Le désarmement et la reconstruction du contenu (CDR), également connu sous le nom d'extraction des menaces, protège de manière proactive contre les menaces connues et inconnues contenues dans les documents en supprimant le contenu exécutable.
La solution est unique car elle ne repose pas sur la détection comme la plupart des solutions de sécurité. Tout contenu exécutable contenu dans un document est supprimé, qu'il soit ou non détecté comme une menace potentielle pour l'utilisateur. Cela permet au CDR d'offrir une véritable prévention de type "zero-day", tout en livrant rapidement les fichiers aux utilisateurs.
La grande majorité des infections par logiciel malveillant commencent par un courriel d'hameçonnage. Une grande partie d'entre eux utilisent un document malveillant comme mécanisme de diffusion. En 2020, plus de 70 % des pièces jointes ou des liens malveillants envoyés par courrier électronique et environ 30 % des téléchargements malveillants sur le web ont été transmis par l'intermédiaire de documents tels que PDF, Microsoft Office Word, Excel et PowerPoint.
Cependant, si un document peut être militarisé, cela ne signifie pas qu'il soit complètement malveillant. Les documents Microsoft Office sont structurés comme des fichiers ZIP, contenant des dossiers avec un certain nombre de fichiers différents. Cela signifie que le script malveillant contenu dans un fichier Office n'est qu'un des nombreux fichiers qu'il contient.
Les PDF sont similaires en ce sens qu'ils sont également construits à partir d'une collection de différents éléments. Un fichier PDF malveillant contient un certain nombre d'objets qui se combinent pour créer le fichier que le destinataire voit. Cependant, seul un ou quelques-uns de ces objets contiennent le code de script malveillant caché dans le document.
Il est très risqué de transmettre un fichier Microsoft Office ou PDF potentiellement malveillant au destinataire prévu. Il y a toujours un risque que le destinataire ouvre le fichier, active les macros et infecte son ordinateur avec un logiciel malveillant. En outre, cette approche repose sur la détection du contenu malveillant. D'autre part, en supprimant entièrement le fichier, le destinataire risque de manquer des informations importantes qui étaient incluses dans le document militarisé. Le désarmement et la reconstruction du contenu offrent une alternative sûre au simple blocage des fichiers malveillants.
Dans un fichier Microsoft Office ou PDF militarisé, seule une petite partie des fichiers ou des objets qui composent le document sont potentiellement malveillants. Il s'agit de tout contenu exécutable incorporé dans le document. Avec le CDR, ces éléments exécutables sont retirés du document, puis le document est reconstruit à l'aide des éléments restants. Il suffit souvent de reconstruire les fichiers utilisés par Microsoft Office ou un lecteur PDF pour supprimer les références au contenu supprimé.
Check Point La technologie Threat Extraction de SandBlast offre une solution de désarmement et de reconstruction du contenu (CDR) à la pointe de l'industrie. SandBlast Threat Extraction offre un certain nombre d'avantages pour la cybersécurité de l'organisation et la productivité des employés :
Si les courriels d'hameçonnage constituent la méthode la plus courante et la plus connue pour transmettre des documents et des logiciels malveillants à un destinataire, ils sont loin d'être la seule option. Les contenus malveillants peuvent être diffusés sur les plateformes de collaboration d'entreprise (comme Slack et Microsoft Teams), par messagerie texte, sur les médias sociaux et autres applications mobiles, et par téléchargement à partir de sites web malveillants ou compromis.
C'est pourquoi, pour être efficace, le PCEM doit être déployé de manière à protéger tous ces vecteurs d'infection potentiels. La technologie Harmony de Check Point est disponible pour toutes les plateformes avec Harmony Endpoint(Sécurité des postes), Harmony Mobile (sécurité des mobiles) et Harmony Browse (sécurité de la navigation).
En déployant la technologie Harmony de Check Point, une organisation peut protéger ses utilisateurs contre la méthode la plus courante de diffusion de logiciels malveillants tout en minimisant l'impact sur la productivité des employés. La diffusion en plusieurs étapes de fichiers potentiellement malveillants (i.e. Ceux qui contiennent du code exécutable) garantit que les employés peuvent recevoir des fichiers rapidement, mais qu'ils n'accèdent au contenu exécutable qu'une fois que celui-ci a été vérifié comme étant inoffensif.
Pour en savoir plus sur les solutions Harmony de Check Point, consultez cette vidéo. Pour découvrir comment la technologie Harmony peut contribuer à fournir une protection complète à votre organisation contre les documents piratés, demandez une démo pour Harmony Endpoint et une démo pour Harmony Mobile.