以零信任為基礎,針對所有進入到企業營運環境的檔案與裝置實施檢查,即是Opswat專注研發設計CDR解決方案的理念。除了檢查機制,必要時還得更嚴謹地執行重建,在安全無虞之下才可放行進入。其中防毒引擎的地位不容小覷,畢竟CDR主要用於辨識檔案格式,進而解構取出可能被利用的元件,完成後再封裝遞交給終端用戶,並不負責偵測威脅,亦無法盡數涵蓋全球眾多的檔案格式類型,對此Opswat內建8種不同防毒引擎來輔助執行。
論及CDR技術本質,Opswat亞太區副總經理林秉忠觀察,早在十多年前網頁程式開始出現自動填寫欄位值的設計,當時的網頁安全閘道器便可逕行刪除會代為輸入的主動元件,例如ActiveX控制項等端點環境執行的元件,惡意人士可利用其夾帶攻擊程式。可惜當時技術尚未成熟,雖然啟用後確實可提高安全性,卻也因此造成終端用戶反彈,因此較少聽到這類功能機制的發展。
「直到近幾年來APT攻擊手法肆虐,如今不論企業規模大小皆遭受波及,供應商觀察到勢必會有更多防護需求產生,才願意投入資源研發CDR技術,把過去的概念進一步深化。」林秉忠說。
適合於即時檔案傳輸應用場景
就CDR的特性來看,首先是支援更多檔案的類型,以Opswat為例現階段大約支援將近80種格式;其次則是解構檔案內嵌物件與型態,例如Office文件經常被運用的巨集、OLE物件、夾帶其他文件或影音檔等。甚至是肉眼看似正常的圖片檔案,在Header中亦可被嵌入攻擊程式,且更容易被忽略。事實上,圖片的屬性值相當多,例如圖片檔大小、顏色描述、解析度、建立時間、位置資訊等,諸如此類Metadata皆存在於Header中,有時亦會被視為高敏感性資料,例如國安軍事單位。對此CDR同樣必須要有可辨識與處理的能力。
前述提到主要是CDR的優勢,資安市場上亦有廠商提供CDR與沙箱整合機制,林秉忠則認為,兩種技術領域不應混為一談。若單純提供惡意程式鑑識平台,多防毒引擎與沙箱模擬分析機制整合,則比較合理,畢竟防毒引擎為靜態分析,沙箱則是動態分析,兩者運用可發揮各自強項。
「但是若為CDR搭配沙箱,我認為意義不大,原因是兩者皆有各自適合的應用場景。沙箱適合的是解析未知型檔案的行為模式,問題是執行時間大約得花費5到10分鐘,因此許多沙箱機制預設是先放行,萬一分析完成後發現是惡意檔案,接下來必須啟動補救程序;CDR則是可符合即時性傳輸要求較高的應用場景,拆解與重組不需耗費過多等待時間即可完成,運用CDR即可快速達到效果,保障用戶接收到的檔案不至於包含未知攻擊程式。」林秉忠說。
製造業與政府資安意識逐漸抬頭
本土企業近年來對於資安意識逐年增長,不僅是正在轉型的銀行業關注CDR可實作在數位化應用場景,林秉忠亦發現,本來對於資安的投資較保守的傳統製造業,自2018年半導體龍頭遭大規模感染勒索軟體造成鉅額損失之後,驚覺資安風險控管如此嚴謹的企業也遭受襲擊,顯然外部威脅確實較以往更加嚴峻,因此也開始評估多防毒引擎掃描的機制,這方面也是Opswat發展的重要特點。
「台灣的製造業與政府單位本就經常遭外部攻擊鎖定,從每年發生重大資安事故造成的損失,大家開始意識到,即便是實體網路隔離確保安全性,卻仍舊無法倖免,才逐漸接受多防毒引擎、CDR實作方式。」林秉忠說。
另一項驅動因素是數位化銀行的興起,傳統銀行逐步開放內部核心業務之後,必須接收更多外部資料,多數企業會擔心檔案夾帶攻擊程式,近來也積極在評估CDR可解決的問題。林秉忠以多年來接觸客戶的經驗觀察,即便企業意識到外部威脅相當危險,首要關注重點仍舊是法規規範必須達到的層級,也就是說,除非法規有所規範或接收到主管機關要求,才會真正落實控管措施。畢竟嚴格控管資安,不免會影響各個部門同仁日常工作流程,IT部門也較難主動推行法規未規範的事項。
初期首重郵件附檔清理與重建
現代的資安廠商幾乎全數宣稱採用人工智慧與機器學習演算分析輔助判斷未知攻擊,但其實傳統防毒軟體廠商的研究中心,本就是運用演算法解析病毒樣本的特徵碼,或是從大數據中萃取出共通的入侵指標,如此一來發布到端點環境運行的代理程式,確實可提高威脅偵測的效果。
「Opswat作法是整合運用了直接以人工智慧判讀惡意程式的CrowdStrike引擎,相較之下,傳統防毒軟體(例如也有被Opswat納入的BitDefender),則主要是混合式架構,人工智慧應用在防毒引擎中僅為輔助偵測。」林秉忠強調,Opswat的特點之一,主要是內建的所有防毒引擎都有完整原廠授權,不會有違約使用的問題。若解決方案平台整合多個廠商提供的防毒引擎,以提升偵測力,企業必須確認每個引擎皆為合法授權,以避免未來發生侵權爭議。
Opswat亞太區副總經理林秉忠強調,Opswat的特點之一,即在於內建的所有防毒引擎都有完整原廠授權,不會有違約使用問題。若解決方案平台整合多個廠商提供的防毒引擎,以提升偵測力,企業必須確認每個引擎皆為合法授權,避免發生侵權爭議。
至於評估CDR的方式,首要須先檢視應用場景,資安管理辦法的施行細則,往往會影響控管措施的設定配置。林秉忠指出,「就我接觸企業資安與IT部門的經驗,為了取得安全性與便利性的平衡,初期大多是針對電子郵件附加檔案執行清理與重建。至於網頁應用服務、Kiosk等應用場景主要面對外部消費者,可設定全數檔案必須通過CDR清理後才能儲存,不至於造成使用者反彈;但是郵件自由度相當高,特別容易碰到問題,此時,就得提供用戶原始文件可取回的機制,同時搭配足夠彈性的控管政策,來設定例外的終端用戶。」
此外,Opswat憑藉著多年來累積的研發能量,持續發展現代應用場景適用的模式,例如近期推出了掃描隨身碟MetaDefender Drive,當新採購的主機加入資料中心或生產環境,可藉此先行檢測安全性,以免出廠時就已潛藏惡意程式或未修補的漏洞而不自知。「MetaDefender Drive搭配輕量版的Linux作業系統,內建五個防毒引擎,新採購到貨的主機第一次開機時,在BIOS選項中可改變為USB開機,即可自動啟用MetaDefender Drive掃描檔案系統,加上檔案弱點偵測,運用CVE資料庫來比對。對於正在轉型中的製造業而言,得以藉此簡單方式降低資安風險性。」
【專題報導】:CDR檔案除污 力抗滲透危害