惡意軟體感染通常從文件開始
絕大多數的惡意軟體感染都是從網路釣魚電子郵件開始。其中,大部分使用惡意文件作為傳遞機制。 2020 年,超過 70% 的惡意電子郵件附件或連結以及約 30% 的惡意網頁下載是透過 PDF、Microsoft Office Word、Excel 和 PowerPoint 等文件傳遞的。
但是,雖然文檔可能被武器化,但這並不意味著它是完全惡意的。 Microsoft Office 文件結構為 ZIP 文件,包含有許多不同文件的文件夾。 這意味著 Office 檔案中的惡意指令碼只是它包含的數個檔案中的一個。
PDF 類似於它們也是從不同的作品集合中構建的。 惡意 PDF 檔案包含一些物件,這些物件會合併來建立收件者看到的檔案。 但是,只有一個或幾個這些物件包含隱藏在文件中隱藏的惡意指令碼。
介紹內容解除武器和重建
將可能惡意的 Microsoft Office 或 PDF 文件轉發給預定的收件者是非常危險的。 接收者總是有可能打開檔案、啟用巨集並用惡意軟體感染他們的電腦。此外,此方法依賴於偵測惡意內容。 另一方面,刪除文件完全會有收件人錯過武器化文檔中包含的重要信息的風險。 內容取消武器和重建提供了一種安全的替代方案,除了簡單阻止惡意文件。
在使用武器化的 Microsoft Office 或 PDF 檔案中,只有一小部分組成文件的檔案或物件可能是惡意的。 這些是內嵌在文件中的任何可執行內容。 使用 CDR,這些可執行元素會從文件中刪除,然後使用其餘的片段重建文件。 這通常只需要重建 Microsoft Office 或 PDF 閱讀器使用的文件以刪除了刪除內容的引用。
CDR 的好處
Check Point SandBlast 的威脅提取技術提供業界領先的內容解除和重建 (CDR) 解決方案。SandBlast 威脅提取為組織網路安全和員工生產力提供了許多好處,包括:
- 最小收件者影響:任何惡意內容都設計為收件者不可見,因此 CDR 對檔案傳輸的實際資訊不會影響。
- 安全傳送:透過從文件中刪除可執行內容,文件對於收件者來說變得安全,從而可以將其發送給他們,而不會面臨惡意軟體傳送的風險。
- 零日防護:無論是否偵測到惡意,CDR 都會移除可執行內容。 這使它能夠防止零日威脅。
- 快速交付: CDR 消除了與傳統沙箱相關的延遲,並支援在預防模式下實現零日保護的實際部署,同時快速向使用者交付清理後的文件。
- 原始檔案存取:在某些情況下,惡性檔案可能需要存取可執行內容。 使用Check Point SandBlast,原始文件經過沙箱檢查確認為良性後,即可被使用者存取。
Check Point Harmony 提供全面的 CDR 安全選項
雖然網路釣魚電子郵件是向收件者發送惡意文件和惡意軟體的最常見和最著名的方法,但它們遠非唯一的選擇。惡意內容可以通過企業協作平台(例如 Slack 和 Microsoft Teams)、通過短信、社交媒體和其他行動應用程序,以及從惡意或遭入侵的網站下載來傳遞惡意內容。
因此,必須部署 CDR 來保護所有這些潛在的感染傳媒才能有效。 Check Point 的 Harmony 技術適用於所有平台,包括 Harmony 端點資安、Harmony 行動裝置防護(行動安全)和 Harmony 網頁瀏覽防護
透過部署 Check Point 的 Harmony 技術,組織可以保護其使用者免受最常見的惡意軟體傳播方法的侵害,同時最大限度地減少對員工生產力的影響。多階段傳遞潛在惡意文件(即 包含可執行代碼的文件)確保員工可以快速接收文件,但僅在驗證它是否良性後才訪問可執行文件。
要了解有關 Check Point Harmony 解決方案的更多信息,請觀看此影片。若要了解 Harmony 技術如何協助您的組織提供針對武器化文件的全面保護,請請求Harmony 端點示範和Harmony 行動裝置防護示範。
反映意見