惡意內容過濾技術,過去仰賴防毒的技術,僅能做到攔截、隔離,有可以因此影響使用者所要存取的檔案,值得注意的是,檔案內容威脅解除與重組(Content Disarm and Reconstruction,CDR)興起,提供了不同於傳統的特徵碼偵測作法。之前我們介紹的OPSWAT郵件安全產品,就提供此技術,而這次介紹的Votiro是一家以色列資安公司,成立於2010年,近期主打Secure Email Gateway(SEG)郵件安全閘道產品,更是強調自家專有CDR技術的支援性與防護能力。

基本上,SEG整合了CDR與防毒,但功能較單純,不像其他郵件安全產品還能提供郵件DLP,或是郵件連結過濾等機制,且它的防毒與防垃圾郵件功能是選購的功能,顯然是以CDR技術為主。

在整體運作方式上,SEG主要包含三大關卡,像是郵件防毒掃描,如果發現惡意程式就會立即阻擋,同時進行真實檔案格式辨識,檢查郵件附檔是否為偽造檔案,最後經過CDR技術的清洗。

在部署方式上,Votiro SEG也很彈性,像是具有SaaS型態雲端服務供企業租用,修改DNS的郵件交換記錄(MX Record)指向即可。另外也提供企業自建方式,架構上是以MTA方式部署在微軟邊際伺服器上,內送的信件先橫向經由SEG的SMD-Admin、SMD-Flow伺服器處理,再送往企業郵件伺服器。

可過濾130種以上檔案格式,移除任何外加的指令碼

所謂的CDR,原理上,簡單來說,先將檔案格式中的每個組成元件拆解,像是文字、圖片、備註等,把其中可能執行程式碼的元件清除,如果沒法清除的部分則以注入亂數的方式,使之無法執行,之後,再將各元件重組,成為不能執行任何程式碼的檔案。

目的就是清除檔案中有害的部分,而此過程通常也比喻為清洗或消毒,像是在管理SEG管理介面上,也以Santized File表示,經CDR引擎處理的檔案。

目前,Votiro提供的CDR引擎,已經能夠支援超過130種檔案格式,涵蓋類型也很豐富,超越市面上其他同類型產品。包括像是電子郵件系統所產生的MSG與EML檔,一般文件類型檔案也有支援,例如微軟Office、RTF檔與PDF檔,還有像是Zip、RAR、7-ZIP、CAB等壓縮檔,以及JPEG、GIF、TIFF等圖檔。值得注意的是,今年AutoCAD檔案類型也納入支援,擴大支援檔案類型。

像是可清除Office文件的巨集,PDF內夾帶的JavaScripts指令碼,甚至Office文檔使用的OLE嵌入物件等,以避免檔案內的任何潛在威脅。同時,也提供了隔離區與管理者放行的對應機制。

最多同時支援5種防毒引擎偵測

Votiro SEG目前提供6種防毒引擎,企業可彈性選購,最多能支援5種防毒同時掃描,增加對於已知型威脅的防護偵測率。

管理簡易,可針對不同屬性檔案,執行威脅過濾或直接封鎖

從SEG提供的管理功能來看,主要分成兩大部分,分別是系統設定操作的SMD-Admin管理介面,以及檢視郵件防護記錄的SMD-Flow管理介面,企業可以依據不同權限角色,交由不同人負責管理

以SMD-Admin管理介面而言,防護設定相當簡易,因為這裡提供給企業管理者的設定選項並不多,像是CDR功能是系統預設就會執行的功能,而使用者要做的是,就是在政策設定項目中,決定檔案類型的處置方式。

較特別的是,這裡的設定方式是以檔案類型與屬性來畫分,畫分也很細,像是微軟Office文件、包含巨集的Office文件、加上密碼的Office文件,還有像是OLE元件類型等。這裡的原則設定也很簡單,提供列表勾選方式,決定該類型檔案是否啟用CDR清洗,或是選擇將該類型檔案直接封鎖。

在SMD-Flow後臺介面中,管理者可檢視郵件過濾記錄,包含像是時間、寄件者、收件者與郵件附檔名稱,並可看到系統不僅提供消毒後的檔案,也保留了消毒前的原始檔案,介面上並具有放行原始檔案的功能。較可惜的是,無法檢視各附檔經CDR過濾的詳細資訊,不過,下一版本將會增加報表功能。

具有檔案內容威脅清除與重組技術,可支援超過百種檔案類型

在Votiro ESG的SMD-Admin管理介面中,針對郵件附檔的政策管理相當容易,可針對不同檔案類型與屬性來設定,並以勾選方式啟用CDR,或是選擇將該類型檔案直接封鎖。

附件檔案若經CDR消毒而異動,會主動向使用者說明

基本上,管理者在SMD-Flow後臺介面,即可檢視ESG的防護效果,而使用者端收到電子郵件時,也會收到通知。

例如,當有人寄給我們電子郵件時,在這套系統的保護下,我們收到的電子郵件中,都會看到郵件內容出現一段提示,說明這封郵件被Votiro掃描過,因為任何符合原則的檔案類型,都會經過內容拆解、清洗與重組的過程。

若是郵件內夾帶包含指令碼的PDF附檔,在實際防護情形中,當我們收到該封郵件時,附檔仍然可以開啟並正常檢視,格式也都完好,唯有原本的指令碼已無作用。

另外,SEG系統本身並有一些預設防護項目,也就是管理者不用設定就會自動處理,例如,當對方寄送的郵件包含EXE檔,在SEG的保護之下,我們收到該郵件時,會看到郵件中並無該EXE檔,表示檔案已經被封鎖,並且顯示一個帶有該檔案檔名的TXT檔,開啟後將看到附檔已被刪除的說明。

如果使用者真的有需求,則可以發信告知管理者,請求存取原始檔案,並附上信中資訊。而在管理者收到通知後,從SMD-Flow後臺介面,即可決定是否有需要放行。原則上,這裡的原始檔案放行,都要經過管理者決定,沒有提供給一般使用者的權限,讓使用者自己登入介面檢視隔離區的信件。

可自動標示郵件附檔已經受到CDR處理

在Votiro SEG的CDR技術保護之下,使用者收到的郵件信中下方都會附上說明,表示這封郵件已經被Votiro處理過。若是該PDF附檔原本包含指令碼,當使用者收到信後開啟該檔案時,將會發現原有的指令碼無法執行。

支援6種防毒引擎掃描,可彈性選擇需要數量,相當獨特

另外,在SEG可選購搭配的防毒掃描功能上,這裡提供多重防毒引擎的掃描防護能力,最多能同時支援5種,增加企業對於已知型威脅的郵件防毒偵測率,也可都不使用,選擇很彈性。

目前,Votiro已經提供了6家廠商的防毒引擎,讓企業可以任意選擇與搭配,包括像是Avira、McAfee、Trend Micro、NOD32、Bitdefender,以及ClamWIN。

比起一般郵件安全產品整合的一至兩種防毒要多,但近期我們接觸的OPSWAT產品更勝一籌,能同時支援到30種。

 產品資訊 

Votiro Secure Email Gateway

●建議售價:SaaS版本每年每個郵件帳號的授權費用為3,500元

●原廠:Votiro

●總代理:力悅資訊 (02)2507-1601

●支援部署方式:提供企業自建或租用SaaS雲端服務

●版本:7.1.1.16

●內容清除重組支援檔案格式:Office文件、PDF文件、壓縮檔、圖檔與AutoCAD圖檔等

●支援防毒引擎:Avira、McAfee、Trend Micro、NOD32、Bitdefender與ClamWIN

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容