Il disarmo e la ricostruzione dei contenuti (CDR), noto anche come Threat Extraction, protegge in modo proattivo dalle minacce note e sconosciute contenute nei documenti, rimuovendo i contenuti eseguibili.
La soluzione è unica perché non si basa sul rilevamento come la maggior parte delle soluzioni di sicurezza. Qualsiasi contenuto eseguibile all'interno di un documento viene rimosso, indipendentemente dal fatto che venga rilevato come una potenziale minaccia per l'utente. Ciò consente al CDR di offrire una vera prevenzione zero-day, consegnando al contempo i file agli utenti in modo rapido.
La stragrande maggioranza delle infezioni da malware inizia con un'e-mail di phishing. Di questi, una parte significativa utilizza un documento dannoso come meccanismo di consegna. Nel 2020, oltre il 70% degli allegati o dei link malicious email e circa il 30% dei download web dannosi sono stati consegnati attraverso documenti come PDF, Microsoft Office Word, Excel e PowerPoint.
Tuttavia, anche se un documento può essere armato, questo non significa che sia completamente dannoso. I documenti di Microsoft Office sono strutturati come file ZIP, contenenti cartelle con una serie di file diversi. Ciò significa che lo script dannoso all'interno di un file Office è solo uno dei diversi file che contiene.
I PDF sono simili in quanto sono anch'essi costruiti a partire da una raccolta di pezzi diversi. Un file PDF dannoso contiene una serie di oggetti che si combinano per creare il file che il destinatario vede. Tuttavia, solo uno o pochi di questi oggetti contengono il codice script dannoso nascosto nel documento.
Inoltrare un file Microsoft Office o PDF potenzialmente dannoso al destinatario previsto è molto rischioso. C'è sempre la possibilità che il destinatario apra il file, attivi le macro e infetti il suo computer con un malware. Inoltre, questo approccio si basa sul rilevamento del contenuto dannoso. D'altra parte, eliminando completamente il file si corre il rischio che il destinatario perda informazioni importanti che erano incluse nel documento armato. Il disarmo e la ricostruzione dei contenuti offre un'alternativa sicura al semplice blocco dei file dannosi.
In un file Microsoft Office o PDF armato, solo una piccola parte dei file o degli oggetti che compongono il documento sono potenzialmente dannosi. Si tratta di qualsiasi contenuto eseguibile incorporato nel documento. Con la CDR, questi elementi eseguibili vengono eliminati dal documento e poi il documento viene ricostruito utilizzando i pezzi rimanenti. Spesso è sufficiente ricostruire i file utilizzati da Microsoft Office o da un lettore PDF per rimuovere i riferimenti al contenuto eliminato.
La tecnologia Threat Extraction di Check Point SandBlast offre una soluzione di Content Disarm and Reconstruction (CDR) leader del settore. SandBlast Threat Extraction offre una serie di vantaggi per la cybersecurity organizzativa e la produttività dei dipendenti, tra cui:
Sebbene le e-mail di phishing siano il metodo più comune e più conosciuto per consegnare documenti dannosi e malware a un destinatario, non sono affatto l'unica opzione. I contenuti dannosi possono essere trasmessi attraverso le piattaforme di collaborazione aziendale (come Slack e Microsoft Teams), attraverso i messaggi di testo, i social media e altre applicazioni mobili, e tramite download da siti web dannosi o compromessi.
Per questo motivo, la CDR deve essere impiegata per proteggere tutti questi potenziali vettori di infezione, per essere efficace. La tecnologia Harmony di Check Point è disponibile per tutte le piattaforme con Harmony Endpoint (Endpoint Security), Harmony Mobile (sicurezza mobile) e Harmony Browse
Implementando la tecnologia Harmony di Check Point, un'organizzazione può proteggere i suoi utenti dal metodo più comune di distribuzione del malware, riducendo al minimo l'impatto sulla produttività dei dipendenti. La consegna in più fasi di file potenzialmente dannosi (ad es. quelli che contengono codice eseguibile) fa sì che i dipendenti possano ricevere rapidamente i file, ma che accedano ai contenuti eseguibili solo dopo aver verificato che siano benigni.
Per saperne di più sulle soluzioni Harmony di Check Point, guardi questo video. Per vedere come la tecnologia Harmony può aiutare a fornire una protezione completa alla sua organizzazione contro i documenti armati, richieda una demo di Harmony Endpoint e una demo di Harmony Mobile.