Le désarmement et la reconstruction du contenu (CDR) est une technologie avancée de prévention des menaces de plus en plus utilisée par les organisations dans le cadre de leur approche de sécurité zéro confiance pour se protéger contre les menaces connues et inconnues.
À mesure que les logiciels malveillants évoluent et que les techniques d'attaque deviennent plus complexes, les contrôles préventifs traditionnels tels que les moteurs anti-programmes malveillants et les bacs à sable ne suffisent pas à prévenir les menaces avant qu'il ne soit trop tard, car ils ont été conçus pour détecter une anomalie dans un fichier ou dans le comportement d'un fichier.
En considérant que chaque fichier représente une menace potentielle et en se concentrant sur la prévention plutôt que sur la simple détection, les entreprises peuvent améliorer leur position en matière de sécurité. La technologie Deep CDR a été conçue pour lutter contre les cybermenaces de type "zero-day" qui ne sont pas détectées par les solutions anti-malware et d'analyse dynamique de nouvelle génération. Elle suppose également que tous les fichiers sont malveillants, les ingérant puis les régénérant de manière à ce que le fichier régénéré soit à la fois utilisable et inoffensif.
Introduit en 2012, le site OPSWAT's MetaDefender Deep CDR est largement déployé dans le monde entier, en particulier par des clients dans des secteurs considérés comme des "infrastructures critiques" par le ministère américain de la sécurité intérieure (US DHS).
Les vecteurs d'attaque courants neutralisés par MetaDefender Deep CDR sont les suivants :
1. Formats de fichiers complexes : Les attaquants exploitent souvent des fonctionnalités complexes telles que des objets intégrés, des macros d'automatisation, des liens hypertextes, des scripts ou d'autres méthodes pour déclencher l'exécution d'un contenu malveillant. Parmi les exemples de formats de fichiers complexes, on peut citer les documents Microsoft Office (Word, Excel et PowerPoint), les fichiers PDF d'Adobe, les fichiers CAO d'AutoDesk, etc.
2. Vulnérabilités des applications : En exploitant les vulnérabilités existantes dans les applications de productivité couramment utilisées - que les formats soient complexes ou simples - un attaquant écrase la mémoire d'une application via une attaque par débordement de mémoire tampon ou tente de scanner le type de code malveillant à exécuter sur le système d'exploitation cible. Selon la National Vulnerability Database, 18 376 vulnérabilités ont été enregistrées au 8 décembre 2021, ce qui dépasse le record de 18 351 enregistré en 2020.
Au cours des neuf dernières années, nous avons assisté à une augmentation significative du nombre de déploiements du module Deep CDR , ce qui me rend fier de ce que notre équipe d'ingénieurs a accompli. Au cours de la même période, un nombre croissant de fournisseurs de solutions de sécurité sont entrés sur le marché du CDR avec des revendications qui peuvent être à la fois déroutantes et fallacieuses.
Vous trouverez ci-dessous quelques questions indicatives qui vous aideront à déterminer la solution CDR la mieux adaptée à votre organisation.
Questions de base
1. Quels types de formats d'archives le CDR prend-il en charge ? Les archives sont devenues de plus en plus courantes au cours des deux dernières années, car elles permettent d'intégrer et de stocker plusieurs types de fichiers dans un seul volume. Demandez à consulter la liste des archives prises en charge par le CDR et vérifiez que vous pouvez contrôler les fonctions connexes, telles que le niveau de récursivité (par exemple, si un PDF est incorporé dans un fichier PowerPoint, la technologie peut-elle analyser et reconstruire les deux fichiers ?)
2. Combien de types de fichiers sont pris en charge ? Comme il existe plus de 5 000 types de fichiers connus, vous devriez demander combien de types de fichiers un fournisseur de CDR prend en charge, examiner les preuves par type de fichier et comparer la liste des types de fichiers à ceux que votre organisation utilise. Vous trouverez des informations à ce sujet ici et des exemples de rapports d'assainissement ici.
3. La convivialité est-elle préservée ? Lorsque vous traitez des fichiers tels que PowerPoint qui comprennent des animations ou Excel pour lesquels vous souhaitez préserver les fonctions macro existantes, vous devez vous assurer que le fichier reconstruit conservera ces capacités. Une façon de le vérifier est de traiter un échantillon de fichier dans le cadre de votre processus d'évaluation.
4. Le CDR prend-il en charge des configurations complètes pour s'adapter à votre cas d'utilisation ? Le CDR supprime-t-il les hyperliens pour un type de fichier spécifique ? Conserve-t-il ou supprime-t-il les macros intégrées ?
5. Le CDR crée-t-il une piste d'audit ? Par exemple, le CDR enregistre-t-il et consigne-t-il les objets qui ont été supprimés et ceux qui ont été nettoyés ? Comment pouvez-vous vérifier l'intégrité d'une archive ?
6. Pouvez-vous déployer des politiques CDR différentes pour des canaux de données distincts ? Par exemple, le CDR vous permettra-t-il de conserver une macro Excel pour les courriels internes et de la supprimer pour les courriels externes ?
7. Quels sont les systèmes d'exploitation pris en charge par le CDR ? Quels sont les fichiers qui fonctionnent sur chaque système d'exploitation ? Si votre organisation utilise à la fois Windows et Linux, le fournisseur peut-il les prendre en charge tous les deux ?
8. Quelle est la performance du CDR par type de fichier ? Les différents types de fichiers devraient avoir des performances différentes. Déployez la technologie CDR et exécutez quelques échantillons de fichiers pour vérifier que les performances du fournisseur répondent aux exigences de votre organisation.
Questions détaillées sur la R&D
9. Quel est le degré de sécurité de la conception ? Un modèle de conception sécurisé est-il appliqué ? Comment protégez-vous le moteur CDR ? Un processus SDLC (Software Development Lifecycle)Secure est-il mis en œuvre ? Demandez à examiner l'architecture de conception d'un PCEM et remettez-la en question.
10. Est-ce durable ? Combien d'ingénieurs construisent cette technologie, quelle est leur formation ? Demandez à voir un organigramme.
Quel est le processus d'ingénierie ? Comment s'effectue l'assurance qualité ? Demandez à revoir les procédures d'assurance qualité de l'ingénierie. Le processus de construction est-il sûr ? Existe-t-il une solution pour empêcher l'intégration de logiciels malveillants dans la chaîne de production ? Quelle est la certification de sécurité du fournisseur ?
11. Comment est-il testé ? Y a-t-il une validation par un tiers ? (Certains gouvernements ont effectué des tests, des tests de pénétration externes) ; demandez à voir les résultats. Quelle est la taille de l'ensemble des données testées ? Demandez à voir de vrais échantillons de logiciels malveillants et des échantillons d'attaques de type "zero-day". Comment pouvez-vous être sûr que la facilité d'utilisation demeure avec un ensemble massif de données ? Demandez à vérifier manuellement les ensembles de données de test. Les tests portent-ils sur des menaces récentes ? Demandez un ensemble de données.
12. Quelle est la facilité d'intégration avec votre produit actuel ? REST API? Demandez à consulter le document.
13. Le produit s'améliore-t-il activement ? Quelle est la fréquence des versions ? Demandez à voir les versions des derniers mois.
14. Avec quelle rapidité peuvent-ils prendre en charge un nouveau type de fichier ? Mettez-les au défi avec quelque chose que vous utilisez dans votre organisation.
15. À quoi ressemble leur feuille de route en matière de produits ? Il existe plus de 5 000 formats de fichiers. Pensez-vous que l'équipe peut s'occuper de beaucoup d'entre eux ou de ceux qui sont les plus importants pour votre organisation ?
Perspective juridique
16. Si la technologie s'appuie sur des bibliothèques tierces, celles-ci sont-elles légalement sous licence ? Demandez à voir les CLUF pour la liste des bibliothèques ou d'autres documents d'appui.
Le choix d'une technologie CDR n'est pas un simple exercice de sélection de cases à cocher - nous proposons une formation complémentaire dans notre module gratuit Academy.
Pour en savoir plus, téléchargez ce guide qui donne un aperçu de la technologie CDR (Content Disarm and Reconstruction) et explique comment choisir la meilleure solution CDR pour protéger votre entreprise et votre infrastructure contre les nouvelles menaces de cybersécurité.
