ve ardından yeniden oluşturulan dosyanın hem kullanılabilir hem de zararsız olduğu bir şekilde yeniden oluşturur.
2012 yılında tanıtılan OPSWAT'un MetaDefender Deep CDR ürünü, özellikle Amerika Birleşik Devletleri İç Güvenlik (US DHS) tarafından "kritik altyapı" olarak kabul edilen sektörlerdeki müşteriler tarafından dünya çapında yaygın olarak kullanılmaktadır.
MetaDefender Deep CDR tarafından etkisiz hale getirilen yaygın saldırı vektörleri şunlardır:
1. Karmaşık dosya formatları: Saldırganlar genellikle kötü amaçlı içeriğin yürütülmesini tetiklemek için gömülü nesneler, otomasyon makroları, köprüler, komut dosyası oluşturma veya diğer yöntemler gibi karmaşık işlevlerden yararlanır. Karmaşık dosya formatlarına örnek olarak Microsoft Office belgeleri (yani Word, Excel ve PowerPoint), Adobe PDF dosyaları, AutoDesk CAD dosyaları ve diğerleri verilebilir.
2. Uygulama güvenlik açıkları: Bir saldırgan, yaygın olarak kullanılan üretkenlik uygulamalarındaki mevcut güvenlik açıklarından yararlanarak - formatların karmaşık veya basit olmasına bakılmaksızın - bir Arabellek Taşması Saldırısı yoluyla bir uygulamanın belleğinin üzerine yazacak veya hedef işletim sisteminde hangi tür kötü amaçlı kodun çalıştırılacağını taramaya çalışacaktır. Yaygın olarak istismar edilen uygulamalara örnek olarak Adobe Reader, Microsoft Office vb. verilebilir) National Vulnerability Database'e göre, 8 Aralık 2021 itibariyle 18.376 güvenlik açığı kaydedilmiş olup, bu sayı 18351 olan 2020 rekorunu geride bırakmıştır.
Son dokuz yılda, mühendislik ekibimizin başardıklarıyla gurur duymamı sağlayan Deep CDR modül dağıtımlarının sayısında önemli bir artışa tanık olduk. Aynı dönemde, giderek artan sayıda güvenlik satıcısı, hem kafa karıştırıcı hem de samimiyetsiz olabilen iddialarla CDR pazarına girdi.
Aşağıda, kuruluşunuz için hangi CDR çözümünün en iyisi olduğunu belirlemenize yardımcı olacak bazı kılavuz sorular listelenmiştir.
Temel Sorular
1. CDR ne tür arşiv formatlarını destekler? Arşivler, birden fazla dosya türünü tek bir birimde entegre etmenin ve depolamanın bir yolu olarak son birkaç yılda giderek daha yaygın hale geldi. CDR'nin desteklediği arşivlerin listesini gözden geçirmeyi isteyin ve özyineleme düzeyi gibi ilgili özellikleri kontrol edip edemeyeceğinizi kontrol edin (örneğin, bir PowerPoint dosyasının içine bir PDF yerleştirilmişse, teknoloji her iki dosyayı da analiz edip yeniden yapılandırabilir mi?)
2. Kaç dosya türü destekleniyor? Bilinen 5.000'den fazla dosya türü olduğundan, bir CDR satıcısının kaç dosya türünü desteklediğini sormalı ve dosya türü başına kanıtları incelemeli ve dosya türleri listesini kuruluşunuzun kullandıklarıyla karşılaştırmalısınız. İlgili bilgileri burada ve bazı sanitizasyon raporu örneklerini burada bulabilirsiniz.
3. Kullanılabilirlik korunuyor mu? Animasyon yapıları içeren PowerPoint veya mevcut makro işlevlerini korumak istediğiniz Excel gibi dosyalarla uğraşırken, yeniden oluşturulan dosyanın bu yetenekleri koruyacağından emin olmanız gerekir. Bunu test etmenin bir yolu, değerlendirme sürecinizin bir parçası olarak örnek bir dosyayı işlemektir.
4. CDR, kullanım durumunuza uyacak kapsamlı yapılandırmaları destekliyor mu? CDR belirli bir dosya türü için köprüleri kaldırıyor mu? Gömülü makroları koruyor veya kaldırıyor mu?
5. CDR bir denetim izi oluşturuyor mu? Örneğin, CDR hangi nesnelerin kaldırıldığını ve hangi nesnelerin sterilize edildiğini kaydedip günlüğe kaydediyor mu? Bir arşivin bütünlüğünü nasıl doğrulayabilirsiniz?
6. Ayrı veri kanalları için farklı CDR ilkeleri dağıtabilir misiniz? Örneğin, CDR dahili e-postalar için bir Excel makrosunu tutarken harici e-postalar için kaldırmanıza izin verecek mi?
7. CDR hangi işletim sistemlerini destekliyor? Her işletim sisteminde hangi dosyalar çalışır? Kuruluşunuz hem Windows hem de Linux'u destekliyorsa, satıcı her ikisini de destekleyebilir mi?
8. Dosya türüne göre CDR performansı nedir? Farklı dosya türleri farklı performansa sahip olmalıdır. CDR teknolojisini dağıtın ve satıcı performansının kuruluşunuzun gereksinimlerini karşıladığını doğrulamak için bazı örnek dosyaları çalıştırın.
Detaylı AR-GE soruları
9. Tasarım ne kadar güvenli? Herhangi bir güvenli tasarım modeli uygulandı mı? CDR motorunu nasıl koruyorsunuz? Uygulanan bir Secure SDLC (Software Geliştirme Yaşam Döngüsü) süreci var mı? Bir CDR tasarım mimarisini gözden geçirmeyi ve tasarıma meydan okumayı isteyin.
10. Sürdürülebilir mi? Bu teknolojiyi kaç mühendis geliştiriyor, geçmişleri nedir? Organizasyon şemasını görmek isteyin.
Mühendislik süreci nedir? QA'yı nasıl gerçekleştiriyorlar? Mühendislik QA prosedürlerini gözden geçirmelerini isteyin. Derleme süreci güvenli mi? Derleme zincirine gömülü kötü amaçlı yazılımları önlemek için herhangi bir çözüm var mı? Satıcı hangi güvenlik sertifikasına sahip?
11. Nasıl test ediliyor? Üçüncü taraf doğrulaması var mı? (Bazı hükümetler bazı testler yaptı, dış kaynaklı Pen-test); sonuçları görmek isteyin. Test veri seti ne kadar büyük? Gerçek kötü amaçlı yazılım örneklerini ve sıfırıncı gün saldırı örneklerini görmek isteyin. Büyük bir veri setiyle kullanılabilirliğin devam ettiğinden nasıl emin olabilirsiniz? Test veri setlerini manuel olarak doğrulamayı isteyin. Güncel tehditlerle test yapıyorlar mı? Bir veri seti talep edin.
12. Mevcut ürününüzle ne kadar kolay entegre oluyor? REST API? Belgeyi incelemenizi isteyin.
13. Ürün aktif olarak gelişiyor mu? Sürüm sıklığı nedir? Son birkaç ayın sürümlerini görmek isteyin.
14. Yeni bir dosya türünü ne kadar hızlı destekleyebilirler? Kuruluşunuzda kullandığınız bir şeyle onlara meydan okuyun.
15. Ürün yol haritaları neye benziyor? 5.000'den fazla dosya formatı var. Ekibin bunların çoğunu veya kuruluşunuz için en önemli olanları ele alabileceğine inanıyor musunuz?
Yasal perspektif
16. Teknoloji üçüncü taraf kütüphanelerden yararlanıyorsa, bunlar yasal olarak lisanslı mı? Kütüphanelerin listesi veya diğer destekleyici belgeler için EULA'ları görmek isteyin.
Bir CDR teknolojisi seçmek basit bir kutuları işaretleme alıştırması değildir - ücretsiz Akademi modülümüzde bazı ek eğitimler sunuyoruz.
Daha fazla bilgi edinmek istiyorsanız, İçerik Etkisizleştirme ve Yeniden Yapılandırma (CDR) teknolojisine genel bir bakış sunan ve işletmenizi ve altyapınızı ortaya çıkan siber güvenlik tehditlerinden korumak için en iyi CDR çözümünü nasıl seçebileceğinizi anlatan bu kılavuzu indirin.
