使用 CDR 技術對抗基于文件的威脅

與之前的消除惡意軟件模型不同，內容撤防與重建（CDR）會對進入的文件進行解構，并檢查其中是否包含惡意組件。刪除這些組件之后，它會重新構建文件以創建一個全新的干凈版本，該版本可以傳遞給網絡上的最終用戶。在大規模網絡釣魚攻擊期間，CDR是避免惡意軟件的絕佳選擇。

它不需要確認惡意活動；它假定所有文件都可能受到感染，并且需要確定沒有文件包含組織的網絡安全策略不允許的組件。因此，它不依賴檢測。相反，它使用零信任方法來確保沒有多余的文件組件無法清除。

在某種程度上，CDR的作用類似于安全Web網關。它檢查文件以刪除組織的網絡安全策略不允許的組件，而不僅僅是惡意內容。

CDR與其他技術比較

威脅檢測解決方案以及防病毒和防火墻一樣，都依靠對現有威脅的先驗知識來確定要查找并標記為惡意的內容。它們可以很好地檢測已知威脅，但對零日攻擊卻無能為力，而且這種攻擊每天都在增加。

VPN之所以不同，是因為ExpessVPN和NordVPN等傳統平臺的目標是流量數據加密，而不是惡意軟件檢測。另一方面，諸如Switcherry VPN和Hotspot Shield之類的新興和快速增長的平臺正致力于通過集成下一代技術如軟件定義的邊界和安全的Web網關來增強其零信任框架。這將是未來針對零日攻擊的重大安全升級。

通常，舊版網絡安全解決方案的問題在于它們基于簽名，并且始終能夠適應威脅，因此始終至少比攻擊者落后一步。CDR是一種主動解決方案：代替檢測，它專注于威脅防御。

自從防病毒軟件的局限性變得明顯以來，出現了許多替代方案，包括文件轉換（使文件無法使用）和雙重轉換（對文件以及生產率造成損害）。這些挑戰導致了真正的CDR的發展。

1.對抗高級惡意軟件威脅-CDR使沙盒變得多余。實際上，由于沙箱逃避的興起，許多安全組織正在重新考慮沙箱。隨著沙盒感知型惡意軟件變得越來越流行，許多攻擊者已經掌握了逃避技術的使用。根據一項研究，大約98％的惡意軟件使用至少一種逃避技術。此外，由于32％的惡意軟件使用了六種或更多逃避技術，因此可以歸類為“超逃避”。

鑒于沙箱是傳統網絡安全軟件中使用的主要技術，因此不難理解為什么不能僅依靠沙箱。盡管沙箱仍然占據著一席之地，但它需要與基于非檢測的技術集成，以對抗高級惡意軟件威脅。

2.防止數據泄露-根據Verizon的2020年數據泄露調查報告，2019年22％的數據泄露涉及網絡釣魚，盡管與上一年的數據相比減少了6.6％，網絡釣魚仍是違反數據泄露的主要威脅措施。網絡釣魚者依賴于將惡意內容嵌入各種文件中，并使它們足夠無害以逃避檢測。

CDR可以用作電子郵件的網關，以保護組織的端點，該網關可以在將所有傳入文件傳遞到預期收件人的收件箱之前對其進行過濾。由于惡意內容甚至根本無法到達收件人，因此不會造成破壞，因此極大地降低了網絡釣魚攻擊的可能性。

3.消除檢測錯誤-基于檢測的網絡安全工具受到人類對當前威脅的了解的限制。因此，面對零時差攻擊他們是無能為力的。

基于檢測的技術需要定期更新補丁程序，以保護系統免受新發現的威脅的侵害，但是補丁程序之間的時間間隔足以使攻擊者遭受嚴重破壞。網絡犯罪分子通常會在補丁發布后立即發起攻擊，因為他們知道可能需要幾天或幾周才能完成新更新，而該更新也可能無法修復漏洞。

更不用說一個事實，即基于檢測的工具出現的假陽性警報會使實際漏洞和威脅的發現和控制脫軌。CDR是一個自動系統，可以在后臺執行其工作，甚至不需要提醒人工人員。

4.在安全性和生產率之間取得平衡-CDR有助于提高生產率。防病毒和防惡意軟件可以通過刪除選項將文件標記為潛在惡意文件，但是您不能刪除嵌入了惡意組件的每個文件，當然對于重要而敏感的業務運營而言，當然也不能刪除這些文件。由此產生的難題是如何確定要保留和刪除哪個文件。

CDR不僅解決了這一難題，而且消除了甚至刪除任何文件的需要。相反，您將獲得文件的干凈副本，其中不需要的組件已被刪除。整個過程是自動的，快速的（可能不到一秒鐘），是在后臺進行的。因此，它不會破壞工作節奏。

基于文件的惡意軟件是一種嚴重的威脅，并且事件正在增加。由于我們現在已經認識到基于檢測的技術的局限性，因此CDR是組織前進的重要需求。