道高一尺,魔高一丈,企業單靠現有的傳統資安防禦措施,往往,無法有效防禦未知的各種惡意程式攻擊,像是近年駭客的攻擊手法中,就常利用網頁檔案下載與郵件附檔寄送的方式,藉此發動APT、零時差攻擊。因此,近年我們看到,在防毒與沙箱偵測之外,市面上有資安廠商,開始提出CDR檔案威脅清除的技術。
這是一種有別於傳統特徵比對方式的新型防護機制,過往在偵測到已知惡意程式、惡意行為時,予以封鎖,CDR則是從檔案面著手,將任何可能的潛在威脅去除,以防止未知威脅入侵。現在市場上,已經有數家廠商開始推出CDR產品與應用。
這次,我們將介紹4家廠商的CDR解決方案,包括Check Point、OPSWAT、Votiro與YazamTech,讓企業能夠一探CDR技術的產品發展,以及能夠應用的各種防護面向。
直接從檔案中,抽離具潛在威脅的內容,代替傳統特徵比對
這裡所謂的CDR技術,全名為內容威脅解除與重組(Content Disarm and Reconstruction),因名稱太長且不易理解,我們將它簡稱為檔案威脅清除。
原理上,目的是將檔案中可能有害的內容元件抽離去除,並且維持檔案的可用性,帶來的效果,就是要讓企業用戶收到的檔案,不會具有潛在威脅性。
舉例來說,有些PDF檔本身會包含JavaScript,有些Office文件會包含巨集、Flash或OLE物件(檔案內嵌檔案),都是CDR技術可清除的對象。
因為這是近年常被駭客利用的管道,讓看似無害的文件類型檔案,也能化身為發動網路攻擊的利器,有心人士可以透過各式嵌入惡意程式碼的手法,藉此讓用戶在開啟文件後,執行下載惡意程式的動作等行為,或是把Flash嵌在檔案中,而能趁機利用Flash的漏洞等,來間接產生傷害。
進一步來看,CDR這項技術其實並不是要偵測出惡意內容,而是直接將這些可執行、有疑慮的元件失去作用,也就是不論惡意或非惡意的程式碼,通通要清除,以做到更徹底的保護。
例如,直接將檔案格式中的每個組成元件拆解,將其中可能執行程式碼的元件清除,無法清除的部分,則以注入亂數方式使之無法執行,之後再將各元件重組回既有檔案格式,且相關排版與基本功能都能正常使用。當然,各家CDR技術可能不盡相同。
以我們這次接觸的4家廠商CDR產品而言,在支援檔案格式上,幾乎都能涵蓋微軟Office的Word、Excel與PowerPoint檔案格式,以及PDF檔、JPG、EPS等圖檔。有些廠商還會強調支援壓縮檔、甚至AutoCAD圖檔等。
而在處理方式上,我們也看到有些廠商還會提供格式轉換的模式,像是讓使用者收到的Word附件,可以變成PDF檔案格式。
還有一些特別的CDR防護項目,像是在OPSWAT的CDR引擎中,針對郵件安全防護時,若是郵件中的超連結文字,與真實超連結不符時,可以協助去除超連結,僅保留文字。
而在YazamTech的CDR引擎中,可以將相片圖檔中,含有的經緯度等敏感資訊去除,或是將Word中插入的圖片,經裁切的部分確實清除,而不像原本只是被隱藏。
不僅如此,各家廠商的CDR產品與應用,其實也都提供雙管齊下的方式,像是同時整合防毒或沙箱,能對應更多惡意威脅,提供更完善的防護。
以這次的4家廠商產品而言,多數是與防毒功能可相互搭配,像是OPSWAT Metadefender、Votiro Disarmer與YazamTech SelectorIT產品,均強調能與防毒整合,並且是搭配多重防毒引擎的掃描,藉此提高已知型威脅的偵測率。其中OPSWAT產品的整合能力最高,可同時支援30家廠商的防毒引擎偵測。另一家廠商Check Point,則是將他們的Threat Extraction功能,與自家沙箱技術整合應用。
![]()
在CDR技術的應用上,有不少廠商的產品可建置成檔案安檢站來防護。像是在OPSWAT Metadefender Kiosk的操作介面上,不論對應企業員工或訪客,都能提供操作選項,並套用不同的管理政策,甚至包含資料抹除的功能。而在內建多重防毒引擎與CDR引擎的防護之下,系統可阻擋有害的檔案,並將具有潛在威脅的檔案,執行CDR內容淨化處理。(圖為OPSWAT Metadefender Kiosk用戶端介面)
可應用在郵件、可攜式媒體、檔案上傳與網頁下載,郵件最普遍
從防護管道來看,在這次4家廠商的CDR解決方案中,已經針對各種檔案傳入企業的不同管道,發展出對應的防護功能與產品。
基本上,郵件是這些產品所共同對應的防護管道,讓企業使用者收到的電子郵件與附檔,經過CDR與防毒,或是CDR與沙箱的處理,像是CheckPoint SandBlast Network,以及OPSWAT Metadefender Email、Votiro Disarmer for Email與YazamTech SelectorIT,都是對應郵件安全的CDR解決方案。
而在郵件防護之下,對於原始檔案取回的機制上,多數產品提供的流程是讓管理者從後臺放行,而Check Point的產品則提供使用者自助取回的機制,只要該檔案經沙箱偵測的結果是安全的。
與企業內應用程式的API串接,也是這類產品的應用主軸,各家廠商都有。應用上,像是政府機關對外的電子郵件信箱、線上資訊系統,可能提供一般人上傳檔案的功能,而在透過應用程式API串接之後,當外部使用者在這些介面上傳檔案時,可以經由這類產品的處理,預先將檔案含有不符規定的巨集、指令碼等功能去除。
針對可攜式儲存媒體的安全防護,也是CDR產品的主要應用環節,像是OPSWAT、Votiro與YazamTech的產品,均提供這樣的應用,讓單臺電腦可以當成一個檔案安檢站來應用。例如,使用者要將USB內的檔案,帶到企業環境中,就要經過這道關卡。
其中,又以OPSWAT Metadefender Kiosk產品的功能較為豐富,可支援USB、光碟機、軟碟機與SD卡,並能依據企業員工與訪客來使用,同時,也具有資料抹除的功能。後續,企業只要搭配對應的管理政策,像是經處理的防護裝置,還要經過專人標記,才能攜帶入內,或是要求處理過的檔案,需上傳到指定的資料夾。
特別的是,在YazamTech的解決方案中,SelectorIT可與自家實體隔離資料自動轉傳產品ShuttleIT,結合應用。也就是說,可將經威脅清除處理的檔案,傳送到與外界隔離的OT網路環境。
對於內部使用者的檔案上傳,像是Votiro與YazamTech所提供的CDR產品,都可以幫助將上傳到指定資料夾的檔案,自動經CDR與防毒的處理後,再存至另一目標路徑,做到內部檔案上傳的安全處理。
不同於上述產品,存取檔案仍有其他管道需防範,這也衍生了不同的應用。例如,OPSWAT所提供的產品Metadefender Vault,是一個類似企業Dropbox的應用,並結合CDR或防毒功能的平臺,因此還能具有檔案分享,以及權限管控的使用特性。
另外,對於網頁檔案下載的安全防護,像是Chick Point的產品,可透過瀏覽器外掛方式,提供這樣的防護,相當特別,即便使用者在公司外上網,也能受防護。
值得注意的是,我們也看到Votiro將它們的CDR技術,整合於另一套上網安全防護產品Ericom Shield,這樣搭配的好處是,讓檔案威脅清除的防護機制,也能涵蓋到網頁下載檔案,另一方面,還能利用遠端瀏覽器隔離的技術,降低郵件連結可能帶來的惡意威脅。而這兩類產品的相互搭配,將是企業未來可關注的另一趨勢。
![]()
在各家CDR產品的管控設定中,可以針對各種檔案格式,以及檔案內容的各式元件,制訂不同的管控策略,儘管各家產品的政策設定邏輯,可能有些差異,但也能看出CDR技術對於檔案內物件的拆解內容。(圖為YazamTech SelectorIT後臺管理介面)
何謂CDR技術?
所謂的CDR防護技術,全名為內容威脅解除與重組(Content Disarm and Reconstruction),我們也能稱為檔案威脅清除技術。
原理上,簡單來說,就是將檔案中可能有害的內容元件抽離去除,並且維持檔案的可用性,帶來的效果,就是要讓企業用戶收到的檔案,不會具有潛在威脅性。
對於CDR,各資安廠商還有不同稱呼,像是日本最早將CDR的防護處理方式,稱之為「無害化」,一般而言,日文漢字的含意與中文意思往往不同,巧合的是,這裡的意義看起來是很接近的,文字也夠簡潔,因此,一些廠商也會以檔案無害化來直接形容。
還有一些廠商是這麼稱呼,像是在各家產品或介面上用到的英文名詞中,常見的還包括File Sanitized、Threat Extraction,翻譯成中文,也就是檔案消毒、檔案淨化、威脅萃取或威脅抽離。
相關報導:CheckPoint解決方案 YazamTech解決方案
OPSWAT解決方案 Votiro解決方案
.jpg)
.png)
