內容解除和重建技術：美國國防和情報機構網絡安全使用的策略

調查表明，美國的國防和情報機構極少容易受到基于文件的網絡攻擊。畢竟，對于這些政府機構和組織而言，安全并不是一個商業案例，而是一個國家安全案例。

事實表明，企業應該向美國國防和情報機構尋求改善安全態勢的指導。并不是他們擁有最新技術或最先進的產品，而是政府機構專注于識別核心風險載體，例如由每天共享的文件中普遍存在的危險造成的風險載體。

采取措施識別惡意軟件并防止黑客訪問系統比對已經發生的網絡攻擊進行響應更有效、更經濟。畢竟在過去一年，將近200萬封惡意電子郵件繞過了安全電子郵件網關。

大多數企業在其安全策略方面犯的最大錯誤是被動而不是主動的。企業需要采用安全解決方案，使他們在工業規模、國防和情報組織能夠依賴的級別上消除業務文件中的威脅。

采用什么樣的策略

美國的國防和情報機構通過確保基于文件的攻擊無法滲透到他們的系統來保護他們的重要資料。由于沒有犯錯的余地，他們根本不能采用被動防御方法。其核心技術領域——內容解除和重建(CDR)是專門為此用例和行業開發的。雖然這個技術領域直到最近才在私營部門嶄露頭角，但政府機構已經采用這種技術已有將近十年的時間。

與沙盒和防病毒(AV)等被動安全方法不同，內容解除和重建(CDR)技術通過其主動方法提供即時保護。通過快速的四步流程，企業文件和文檔可以免受網絡威脅：

?檢查——檢查文件以驗證其數字DNA是否符合已知良好制造商的規范。如果發現偏差，需要立即進行補救。

?清理——根據企業政策清理和刪除高風險的活動內容(即宏和嵌入的鏈接)，因此只有需要活動內容的用戶才能收到。

?重建——文件按照其已知良好的制造商標準重建，確保文件干凈并且沒有威脅。

?交付——文檔立即交付給用戶，清除任何潛在威脅，讓用戶放心，因為它是完全安全的。

這種簡單的方法可確保進入或離開企業的每個文件都是安全的;這意味著用戶可以信任每個文件。該過程使得威脅不可能存在于任何經過內容解除和重建(CDR)的文件中，無論是已知威脅，還是尚未識別的威脅(例如“零日威脅”)。黑客可以識別和利用的任何安全盲點都會在這一過程中關閉。至關重要的是，它的即時性質不會中斷或減慢業務，允許活動正常進行，而不會犧牲生產力或安全性。

最好的進攻就是防守

美國國防和情報部門工作人員始終保持聯系，經常在充滿挑戰的情況下共享信息。他們將文件和文檔從低信任度環境移動到擁有國家最敏感數據的網絡中，在那里數據泄露可能對國家安全產生嚴重影響。因此，當涉及到共享任何類型的文檔時，這些團隊不能冒威脅從網絡中溜走的風險。

很多網絡攻擊者正在使用機器來設計惡意軟件，并使該文件的每個版本有所不同，因此傳統的惡意軟件保護解決方案幾乎不可能識別。與Facebook或Twitter使用算法創建真正獨特的社交信息源一樣，這些信息是根據用戶的興趣和品味量身定制的，網絡攻擊者可以使用類似的算法來部署本質上相同的潛在威脅，但以簡單的方式打包逃避檢測。

這是企業正在運營的基于文件的零日威脅的新時代。為了跟上步伐，私營部門需要尋找一種不同的方式來處理基于文件的威脅。內容解除和重建(CDR)不會尋找壞文件的特征。該模型查找與文件結構(數字DNA)的偏差，并根據制造商的規范對其進行修復，清理活動內容并重建為已知良好的文件，保持視覺層不變。雖然美國國防和情報機構已經依賴這一點有一段時間了，但這對私營部門來說是一個改變游戲規則的因素。

為采用內容解除和重建(CDR)技術做好準備

企業領導者必須以不同的方式思考，實現網絡安全方法的現代化，并準備好迎接變革。

在解決網絡安全問題時，創新型領導者必須充分應對問題、風險和機遇。在這樣做時，他們應該挑戰保護系統免受攻擊的傳統方法——即使他們自己還沒有遭遇網絡攻擊。此外，通過承擔推動積極、創新變革的責任，企業領導者可以利用自己的技能與值得信賴的安全合作伙伴和供應商合作，以提高他們的保護水平。

網絡攻擊者各不相同，并且不容易識別。關鍵是心態和方法。正確處理這兩個方面的問題會使企業有更多的機會抵御網絡攻擊，并提高靈活性。

商業領域可以從國防和情報領域學到很多東西。目前，內容解除和重建(CDR)技術在國防和情報行業占據主導地位，而企業可以從中受益。