什么是内容解除武装和重建? CDR 工具如何保护您免受恶意文件的侵害

作者
Tweet
Share
Share
Pin
0 Shares

网络钓鱼是导致个人电脑和移动设备感染恶意软件的主要途径之一。不法分子利用各种网络钓鱼手段,诱骗受害者打开携带恶意代码的电子邮件附件,从而入侵其设备。不过,借助内容解除与重建工具,您可以从文档中剔除恶意成分,有效保护您的系统和网络安全。那么,究竟什么是内容解除与重建?其工作原理是怎样的?又有哪些潜在的不足之处?接下来,让我们一同深入探讨。

什么是内容解除与重建?

内容解除与重建 (CDR),也常被称为威胁提取、文件清理或数据清洗,是一种旨在从文件中移除可执行代码的安全技术。

如果有人发送给您一个受感染的电子邮件附件,CDR 工具会立即清除附件中存在的恶意代码。这意味着,即使您将该附件下载到设备上,您的系统也不会遭受感染。

与大多数依赖于检测来防御威胁的安全方案不同,CDR 默认所有传入文件都存在恶意风险,并主动清除其中的活动内容。 此外,CDR 技术还能有效保护您的计算机系统和网络免受零日攻击的侵害。

您可以部署内容解除与重建技术,以保护网络中的多个入口点,例如电脑、电子邮件系统、文件共享服务等等。

内容解除与重建如何运作?

简而言之,内容解除与重建技术的运作流程如下:

  • 首先,CDR 工具会将文件分解为最基本的组成部分。
  • 随后,它会逐一扫描每个组件,以识别任何潜在的有害元素,例如宏和嵌入式脚本。
  • 接下来,文件中的所有组件都会被清除任何有害元素。
  • 最后,系统会利用剩余的安全组件构建一个全新的文件,并将其发送给接收者。

内容解除与重建技术能够支持多种文件格式,包括 PDF、Microsoft Office 文档、HTML、以及各种媒体文件(如图像、视频和音频文件)等等。

此外,部分 CDR 工具还允许您将原始文件转换为其他格式。 而且,在经过 CDR 的沙箱分析确认原始文件无害后,您还可以访问该原始文件。

内容解除与重建的类型

以下是三种主要的内容解除与重建技术。

1. 平面文件转换

这种类型的内容解除与重建技术,通过将包含活动内容的文件转换为平面 PDF 文件,并移除宏、字段和超链接等内容,从而有效防御已知和未知的安全威胁。

这样一来,用户设备就不会受到任何恶意软件的侵扰,因为他们下载的文件中不再存在任何恶意元素。

2. 内容剥离

内容剥离 CDR 技术专注于移除特定类型的内容,例如嵌入的恶意对象或潜在的活动内容,以确保用户仅下载安全的文件。

3. 正向选择

这是最先进的一种 CDR 技术。 它在重建文件时,只保留并上传那些已知安全的、从原始文件中经过积极筛选的内容。 重建后的文件通常能保持原始文件的所有可用性、功能和保真度。

CDR 技术的优势

内容解除与重建技术能够保护系统免受潜在恶意文件的侵害,为组织安全提供了多重益处。

1. 防范零日威胁

实施 CDR 技术可以清除从网络下载的文档中的所有可执行内容,不论这些内容是否具有恶意性质。 这意味着 CDR 工具能够有效保护您免受零日攻击的威胁。

2. 提升工作效率

为了高效完成工作,员工通常需要在网上进行研究并下载相关文档。 然而,从网络下载文件可能会导致系统和网络感染各种类型的恶意软件。

因此,安全团队有时会对某些特定类型的文件下载施加限制。 这无疑会影响员工从网络自由进行研究和下载的能力。

不过,如果您部署了 CDR 工具,则不必再限制任何类型文件的下载。 恶意嵌入对象会被自动从文档中清除,员工会收到不含任何已知和未知恶意软件的干净文档。 由于他们可以自由地从网络下载文档,这无疑会大幅提升他们的工作效率。

3. 全面保护多个来源免受网络威胁

内容解除与重建技术能够保护您的组织免受隐藏在多个文档入口点的威胁,包括电子邮件、Web 浏览器、文件服务器、云端等。

因此,通过部署一个统一的安全工具,您可以保护多个不同的入口点。

4. 降低数据泄露风险

难以清除的勒索软件攻击是导致数据泄露的主要原因。 电子邮件附件和网络钓鱼攻击是常见的攻击媒介。

根据 Hornetsecurity 的研究报告,大约 57% 的勒索软件攻击是通过电子邮件和网络钓鱼进行的。

CDR 可以移除电子邮件附件中的恶意内容,从而有效保护您的系统和网络免受已知和未知的勒索软件威胁。

如何部署 CDR 解决方案

在部署 CDR 解决方案时,您应当选择能够满足您的安全需求的供应商。

以下是一些可以帮助您选择合适的 CDR 供应商的问题:

  • 它支持多少种文件类型?
  • 文档的可用性是否得到充分保留?
  • CDR 工具支持哪些操作系统?
  • CDR 工具的安全性如何?
  • 您可以为 CDR 创建审计追踪吗?

此外,您应该咨询供应商是否允许您为不同的数据通道设置不同的策略。 例如,CDR 工具是否允许您在 MS Word 文档中保留可填写的表格?

CDR 技术的缺点

CDR 工具会移除文档中的活动内容,导致用户收到平面文档。 这意味着,如果某人需要从可信来源获取包含宏的电子表格,他们得到的可能是一个禁用了基本功能的平面文件。

即使 CDR 工具采用正向选择技术,有时也可能会移除某些文件元素,从而影响生成文件的功能。

因此,用户可能无法编辑或处理生成的文件,因为它不再具备完整的功能,从而可能影响他们的工作效率。

虽然一些 CDR 工具可以帮助用户在沙箱分析后接收原始文件,但这也意味着他们需要等待一段时间才能获得所需文档。 当用户急需原始文件时,有时可能无法立即获取。

部署内容解除与重建以消除威胁

从网络下载文件会带来严重的安全风险。 您永远无法预知哪个文档可能包含恶意元素,从而感染您的系统和网络。 因此,部署内容解除与重建工具对于提升公司的整体安全态势至关重要。

CDR 工具还能帮助您抵御欺骗性文件攻击,在这种攻击中,黑客会伪造文件扩展名来传播木马病毒。