|OPSWAT 亞太區副總經理 林秉忠
「Trust no file. Trust no device.」以零信任為原則,檢查所有進入企業內的檔案與裝置,是OPSWAT推出CDR解決方案的理念,力求在安全無虞的情況下才讓檔案放行進入。
近年來不少資安攻擊,是在常見的文件類型檔案裡嵌入惡意程式碼,讓企業在不知情的狀況下受到APT、零時差等攻擊。加上2018年半導體龍頭被大規模勒索軟體感染造成鉅額損失,讓許多傳統製造業意識到,即便是實體網路隔離,也可能無法倖免於外部攻擊,因而逐漸接受多防毒引擎、CDR的實作方式。
所謂的CDR技術,全名為內容威脅解除與重組(Content Disarm and Reconstruction),一般俗稱為「檔案清洗」,主要以防毒引擎為基礎,辨識各種檔案格式,解構出可能被利用的元件,完成後再封裝後送給終端用戶,不負責偵測威脅,因此可符合即時檔案傳輸要求較高的應用場景,不用太多時間即可達到防護效果,盡可能去除用戶檔案包含的未知攻擊程式的機會。
就CDR的功能面而言,內建的防毒引擎及可支援的檔案類型數量當然越多越好,但辨識與處理能力亦是重要考量,能否有效解構檔案內嵌物件與型態,如Office文件內常用的巨集、OLE物件、夾帶的文檔或影音檔等,甚至看似正常的圖片檔案,也可能被嵌入攻擊程式,因此若能結合人工智慧進行判讀,自然能更提高威脅偵測的效果。
而評估CDR的導入方式,則應先檢視企業組織的應用場景及資安管理辦法,再決定要使用哪些配置進行控管,以取得安全性與便利性的平衡。如Email附件檔案的清理重建,可搭配用戶原始文件取回機制,以及例外終端用戶設定來達到彈性控管;Web APP、Kiosk等主要對應外部用戶的應用場景,則可設定全數檔案都須通過CDR清理後再儲存;採購新設備加入資料中心或生產環境時,也可透過USB開機的方式掃描檔案系統,藉此快速降低資安風險,避免設備潛藏惡意程式或漏洞而不自知。
最重要的是,無論使用哪個解決方案,用戶都必須確認每個整合的防毒引擎具備合法授權,以避免侵權爭議,損及信用商譽。
資料來源:iThome
