現行的資安產品早已定型,不外乎從端點、網路、內容、應用程式等層面進行管控,近期比較熱門的發展方向,是強化資料分析能力、引進機器學習技術,提升精準判斷的能力,很少看到更創新的技術應用類型浮出抬面。

不過,主打CDR(Content Disarm and Reconstruction)技術的檔案防護產品,我們在去年底開始接觸到,倒是令人眼睛為之一亮。不過,CDR全名的中文該怎麼稱呼,似乎目前沒有更好的譯法,尤其是Disarm一詞,有人稱為無害化、消毒或淨化,似乎都不夠理想,但光用英文縮寫來稱呼,又很容易讓人以為是光碟燒錄,或是繪圖處理軟體CorelDRAW。也許這類新興內容防護應用,未來會出現更簡潔、更不易混淆的名稱吧!

就我的理解,CDR似乎更著重在「清理」這件事情上,但又跟傳統防毒軟體先比對特徵碼、再解毒的作法,又有不同。經過技術編輯羅正漢接連介紹兩家產品,總算多了一些認識。就目前來看,雖然市面上可選擇的廠牌還不多,但後續似乎有增加的趨勢,於是,我們決定趕快跟進報導更多CDR產品的現況,搶得先機。

在這次採購特輯當中,我們總共介紹Check Point、OPSWAT、Votiro、YazamTech等四個廠牌,其中的OPSWAT和Votiro是iThome之前報導過的,而這次還找到YazamTech,以及從網路防火牆起家的Check Point。

無獨有偶,另一家以UTM設備闖出名號的Fortinet,也在今年2月發布的新版作業系統FortiOS 6.0,強調具有這方面的功能。他們增加了FortiGuard Content Disarm and Reconstruction Service,而郵件安全系統FortiMail 也支援上述的CDR服務。顯然這股風潮也開始吹進網路安全設備,資安廠商如果想要強化檔案內容的防護能力,整合CDR很有可能成為標準或選購配備。

不過,一般人究竟該怎麼理解CDR的運作原理?我想到科幻影集Star Trek在The Next Generation系列當中,曾經有好幾次提到類似的方式,那就是在遠距傳送的光波輸送器當中,具有生物過濾器(biofilter)機制,能夠在重新組合物體的過程當中,掃描與移除被傳送者身體的已知疾病,以及病毒有機體。

關於CDR的過程和作用,其實也有不少廠商用列出幾種說法。我們看到最生活化的比喻,是OPSWAT所提出來的,他們用蒸餾一杯水的方式來形容Disarm和Reconstruction,如此一來,不乾淨的水就能變成飲用水。

若從技術角度來看CDR的崛起,其實有跡可循,主要是因為現今的資料、檔案格式,越來越豐富,本身潛藏了一些可程式化的地方,而這些機制的提供,當初原本是一番好意,卻沒想到如今被有心人士看上,而在當中夾雜了一些惡意程式碼——在攻擊者處心積慮的改造之下,使得原本沒有問題的檔案,開始藏汙納垢,甚至變成某種感染源。此時,如果要等到資安廠商拿到樣本、分析出特徵碼或入侵指標(IOC),往往還是需要一段時間,才能偵測與攔截這些遭污染的檔案,而隨著電子郵件、使用者瀏覽網頁、USB隨身碟等存取管道,侵入企業內部。

有沒有更快的反應方式呢?我們可以借鏡現實疾病的防範之道來印證。除了察覺症狀或經過健康檢查,才能發現自己染病,面對病毒、細菌等無孔不入的微小威脅,通常醫生或公共衛生專家會建議,盡可能地落實洗手、消毒的步驟,即可馬上去除掉病菌,降低發病可能性,也免除後續診斷的程序。CDR也是採用類似的觀念,因為,惡意程式畢竟是後續才添加的部分,應該能運用一些方法將其分離出來,不讓最終接觸的使用者,有機會存取到這些惡意內容,進而提升檔案使用安全性。

作者簡介


Advertisement

更多 iThome相關內容