道高一尺，魔高一丈，企業單靠現有的傳統資安防禦措施，往往，無法有效防禦未知的各種惡意程式攻擊，像是近年駭客的攻擊手法中，就常利用網頁檔案下載與郵件附檔寄送的方式，藉此發動APT、零時差攻擊。因此，近年我們看到，在防毒與沙箱偵測之外，市面上有資安廠商，開始提出CDR檔案威脅清除的技術。

這是一種有別於傳統特徵比對方式的新型防護機制，過往在偵測到已知惡意程式、惡意行為時，予以封鎖，CDR則是從檔案面著手，將任何可能的潛在威脅去除，以防止未知威脅入侵。現在市場上，已經有數家廠商開始推出CDR產品與應用。

這次，我們將介紹4家廠商的CDR解決方案，包括Check Point、OPSWAT、Votiro與YazamTech，讓企業能夠一探CDR技術的產品發展，以及能夠應用的各種防護面向。

直接從檔案中，抽離具潛在威脅的內容，代替傳統特徵比對

這裡所謂的CDR技術，全名為內容威脅解除與重組（Content Disarm and Reconstruction），因名稱太長且不易理解，我們將它簡稱為檔案威脅清除。

原理上，目的是將檔案中可能有害的內容元件抽離去除，並且維持檔案的可用性，帶來的效果，就是要讓企業用戶收到的檔案，不會具有潛在威脅性。

舉例來說，有些PDF檔本身會包含JavaScript，有些Office文件會包含巨集、Flash或OLE物件（檔案內嵌檔案），都是CDR技術可清除的對象。

因為這是近年常被駭客利用的管道，讓看似無害的文件類型檔案，也能化身為發動網路攻擊的利器，有心人士可以透過各式嵌入惡意程式碼的手法，藉此讓用戶在開啟文件後，執行下載惡意程式的動作等行為，或是把Flash嵌在檔案中，而能趁機利用Flash的漏洞等，來間接產生傷害。

進一步來看，CDR這項技術其實並不是要偵測出惡意內容，而是直接將這些可執行、有疑慮的元件失去作用，也就是不論惡意或非惡意的程式碼，通通要清除，以做到更徹底的保護。

例如，直接將檔案格式中的每個組成元件拆解，將其中可能執行程式碼的元件清除，無法清除的部分，則以注入亂數方式使之無法執行，之後再將各元件重組回既有檔案格式，且相關排版與基本功能都能正常使用。當然，各家CDR技術可能不盡相同。

以我們這次接觸的4家廠商CDR產品而言，在支援檔案格式上，幾乎都能涵蓋微軟Office的Word、Excel與PowerPoint檔案格式，以及PDF檔、JPG、EPS等圖檔。有些廠商還會強調支援壓縮檔、甚至AutoCAD圖檔等。

而在處理方式上，我們也看到有些廠商還會提供格式轉換的模式，像是讓使用者收到的Word附件，可以變成PDF檔案格式。

還有一些特別的CDR防護項目，像是在OPSWAT的CDR引擎中，針對郵件安全防護時，若是郵件中的超連結文字，與真實超連結不符時，可以協助去除超連結，僅保留文字。

而在YazamTech的CDR引擎中，可以將相片圖檔中，含有的經緯度等敏感資訊去除，或是將Word中插入的圖片，經裁切的部分確實清除，而不像原本只是被隱藏。

不僅如此，各家廠商的CDR產品與應用，其實也都提供雙管齊下的方式，像是同時整合防毒或沙箱，能對應更多惡意威脅，提供更完善的防護。

以這次的4家廠商產品而言，多數是與防毒功能可相互搭配，像是OPSWAT Metadefender、Votiro Disarmer與YazamTech SelectorIT產品，均強調能與防毒整合，並且是搭配多重防毒引擎的掃描，藉此提高已知型威脅的偵測率。其中OPSWAT產品的整合能力最高，可同時支援30家廠商的防毒引擎偵測。另一家廠商Check Point，則是將他們的Threat Extraction功能，與自家沙箱技術整合應用。

在CDR技術的應用上，有不少廠商的產品可建置成檔案安檢站來防護。像是在OPSWAT Metadefender Kiosk的操作介面上，不論對應企業員工或訪客，都能提供操作選項，並套用不同的管理政策，甚至包含資料抹除的功能。而在內建多重防毒引擎與CDR引擎的防護之下，系統可阻擋有害的檔案，並將具有潛在威脅的檔案，執行CDR內容淨化處理。（圖為OPSWAT Metadefender Kiosk用戶端介面）

可應用在郵件、可攜式媒體、檔案上傳與網頁下載，郵件最普遍

從防護管道來看，在這次4家廠商的CDR解決方案中，已經針對各種檔案傳入企業的不同管道，發展出對應的防護功能與產品。

基本上，郵件是這些產品所共同對應的防護管道，讓企業使用者收到的電子郵件與附檔，經過CDR與防毒，或是CDR與沙箱的處理，像是CheckPoint SandBlast Network，以及OPSWAT Metadefender Email、Votiro Disarmer for Email與YazamTech SelectorIT，都是對應郵件安全的CDR解決方案。

而在郵件防護之下，對於原始檔案取回的機制上，多數產品提供的流程是讓管理者從後臺放行，而Check Point的產品則提供使用者自助取回的機制，只要該檔案經沙箱偵測的結果是安全的。

與企業內應用程式的API串接，也是這類產品的應用主軸，各家廠商都有。應用上，像是政府機關對外的電子郵件信箱、線上資訊系統，可能提供一般人上傳檔案的功能，而在透過應用程式API串接之後，當外部使用者在這些介面上傳檔案時，可以經由這類產品的處理，預先將檔案含有不符規定的巨集、指令碼等功能去除。

針對可攜式儲存媒體的安全防護，也是CDR產品的主要應用環節，像是OPSWAT、Votiro與YazamTech的產品，均提供這樣的應用，讓單臺電腦可以當成一個檔案安檢站來應用。例如，使用者要將USB內的檔案，帶到企業環境中，就要經過這道關卡。

其中，又以OPSWAT Metadefender Kiosk產品的功能較為豐富，可支援USB、光碟機、軟碟機與SD卡，並能依據企業員工與訪客來使用，同時，也具有資料抹除的功能。後續，企業只要搭配對應的管理政策，像是經處理的防護裝置，還要經過專人標記，才能攜帶入內，或是要求處理過的檔案，需上傳到指定的資料夾。

特別的是，在YazamTech的解決方案中，SelectorIT可與自家實體隔離資料自動轉傳產品ShuttleIT，結合應用。也就是說，可將經威脅清除處理的檔案，傳送到與外界隔離的OT網路環境。

對於內部使用者的檔案上傳，像是Votiro與YazamTech所提供的CDR產品，都可以幫助將上傳到指定資料夾的檔案，自動經CDR與防毒的處理後，再存至另一目標路徑，做到內部檔案上傳的安全處理。

不同於上述產品，存取檔案仍有其他管道需防範，這也衍生了不同的應用。例如，OPSWAT所提供的產品Metadefender Vault，是一個類似企業Dropbox的應用，並結合CDR或防毒功能的平臺，因此還能具有檔案分享，以及權限管控的使用特性。

另外，對於網頁檔案下載的安全防護，像是Check Point的產品，可透過瀏覽器外掛方式，提供這樣的防護，相當特別，即便使用者在公司外上網，也能受防護。

值得注意的是，我們也看到Votiro將它們的CDR技術，整合於另一套上網安全防護產品Ericom Shield，這樣搭配的好處是，讓檔案威脅清除的防護機制，也能涵蓋到網頁下載檔案，另一方面，還能利用遠端瀏覽器隔離的技術，降低郵件連結可能帶來的惡意威脅。而這兩類產品的相互搭配，將是企業未來可關注的另一趨勢。

在各家CDR產品的管控設定中，可以針對各種檔案格式，以及檔案內容的各式元件，制訂不同的管控策略，儘管各家產品的政策設定邏輯，可能有些差異，但也能看出CDR技術對於檔案內物件的拆解內容。（圖為YazamTech SelectorIT後臺管理介面）

何謂CDR技術？

所謂的CDR防護技術，全名為內容威脅解除與重組（Content Disarm and Reconstruction），我們也能稱為檔案威脅清除技術。

原理上，簡單來說，就是將檔案中可能有害的內容元件抽離去除，並且維持檔案的可用性，帶來的效果，就是要讓企業用戶收到的檔案，不會具有潛在威脅性。

對於CDR，各資安廠商還有不同稱呼，像是日本最早將CDR的防護處理方式，稱之為「無害化」，一般而言，日文漢字的含意與中文意思往往不同，巧合的是，這裡的意義看起來是很接近的，文字也夠簡潔，因此，一些廠商也會以檔案無害化來直接形容。

還有一些廠商是這麼稱呼，像是在各家產品或介面上用到的英文名詞中，常見的還包括File Sanitized、Threat Extraction，翻譯成中文，也就是檔案消毒、檔案淨化、威脅萃取或威脅抽離。

相關報導：CheckPoint解決方案　YazamTech解決方案　
OPSWAT解決方案　Votiro解決方案

 更多報導  新世代檔案威脅清除解決方案採購大特輯