What is Content Disarm and Reconstruction (CDR)?

Il disarmo e la ricostruzione dei contenuti (CDR), noto anche come Threat Extraction, protegge in modo proattivo dalle minacce note e sconosciute contenute nei documenti, rimuovendo i contenuti eseguibili.

La soluzione è unica perché non si basa sul rilevamento come la maggior parte delle soluzioni di sicurezza. Qualsiasi contenuto eseguibile all'interno di un documento viene rimosso, indipendentemente dal fatto che venga rilevato come una potenziale minaccia per l'utente. Ciò consente al CDR di offrire una vera prevenzione zero-day, consegnando al contempo i file agli utenti in modo rapido.

Harmony Endpoint demo Demo di Harmony Mobile

What is Content Disarm and Reconstruction (CDR)?

L'infezione da malware spesso inizia con un documento

La stragrande maggioranza delle infezioni da malware inizia con un'e-mail di phishing. Di questi, una parte significativa utilizza un documento dannoso come meccanismo di consegna. Nel 2020, oltre il 70% degli allegati o dei link malicious email e circa il 30% dei download web dannosi sono stati consegnati attraverso documenti come PDF, Microsoft Office Word, Excel e PowerPoint.

Tuttavia, anche se un documento può essere armato, questo non significa che sia completamente dannoso. I documenti di Microsoft Office sono strutturati come file ZIP, contenenti cartelle con una serie di file diversi. Ciò significa che lo script dannoso all'interno di un file Office è solo uno dei diversi file che contiene.

I PDF sono simili in quanto sono anch'essi costruiti a partire da una raccolta di pezzi diversi. Un file PDF dannoso contiene una serie di oggetti che si combinano per creare il file che il destinatario vede. Tuttavia, solo uno o pochi di questi oggetti contengono il codice script dannoso nascosto nel documento.

Introduzione al Contenuto Disarmo e ricostruzione

Inoltrare un file Microsoft Office o PDF potenzialmente dannoso al destinatario previsto è molto rischioso. C'è sempre la possibilità che il destinatario apra il file, attivi le macro e infetti il suo computer con un malware. Inoltre, questo approccio si basa sul rilevamento del contenuto dannoso. D'altra parte, eliminando completamente il file si corre il rischio che il destinatario perda informazioni importanti che erano incluse nel documento armato. Il disarmo e la ricostruzione dei contenuti offre un'alternativa sicura al semplice blocco dei file dannosi.

In un file Microsoft Office o PDF armato, solo una piccola parte dei file o degli oggetti che compongono il documento sono potenzialmente dannosi. Si tratta di qualsiasi contenuto eseguibile incorporato nel documento. Con la CDR, questi elementi eseguibili vengono eliminati dal documento e poi il documento viene ricostruito utilizzando i pezzi rimanenti. Spesso è sufficiente ricostruire i file utilizzati da Microsoft Office o da un lettore PDF per rimuovere i riferimenti al contenuto eliminato.

Vantaggi del CDR

La tecnologia Threat Extraction di Check Point SandBlast offre una soluzione di Content Disarm and Reconstruction (CDR) leader del settore. SandBlast Threat Extraction offre una serie di vantaggi per la cybersecurity organizzativa e la produttività dei dipendenti, tra cui:

  • Impatto minimo sul destinatario: Qualsiasi contenuto dannoso è progettato per essere invisibile al destinatario, quindi il CDR non ha alcun impatto sulle informazioni effettive trasmesse dal file.
  • Consegna sicura: Rimuovendo il contenuto eseguibile dal documento, il file diventa sicuro per il destinatario, rendendo possibile l'invio senza rischiare la consegna di malware.
  • Protezione Zero Day: Il CDR rimuove il contenuto eseguibile, indipendentemente dal fatto che venga rilevato come dannoso. Questo le consente di proteggersi dalle minacce zero-day.
  • Consegna rapida: Il CDR elimina i ritardi associati alle sandbox tradizionali e consente di utilizzare il mondo reale deployment per la protezione zero-day in modalità di prevenzione, consegnando rapidamente i file puliti agli utenti.
  • Accesso al file originale: In alcuni casi, l'accesso al contenuto eseguibile può essere richiesto per i file benigni. Con Check Point SandBlast, l'utente può accedere al file originale dopo averne confermato l'innocuità in seguito all'ispezione della sandbox.

Check Point Harmony offre opzioni di sicurezza CDR su tutti i fronti

Sebbene le e-mail di phishing siano il metodo più comune e più conosciuto per consegnare documenti dannosi e malware a un destinatario, non sono affatto l'unica opzione. I contenuti dannosi possono essere trasmessi attraverso le piattaforme di collaborazione aziendale (come Slack e Microsoft Teams), attraverso i messaggi di testo, i social media e altre applicazioni mobili, e tramite download da siti web dannosi o compromessi.

Per questo motivo, la CDR deve essere impiegata per proteggere tutti questi potenziali vettori di infezione, per essere efficace. La tecnologia Harmony di Check Point è disponibile per tutte le piattaforme con Harmony Endpoint (Endpoint Security), Harmony Mobile (sicurezza mobile) e Harmony Browse

Implementando la tecnologia Harmony di Check Point, un'organizzazione può proteggere i suoi utenti dal metodo più comune di distribuzione del malware, riducendo al minimo l'impatto sulla produttività dei dipendenti. La consegna in più fasi di file potenzialmente dannosi (ad es. quelli che contengono codice eseguibile) fa sì che i dipendenti possano ricevere rapidamente i file, ma che accedano ai contenuti eseguibili solo dopo aver verificato che siano benigni.

Per saperne di più sulle soluzioni Harmony di Check Point, guardi questo video. Per vedere come la tecnologia Harmony può aiutare a fornire una protezione completa alla sua organizzazione contro i documenti armati, richieda una demo di Harmony Endpoint e una demo di Harmony Mobile.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK