¿Qué es el Desarme y Reconstrucción de Contenidos (CDR)?
Desarmado y reconstrucción de contenido (CDR), también conocido como extracción de amenazas, protege proactivamente contra amenazas conocidas y desconocidas contenidas en los documentos al eliminar contenido ejecutable.
La solución es única porque no depende de la detección como la mayoría de las soluciones de seguridad. Cualquier contenido ejecutable dentro de un documento se elimina, ya sea que se detecte o no como una amenaza potencial para el usuario. Esto permite que CDR ofrezca una verdadera prevención de día cero, al tiempo que entrega archivos a los usuarios rápidamente.
Check Point Endpoint Security Demo Check Point Mobile Security Demo
La infección por malware suele comenzar con un documento
La gran mayoría de las infecciones de malware comienzan con un correo electrónico de phishing. De estos, una parte significativa usa un documento malicioso como mecanismo de entrega. En 2020, más del 70% de los archivos adjuntos o enlaces maliciosos del correo electrónico y alrededor del 30% de las descargas web maliciosas se entregaron a través de documentos como PDF, Microsoft Office Word, Excel y PowerPoint.
Sin embargo, aunque un documento puede ser un arma, esto no significa que sea completamente malicioso. Los documentos de Microsoft Office están estructurados como archivos ZIP, que contienen carpetas con varios archivos diferentes. Esto significa que el script malicioso dentro de un archivo de Office es solo uno de varios archivos que contiene.
Los archivos PDF son similares en el sentido de que también se construyen a partir de una colección de diferentes piezas. Un archivo PDF malintencionado contiene varios objetos que se combinan para crear el archivo que ve el destinatario. Sin embargo, solo uno o algunos de estos objetos contienen el código de script malicioso oculto dentro del documento.
Presentamos Disarm and Reconstruction de Contenido
Reenviar un archivo de Microsoft Office o PDF potencialmente malicioso al destinatario previsto es muy arriesgado. Siempre existe la posibilidad de que el destinatario abra el archivo, habilite macros e infecte su computadora con malware. Además, este enfoque se basa en la detección del contenido malicioso. Por otro lado, eliminar el archivo por completo corre el riesgo de que el destinatario pierda información importante que se incluyó en el documento armamatizado. El desarmado y reconstrucción de contenido ofrece una alternativa segura al simple bloqueo de archivos maliciosos.
En un archivo PDF o Microsoft Office con armas, solo una pequeña fracción de los archivos u objetos que componen el documento son potencialmente maliciosos. Estos son cualquier contenido ejecutable incrustado en el documento. Con CDR, estos elementos ejecutables se sacan del documento y luego el documento se reconstruye utilizando las piezas restantes. Esto a menudo solo requiere reconstruir los archivos utilizados por Microsoft Office o un lector de PDF para eliminar las referencias al contenido eliminado.
Beneficios de CDR
La tecnología Threat Extraction de Check Point SandBlast ofrece una solución de desarmado y reconstrucción de contenido (CDR) líder en la industria. SandBlast Threat Extraction proporciona una serie de beneficios para la ciberseguridad organizacional y la productividad de los empleados, que incluyen:
- Impacto mínimo del destinatario: Cualquier contenido malicioso está diseñado para ser invisible para el destinatario, por lo que CDR no tiene ningún impacto en la información real transmitida por el archivo.
- Entrega segura: al eliminar el contenido ejecutable del documento, el archivo se vuelve seguro para el destinatario, lo que permite enviárselo sin riesgo de entrega de malware.
- Protección de día cero: CDR elimina el contenido ejecutable, ya sea que se detecte como malicioso o no. Esto le permite proteger contra las amenazas de día cero.
- Entrega rápida: CDR elimina los retrasos asociados con los entornos sandbox tradicionales y permite la implementación en el mundo real para la protección de día cero en modo de prevención, mientras entrega archivos limpios a los usuarios rápidamente.
- Acceso al archivo original: En algunos casos, el acceso a contenido ejecutable puede ser necesario para archivos benignos. Con Check Point SandBlast, el usuario puede acceder al archivo original después de confirmar que es benigno después de la inspección del sandbox.
Check Point Workspace Security Offers CDR Security Options Across the Board
Si bien los correos electrónicos de phishing son el método más común y conocido de entregar documentos maliciosos y malware a un destinatario, están lejos de ser la única opción. El contenido malicioso se puede entregar a través de plataformas de colaboración corporativas (como Slack y Microsoft Teams), a través de mensajes de texto, redes sociales y otras aplicaciones móviles, y mediante descargas de sitios web maliciosos o comprometidos.
For this reason, CDR must be deployed to protect all of these potential infection vectors in order to be effective. Check Point’s Workspace Security technology is available for all platforms with Check Point Endpoint Security (endpoint security), Check Point Mobile Security (mobile security), and Check Point Browser Security
By deploying Check Point’s Workspace Security technology, an organization can protect its users against the most common method of malware delivery while minimizing impacts on employee productivity. The multi-stage delivery of potentially malicious files (i.e. ones containing executable code) ensures that employees can receive files quickly but only access executable content once it has been verified to be benign.
To learn more about Check Point’s Workspace Security solutions, check out this video. To see how Workspace Security technology can help to provide comprehensive protection to your organization against weaponized documents, request a demo for Check Point Endpoint Security and a Demo for Check Point Mobile Security.
