Ramsdata

logo.png

Deep CDR – o que é a desativação profunda de ficheiros e porque é que é mais eficaz do que o antivírus

O antivírus detecta ameaças que já conhece. O problema é que os atacantes sabem isso muito bem e modificam regularmente as suas ferramentas para contornar as assinaturas. Explorações de dia zero, técnicas avançadas de ofuscação, ataques incorporados em macros de documentos do Office ou no conteúdo ativo de ficheiros PDF – estas são ameaças que os antivírus tradicionais tratam mal ou não tratam de todo. O Deep CDR da OPSWAT aborda o problema de uma direção completamente diferente.

Principais conclusões

  • O Deep CDR (Content Disarm and Reconstruction) remove as ameaças dos ficheiros, desconstruindo-os e reconstruindo-os
  • Não se baseia na deteção de malware – remove todos os conteúdos activos potencialmente perigosos
  • O resultado é um ficheiro limpo e totalmente utilizável, livre de ameaças conhecidas e desconhecidas
  • O Deep CDR suporta mais de 100 formatos de arquivo, incluindo Office, PDF, imagens e arquivos.
  • É particularmente eficaz onde os antivírus tradicionais falham – em ataques de dia zero e sem ficheiros.

Índice

  1. Porque é que o antivírus tradicional não é suficiente?
  2. O que é o Deep CDR e como funciona?
  3. Que elementos são removidos durante o processo CDR?
  4. Formatos de ficheiro suportados
  5. Deep CDR vs sandboxing – abordagens diferentes para o mesmo problema
  6. Aplicações práticas – quando é que o Deep CDR faz sentido?
  7. Integração com o MetaDefender
  8. FAQ
  9. Resumo

Porque é que o antivírus tradicional não é suficiente?

Os antivírus tradicionais funcionam com base no princípio da correspondência de assinaturas – compara um ficheiro ou o seu hash com uma base de dados de ameaças conhecidas. Esta abordagem tem uma falha fundamental: só funciona se a ameaça já for conhecida. Existe um intervalo de tempo entre o momento em que um novo malware é utilizado pela primeira vez num ataque e o momento em que a sua assinatura chega às bases de dados antivírus – e é este intervalo de tempo que é mais perigoso.

Além disso, mesmo as ameaças conhecidas podem ser mascaradas através da simples modificação do código, da alteração dos cabeçalhos dos ficheiros ou da utilização de técnicas de ofuscação. A investigação mostra que mesmo a análise simultânea com dezenas de motores antivírus não garante a deteção de todas as ameaças.

O que é o Deep CDR e como funciona?

O Deep CDR (Content Disarm and Reconstruction) é uma tecnologia que inverte a abordagem à proteção. Em vez de procurar ameaças, assume que qualquer ficheiro pode conter uma ameaça e remove todos os elementos que possam ser maliciosos – independentemente de estarem atualmente listados em qualquer base de dados de malware.

O processo funciona em três etapas. A primeira é a desconstrução – o ficheiro é dividido nos seus elementos constituintes de acordo com a especificação do formato. A segunda é a limpeza – todos os elementos activos (macros, scripts, objectos incorporados, conteúdo ativo) são removidos. A terceira é a reconstrução – o ficheiro é reconstituído de forma limpa, mantendo o seu conteúdo útil.

Que elementos são removidos durante o processo CDR?

O Deep CDR remove uma ampla gama de elementos potencialmente perigosos dos arquivos. Nos documentos do Office, estes incluem macros VBA (o vetor de ataque mais comum), objectos OLE incorporados (que podem conter ficheiros executáveis), conteúdo ativo (ligações a recursos externos, formulários) e campos de atualização automática.

Nos ficheiros PDF, são removidos o JavaScript (normalmente utilizado em explorações de PDF), scripts ActionScript, executáveis incorporados e ligações a recursos externos. Em imagens – dados ocultos em metadados e cargas úteis incorporadas esteganograficamente. Nos arquivos – tudo é analisado recursivamente, ficheiro a ficheiro.

Formatos de ficheiro suportados

A tecnologia Deep CDR do OPSWAT suporta mais de 100 formatos de ficheiros, incluindo todos os formatos do Microsoft Office (docx, xlsx, pptx e versões binárias mais antigas), PDF, formatos OpenDocument, imagens (JPEG, PNG, TIFF, BMP), ficheiros HTML, arquivos (ZIP, RAR, 7z) e muitos outros.

Isto é crucial – uma solução só é útil se suportar os formatos efetivamente utilizados na organização. O suporte para os formatos binários antigos do Office é particularmente importante em ambientes onde ainda circulam ficheiros .doc e .xls mais antigos.

Deep CDR vs sandboxing – abordagens diferentes para o mesmo problema

O Sandboxing é uma abordagem alternativa à proteção contra ameaças desconhecidas: um ficheiro é executado num ambiente isolado e o seu comportamento é observado. Se tiver um comportamento malicioso, é bloqueado.

A CDR profunda e a área restrita resolvem o mesmo problema com métodos diferentes e funcionam melhor em conjunto. O sandboxing leva tempo – o arquivo precisa ser executado e observado, o que pode levar de minutos a dezenas de minutos. O Deep CDR é extremamente rápido – leva segundos para reconstruir um ficheiro. O Sandboxing pode não detetar ameaças que só são ativadas quando certas condições são atendidas. O Deep CDR remove ameaças independentemente das condições de ativação.

Aplicações práticas – quando é que o Deep CDR faz sentido?

O Deep CDR faz sentido sempre que os ficheiros externos entram num ambiente protegido: gateways de correio eletrónico (purga de anexos antes da entrega), portais Web que aceitam ficheiros de utilizadores externos, transferências de ficheiros entre redes com diferentes níveis de confiança, verificação de suportes amovíveis à entrada de uma rede protegida.

É particularmente valioso em ambientes onde o tempo de resposta é essencial – um gateway de correio que limpa ficheiros em segundos não atrasa o fluxo de comunicação.

Integração com o MetaDefender

O Deep CDR é uma das tecnologias-chave da plataforma MetaDefender da OPSWAT e funciona em conjunto com o multiscanning e o Proactive DLP. O multiscanning detecta ameaças conhecidas, o Deep CDR remove ameaças potencialmente desconhecidas e o Proactive DLP protege contra a fuga de dados sensíveis. Juntos, formam uma proteção de várias camadas que aborda ameaças que não podem ser eficazmente combatidas por um único método.

FAQ

O Deep CDR estraga os ficheiros? Podes abri-los normalmente após a limpeza? O ficheiro limpo é totalmente utilizável – contém o conteúdo original (texto, gráficos, tabelas), mas sem os elementos activos. Se o ficheiro tiver sido formatado, a formatação é mantida.

O que acontece quando um ficheiro está demasiado danificado para ser reconstruído? O OPSWAT oferece uma política configurável – um ficheiro pode ser bloqueado, colocado em quarentena ou marcado para revisão manual.

O Deep CDR funciona em tempo real? Sim – demora entre uma fração de segundo e alguns segundos a reconstruir um documento típico, o que permite a sua utilização em gateways de correio eletrónico sem atrasos visíveis.

O CDR é um substituto para o antivírus? Não – o CDR e o antivírus são complementares. O CDR remove as ameaças que o antivírus não vê. O antivírus detecta ameaças que o CDR não precisa de remover. Em conjunto, proporcionam um nível de proteção mais elevado.

Resumo

O Deep CDR da OPSWAT é uma tecnologia que altera a abordagem de proteção contra ameaças transmitidas por ficheiros – da deteção reactiva à remoção preventiva. Ao limpar cada ficheiro de conteúdo ativo potencialmente malicioso, o Deep CDR protege contra vírus de dia zero, vírus de macro e técnicas avançadas de ofuscação, onde os antivírus tradicionais falham.

Deep CDR - o que é a desativação profunda de ficheiros e porque é que é mais eficaz do que o antivírus

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!