What is Content Disarm and Reconstruction (CDR)?

Content Disarm and Rekonstruktion (CDR), auch bekannt als Threat Extraction, schützt proaktiv vor bekannten und unbekannten Bedrohungen in Dokumenten, indem ausführbare Inhalte entfernt werden.

Die Lösung ist einzigartig, da sie nicht wie die meisten Sicherheitslösungen auf Erkennung angewiesen ist. Alle ausführbaren Inhalte in einem Dokument werden entfernt, unabhängig davon, ob sie als potenzielle Bedrohung für den Benutzer erkannt werden oder nicht. Dadurch kann CDR eine echte Zero-Day-Prävention bieten und gleichzeitig Dateien schnell an Benutzer liefern.

Harmony Endpoint-Demo Harmony Mobile Demo

What is Content Disarm and Reconstruction (CDR)?

Eine Malware-Infektion beginnt oft mit einem Dokument

Die überwiegende Mehrheit der Malware-Infektionen beginnt mit einer Phishing-E-Mail. Ein erheblicher Teil davon verwendet ein bösartiges Dokument als Übermittlungsmechanismus. Im Jahr 2020 wurden mehr als 70 % der bösartigen E-Mail-Anhänge oder Links und etwa 30 % der bösartigen Web-Downloads über Dokumente wie PDF, Microsoft Office Word, Excel und PowerPoint übermittelt.

Auch wenn ein Dokument möglicherweise als Waffe dient, heißt das nicht, dass es völlig bösartig ist. Microsoft Office-Dokumente sind als ZIP-Dateien strukturiert und enthalten Ordner mit einer Reihe unterschiedlicher Dateien. Das bedeutet, dass das bösartige Skript in einer Office-Datei nur eine von mehreren darin enthaltenen Dateien ist.

PDFs sind insofern ähnlich, als sie ebenfalls aus einer Sammlung verschiedener Teile bestehen. Eine schädliche PDF-Datei enthält eine Reihe von Objekten, die zusammen die Datei erstellen, die der Empfänger sieht. Allerdings enthalten nur eines oder wenige dieser Objekte den im Dokument versteckten schädlichen Skriptcode.

Einführung in die Entwaffnung und Rekonstruktion von Inhalten

Das Weiterleiten einer potenziell schädlichen Microsoft Office- oder PDF-Datei an den vorgesehenen Empfänger ist sehr riskant. Es besteht immer die Möglichkeit, dass der Empfänger die Datei öffnet, Makros aktiviert und seinen Computer mit Malware infiziert. Darüber hinaus beruht dieser Ansatz auf der Erkennung schädlicher Inhalte. Andererseits birgt das vollständige Löschen der Datei das Risiko, dass der Empfänger wichtige Informationen übersieht, die in dem waffenfähigen Dokument enthalten waren. Die Entschärfung und Rekonstruktion von Inhalten bietet eine sichere Alternative zum einfachen Blockieren bösartiger Dateien.

In einer waffenfähigen Microsoft Office- oder PDF-Datei ist nur ein kleiner Teil der Dateien oder Objekte, aus denen das Dokument besteht, potenziell schädlich. Dies sind alle ausführbaren Inhalte, die in das Dokument eingebettet sind. Bei CDR werden diese ausführbaren Elemente aus dem Dokument herausgeschnitten und das Dokument anschließend aus den verbleibenden Teilen rekonstruiert. Dies erfordert oft nur eine Neuerstellung der von Microsoft Office oder einem PDF-Reader verwendeten Dateien, um Verweise auf den herausgeschnittenen Inhalt zu entfernen.

Vorteile von CDR

Die Threat Extraction-Technologie von Check Point SandBlast bietet eine branchenführende CDR-Lösung (Content Disarm and Reconstruction). SandBlast Threat Extraction bietet eine Reihe von Vorteilen für die Cybersicherheit des Unternehmens und die Mitarbeiterproduktivität, darunter:

  • Minimale Auswirkung auf den Empfänger: Alle bösartigen Inhalte sind so konzipiert, dass sie für den Empfänger unsichtbar sind, sodass CDR keinen Einfluss auf die tatsächlich von der Datei übermittelten Informationen hat.
  • Sichere Übermittlung: Durch das Entfernen des ausführbaren Inhalts aus dem Dokument wird die Datei für den Empfänger sicher, sodass sie ohne das Risiko Malware Übermittlung an ihn gesendet werden kann.
  • Zero-Day-Schutz: CDR entfernt ausführbare Inhalte unabhängig davon, ob sie als bösartig erkannt werden oder nicht. Dies ermöglicht den Schutz vor Zero-Day-Bedrohungen.
  • Schnelle Bereitstellung: CDR eliminiert Verzögerungen, die mit herkömmlichen Sandboxes einhergehen, und ermöglicht die reale Bereitstellung für Zero-Day-Schutz im Verhinderungsmodus, während bereinigte Dateien schnell an Benutzer übermittelt werden.
  • Zugriff auf Originaldateien: In einigen Fällen ist für harmlose Dateien möglicherweise Zugriff auf ausführbare Inhalte erforderlich. Mit Check Point SandBlast kann der Benutzer auf die Originaldatei zugreifen, nachdem sie nach der Sandbox-Inspektion als harmlos bestätigt wurde.

Check Point Harmony bietet umfassende CDR-Sicherheitsoptionen

Obwohl Phishing-E-Mails die häufigste und bekannteste Methode zur Übermittlung schädlicher Dokumente und Malware an einen Empfänger sind, sind sie bei weitem nicht die einzige Option. Schädliche Inhalte können über Unternehmensplattformen für die Zusammenarbeit (wie Slack und Microsoft Teams), per SMS, über soziale Medien und andere mobile Apps sowie über Downloads von bösartigen oder kompromittierten Websites verbreitet werden.

Aus diesem Grund muss CDR eingesetzt werden, um alle diese potenziellen Infektionsvektoren zu schützen, um wirksam zu sein. Die Harmony-Technologie von Check Point ist für alle Plattformen mit Harmony Endpoint (Gerätesicherheit), Harmony Mobile (mobile Sicherheit) und Harmony Browse verfügbar

Durch den Einsatz der Harmony-Technologie von Check Point kann ein Unternehmen seine Benutzer vor der gängigsten Methode der Malware-Übermittlung schützen und gleichzeitig die Auswirkungen auf die Mitarbeiterproduktivität minimieren. Die mehrstufige Bereitstellung potenziell schädlicher Dateien (z solche, die ausführbaren Code enthalten) stellen sicher, dass Mitarbeiter Dateien schnell empfangen können, aber erst dann auf ausführbare Inhalte zugreifen, wenn diese als harmlos verifiziert wurden.

Um mehr über die Harmony-Lösungen von Check Point zu erfahren, schauen Sie sich dieses Video an. Um zu erfahren, wie die Harmony-Technologie dazu beitragen kann, Ihr Unternehmen umfassend vor gefälschten Dokumenten zu schützen, fordern Sie eine Demo für Harmony Endpoint und eine Demo für Harmony Mobile an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK