CDR(Content Disarm and Reconstruction)は、既知および未知の脅威の両方から保護するためのゼロトラスト・セキュリティ・アプローチの一環として、組織でますます使用されるようになっている高度な脅威防止技術です。
マルウェアが進化し、攻撃手法が複雑化するにつれて、マルウェア対策エンジンやサンドボックスのような従来の予防的コントロールは、ファイルやファイルの動作の異常を検出するために構築されているため、手遅れになる前に脅威を防ぐには十分ではありません。
Deep CDR テクノロジーは、次世代マルウェア対策や動的解析ソリューションでは検出されないゼロデイのサイバー脅威に対応するために構築されました。また、すべてのファイルが悪意のあるものであると仮定し、ファイルを取り込み、再生成されたファイルが使用可能かつ無害な方法で再生成します。
2012年に導入されたOPSWAT'のMetaDefender Deep CDR 、特に米国国土安全保障省(US DHS)が「重要インフラ」とみなす業界の顧客によって、世界的に広く導入されている。
MetaDefender Deep CDR によって無力化される一般的な攻撃ベクトルには、以下のようなものがある:
1.複雑なファイル形式: 攻撃者は多くの場合、埋め込みオブジェクト、オートメーションマクロ、ハイパーリンク、スクリプトなどの複雑な機能を悪用し、悪意のあるコンテンツの実行を誘発します。複雑なファイル形式の例としては、Microsoft Office文書(Word、Excel、PowerPointなど)、Adobe PDFファイル、AutoDesk CADファイルなどが挙げられます。
2. アプリケーションの脆弱性:アプリケーションの脆弱性:一般的に使用されている生産性アプリケーション内の既存の脆弱性を悪用することで、複雑な形式であるか単純な形式であるかにかかわらず、攻撃者はバッファオーバーフロー攻撃によってアプリケーションのメモリを上書きしたり、ターゲットとなるオペレーティングシステム上で実行する悪意のあるコードの種類をスキャンしようとします。National Vulnerability Databaseによると、2021年12月8日時点で18,376件の脆弱性が記録されており、2020年の記録18351件を上回っている。
この9年間で、Deep CDR モジュールの導入数が大幅に増加したことを目の当たりにし、当社のエンジニアリング・チームが成し遂げてきたことを誇りに思います。同じ期間に、ますます多くのセキュリティ・ベンダーがCDR市場に参入し、混乱を招きかねない、また不誠実な主張を展開しています。
以下は、どのCDRソリューションがあなたの組織に最適かを判断するのに役立つ、いくつかのガイドラインとなる質問です。
ベースラインの質問
1.CDRはどのようなアーカイブ形式をサポートしていますか?アーカイブは、1つのボリュームに複数のファイルタイプを統合して保存する方法として、ここ数年でますます普及しています。CDRがサポートしているアーカイブのリストを確認し、再帰のレベルなど、関連する機能を制御できるかどうかを確認してください(たとえば、PDFがPowerPointファイルの中に埋め込まれている場合、このテクノロジーは両方のファイルを分析し、再構築することができますか)。
2.サポートされているファイルタイプはいくつありますか?既知のファイルタイプは5,000以上あるため、CDRベンダーがサポートしているファイルタイプの数を尋ね、ファイルタイプごとにエビデンスを確認し、ファイルタイプのリストを組織が使用しているものと比較する必要があります。関連情報はこちらで、サニタイズ・レポートの例はこちらでご覧いただけます。
3.使い勝手は保たれているか?PowerPointのようにアニメーションのビルドを含むファイルや、Excelのように既存のマクロ機能を保持したいファイルを扱う場合、リビルド後のファイルがこれらの機能を保持していることを確認する必要があります。これをテストする1つの方法は、評価プロセスの一環としてサンプルファイルを処理することです。
4.CDRは、ユースケースに合わせた包括的な設定をサポートしていますか?CDRは、特定のファイルタイプのハイパーリンクを削除しますか?埋め込まれたマクロを保持または削除しますか?
5.CDRは監査証跡を作成するか?例えば、CDRはどのオブジェクトが削除され、どのオブジェクトがサニタイズされたかを記録し、ログに残しますか?アーカイブの完全性をどのように検証できますか?
6.別々のデータ・チャネルに対して異なるCDRポリシーを導入できますか?例えば、社内の電子メールではExcelマクロを保持し、社外の電子メールではそれを削除することができますか?
7.CDRはどのオペレーティングシステムをサポートしていますか?どのファイルが各オペレーションシステムで動作しますか?組織がWindowsとLinuxの両方をサポートしている場合、ベンダーは両方をサポートできますか?
8.ファイルタイプごとのCDRパフォーマンスは? ファイルタイプが異なれば、パフォーマンスも異なるはずです。CDRテクノロジーを導入し、いくつかのサンプルファイルを実行して、ベンダーのパフォーマンスが組織の要件を満たしていることを確認してください。
研究開発に関する詳細な質問
9.設計の安全性は?安全な設計パターンが適用されているか?CDRエンジンをどのように保護していますか?Secure SDLC(Software 開発ライフサイクル)プロセスが実装されているか?CDR設計アーキテクチャのレビューを依頼し、設計に挑戦してください。
10.持続可能か? 何人のエンジニアがこの技術を構築しているのか、彼らの経歴は?組織図を見せてもらう。
エンジニアリング・プロセスとは?どのようにQAを実施しているのか?エンジニアリングQA手順を確認するよう求める。ビルド・プロセスは安全か?ビルド・チェーンにマルウェアが埋め込まれるのを防ぐソリューションはあるか?ベンダーはどのようなセキュリティ認証を取得しているか?
11.どのようにテストされていますか? 第三者による検証はあるか?(いくつかの政府はいくつかのテストを実施し、アウトソースのペンテスト);結果を見るように頼む。テストデータセットの規模は?真のマルウェアサンプルやゼロデイ攻撃のサンプルを見せてもらうこと。膨大なデータセットでユーザビリティが保たれていることをどのように確認できますか?テストデータセットを手動で検証するよう依頼する。最近の脅威でテストしているか?データセットを要求する。
12.現在の製品との統合は容易ですか?RESTAPI?ドキュメントを確認してもらう。
13.製品は積極的に改良されているか?リリースの頻度は?過去数カ月分のリリースを見てもらう。
14.新しいファイルタイプにどれだけ早く対応できるか?あなたの組織で使用しているものを使って挑戦してみてください。
15.製品ロードマップはどのようになっていますか?ファイルフォーマットは5,000以上あります。チームはそれらの多くに対応できると思いますか、それともあなたの組織にとって最も重要なものに対応できると思いますか?
法的観点
16.その技術がサードパーティのライブラリを利用している場合、それらは合法的にライセンスされていますか?ライブラリ一覧のEULAやその他のサポート文書を見せてもらう。
CDR技術を選択することは、単純なチェックオフの練習ではありません - 私たちは、無料のアカデミーモジュールで利用可能ないくつかの追加トレーニングを用意しています。
さらに詳しくお知りになりたい方は、コンテンツ解除・再構築(CDR)技術の概要と、新たなサイバーセキュリティの脅威からビジネスとインフラを保護するための最適なCDRソリューションの選択方法について説明したこのガイドをダウンロードしてください。
