Antivirus erkennt Bedrohungen, die es bereits kennt. Das Problem ist, dass Angreifer dies sehr gut wissen und ihre Tools regelmäßig modifizieren, um die Signaturen zu umgehen. Zero-Day-Exploits, fortgeschrittene Verschleierungstechniken, Angriffe, die in Makros von Office-Dokumenten oder den aktiven Inhalt von PDF-Dateien eingebettet sind – das sind Bedrohungen, mit denen herkömmliche Antivirenprogramme nur schlecht oder gar nicht umgehen können. Deep CDR von OPSWAT geht das Problem aus einer ganz anderen Richtung an.
Wichtigste Schlussfolgerungen
- Deep CDR (Content Disarm and Reconstruction) entfernt Bedrohungen aus Dateien, indem es sie dekonstruiert und rekonstruiert
- Verlässt sich nicht auf die Erkennung von Malware – entfernt alle potenziell gefährlichen aktiven Inhalte
- Das Ergebnis ist eine bereinigte, voll nutzbare Datei, die frei von bekannten und unbekannten Bedrohungen ist.
- Deep CDR unterstützt mehr als 100 Dateiformate, darunter Office, PDF, Bilder und Archive.
- Es ist besonders effektiv, wenn herkömmliche Antivirenprogramme versagen – bei Zero-Day- und dateilosen Angriffen.
Inhaltsverzeichnis
- Warum reicht ein herkömmliches Antivirusprogramm nicht aus?
- Was ist Deep CDR und wie funktioniert es?
- Welche Elemente werden während des CDR-Prozesses entfernt?
- Unterstützte Dateiformate
- Deep CDR vs. Sandboxing – unterschiedliche Ansätze für dasselbe Problem
- Praktische Anwendungen – wann ist Deep CDR sinnvoll?
- Integration mit MetaDefender
- FAQ
- Zusammenfassung
Warum reicht ein herkömmliches Antivirusprogramm nicht aus?
Traditionelle Antivirenprogramme arbeiten nach dem Prinzip des Signaturabgleichs – sie vergleichen eine Datei oder ihren Hash mit einer Datenbank bekannter Bedrohungen. Dieser Ansatz hat einen grundlegenden Fehler: Er funktioniert nur, wenn die Bedrohung bereits bekannt ist. Zwischen dem Zeitpunkt, an dem eine neue Malware zum ersten Mal in einem Angriff verwendet wird, und dem Zeitpunkt, an dem ihre Signatur in den Antiviren-Datenbanken auftaucht, liegt eine gewisse Zeitspanne – und genau diese Zeitspanne ist die größte Gefahr.
Darüber hinaus können selbst bekannte Bedrohungen durch einfache Modifizierung des Codes, Änderung der Datei-Header oder Verwendung von Verschleierungstechniken maskiert werden. Untersuchungen zeigen, dass selbst die gleichzeitige Überprüfung mit Dutzenden von Antivirenprogrammen nicht die Erkennung aller Bedrohungen garantiert.
Was ist Deep CDR und wie funktioniert es?
Deep CDR (Content Disarm and Reconstruction) ist eine Technologie, die den Ansatz zum Schutz umkehrt. Anstatt nach Bedrohungen zu suchen, geht sie davon aus, dass jede Datei eine Bedrohung enthalten könnte und entfernt alle Elemente, die bösartig sein könnten – unabhängig davon, ob sie derzeit in einer Malware-Datenbank aufgeführt sind.
Der Prozess läuft in drei Schritten ab. Der erste ist die Dekonstruktion – die Datei wird entsprechend der Formatspezifikation in ihre einzelnen Elemente zerlegt. Der zweite ist die Bereinigung – alle aktiven Elemente (Makros, Skripte, eingebettete Objekte, aktive Inhalte) werden entfernt. Der dritte Schritt ist die Rekonstruktion – die Datei wird in bereinigter Form wieder zusammengesetzt, wobei ihr nützlicher Inhalt erhalten bleibt.
Welche Elemente werden während des CDR-Prozesses entfernt?
Deep CDR entfernt eine breite Palette potenziell gefährlicher Elemente aus Dateien. In Office-Dokumenten gehören dazu VBA-Makros (der häufigste Angriffsvektor), eingebettete OLE-Objekte (die ausführbare Dateien enthalten können), aktive Inhalte (Links zu externen Ressourcen, Formulare) und sich automatisch aktualisierende Felder.
In PDF-Dateien werden JavaScript (häufig in PDF-Exploits verwendet), ActionScript-Skripte, eingebettete ausführbare Dateien und Links zu externen Ressourcen entfernt. In Bildern – versteckte Daten in Metadaten und steganografisch eingebettete Nutzdaten. In Archiven – das Ganze wird rekursiv, Datei für Datei, analysiert.
Unterstützte Dateiformate
Die Deep CDR-Technologie von OPSWAT unterstützt mehr als 100 Dateiformate, darunter alle Microsoft Office-Formate (docx, xlsx, pptx und ältere binäre Versionen), PDF, OpenDocument-Formate, Bilder (JPEG, PNG, TIFF, BMP), HTML-Dateien, Archive (ZIP, RAR, 7z) und viele mehr.
Das ist entscheidend – eine Lösung ist nur dann sinnvoll, wenn sie die Formate unterstützt, die in der Organisation tatsächlich verwendet werden. Die Unterstützung der älteren Binärformate von Office ist besonders wichtig in Umgebungen, in denen noch ältere .doc- und .xls-Dateien im Umlauf sind.
Deep CDR vs. Sandboxing – unterschiedliche Ansätze für dasselbe Problem
Sandboxing ist ein alternativer Ansatz zum Schutz vor unbekannten Bedrohungen: Eine Datei wird in einer isolierten Umgebung ausgeführt und ihr Verhalten wird beobachtet. Wenn sie sich bösartig verhält, wird sie blockiert.
Deep CDR und Sandboxing lösen das gleiche Problem mit unterschiedlichen Methoden und funktionieren am besten zusammen. Sandboxing braucht Zeit – die Datei muss ausgeführt und überwacht werden, was Minuten bis Dutzende von Minuten dauern kann. Deep CDR ist blitzschnell – es dauert nur Sekunden, um eine Datei zu rekonstruieren. Sandboxing kann Bedrohungen, die nur unter bestimmten Bedingungen aktiviert werden, nicht erkennen. Deep CDR entfernt Bedrohungen unabhängig von den Aktivierungsbedingungen.
Praktische Anwendungen – wann ist Deep CDR sinnvoll?
Deep CDR ist überall dort sinnvoll, wo externe Dateien in eine geschützte Umgebung gelangen: E-Mail-Gateways (Bereinigung von Anhängen vor der Zustellung), Webportale, die Dateien von externen Benutzern annehmen, Dateiübertragungen zwischen Netzwerken mit unterschiedlichen Vertrauensstufen, Scannen von Wechselmedien beim Eintritt in ein geschütztes Netzwerk.
Es ist besonders wertvoll in Umgebungen, in denen die Reaktionszeit von entscheidender Bedeutung ist – ein Mail-Gateway, das Dateien innerhalb von Sekunden löscht, verzögert den Kommunikationsfluss nicht.
Integration mit MetaDefender
Deep CDR ist eine der Schlüsseltechnologien der OPSWAT MetaDefender-Plattform und arbeitet in Verbindung mit Multiscanning und Proactive DLP. Multiscanning erkennt bekannte Bedrohungen, Deep CDR beseitigt potenziell unbekannte Bedrohungen und Proactive DLP schützt vor dem Abfluss sensibler Daten. Zusammen bilden sie einen mehrschichtigen Schutz, der sich gegen Bedrohungen richtet, die mit einer einzigen Methode nicht wirksam bekämpft werden können.
FAQ
Macht Deep CDR die Dateien unbrauchbar? Können sie nach der Bereinigung normal geöffnet werden? Die bereinigte Datei ist vollständig nutzbar – sie enthält den ursprünglichen Inhalt (Text, Grafiken, Tabellen), nur ohne die aktiven Elemente. Wenn die Datei formatiert war, wird die Formatierung beibehalten.
Was passiert, wenn eine Datei für eine Rekonstruktion zu beschädigt ist? OPSWAT bietet eine konfigurierbare Richtlinie – eine Datei kann blockiert, unter Quarantäne gestellt oder zur manuellen Überprüfung markiert werden.
Funktioniert Deep CDR in Echtzeit? Ja – die Rekonstruktion eines typischen Dokuments dauert zwischen dem Bruchteil einer Sekunde und ein paar Sekunden, so dass es in E-Mail-Gateways ohne spürbare Verzögerungen verwendet werden kann.
Ist CDR ein Ersatz für ein Antivirenprogramm? Nein – CDR und Antivirus ergänzen sich. CDR entfernt Bedrohungen, die von Antivirus nicht erkannt werden. Antivirus erkennt Bedrohungen, die CDR nicht zu entfernen braucht. Zusammen bieten sie ein höheres Maß an Schutz.
Zusammenfassung
Deep CDR von OPSWAT ist eine Technologie, die den Ansatz zum Schutz vor dateibasierten Bedrohungen verändert – von der reaktiven Erkennung zur präventiven Entfernung. Deep CDR bereinigt jede Datei von potenziell bösartigen aktiven Inhalten und schützt so vor Zero-Day-Viren, Makroviren und fortschrittlichen Verschleierungstechniken, bei denen herkömmliche Antivirenprogramme versagen.
