IT Security Januar / Februar 2024

Weitere Magazine

Empfehlungen

Info

26 | IT SECURITY Security@work CONTENT DISARM AND RECONSTRUCTION (CDR) Das Ziel von Cybersicherheits-Tools und -Plattformen besteht im Wesentlichen darin, Malware zu beseitigen, bevor sie in das Netzwerk gelangt. Traditionell wurde dies durch Erkennung erreicht, mit Lösungen wie Antivirus-Software und Netzwerk-Sandboxing, die Dateien scannen und verdächtige Dateien markieren. Einführung in CDR Content Disarm and Reconstruction (CDR) - auch bekannt als „File Sanitization“ oder „Content Sanitization“ - ist eine fortschrittliche Technologie, die hervorragende Ergebnisse bei der Abwehr von dateibasierten Angriffen liefert und die erste Zugriffsphase der meisten APTs, Ransomware und Zero-Day-Angriffe effektiv blockiert. CDR wird zuweilen auch Threat Extraction bezeichnet. In jedem Fall schützt es proaktiv vor bekannten und unbekannten Bedrohungen, die in Dokumenten enthalten sind, indem ausführbare Inhalte entfernt werden. Die Lösung ist einzigartig, weil sie sich nicht wie die meisten Sicherheitslösungen auf die Erkennung verlässt. Jeder ausführbare Inhalt in einem Dokument wird entfernt, unabhängig davon, ob er als potenzielle Bedrohung für den Benutzer erkannt wird oder nicht. Dadurch bietet CDR eine echte Zero-Day-Prävention und stellt den Anwendern gleichzeitig Dateien schnell zur Verfügung. Der gesamte Prozess des Auseinandernehmens und Zusammenbauens dauert nur den Bruchteil einer Sekunde und bremst Arbeitsabläufe nicht aus - im Gegensatz beispielsweise zu Sandboxes, die häufig einige Minuten abwarten, bevor sie eine Datei als unbedenklich freigeben. Unternehmen können mit CDR also ihre sicherheitsrelevanten Prozesse beschleunigen und Sandbox- Umgebungen, die Ressourcen binden und Kosten verursachen, entlasten. Nur noch Dateien, die CDR nicht transformieren kann, werden künftig zur Analyse an die Sandbox überstellt. Manche CDR-Lösungen wandeln die verschiedenen Ausgangsformate, zu denen neben PDFs und Office-Dokumenten in der Regel auch Bilder, HTML- Dateien, Mail-Formate und Archive zählen, lediglich in PDFs um. Das erschwert es jedoch, Daten zu aktualisieren oder zu ergänzen. Besser sind daher Lösungen, bei denen das Endformat dem Aus- Januar/Februar 2024 | www.it-daily.net
IT SECURITY | 27 gangsformat entspricht. Wobei es hier sogar Möglichkeiten gibt, das Format zu aktualisieren und einen Wildwuchs mit unzähligen alten Word-, Excel- und PowerPoint-Formaten einzudämmen. Die neu aufgebauten Dateien gleichen optisch dem Original, sodass es keinerlei Einschränkungen bei der User Experience gibt. Prozessfolge Der CDR-Prozess, der das Risiko, dass bösartiger Code in ein Netzwerk eindringt, vollständig ausschließt, folgt einem Präventionsverfahren, das immer drei Grundprinzipien folgt: #1 #2 Jede Datei wird als Bedrohung behandelt Das Originaldokument ist nicht vertrauenswürdig und wird daher außerhalb des Netzwerks gespeichert. #3 Es wird eine neue Datei erstellt, die als saubere Replik der Originaldatei dient. Einige Jahre nach ihrer ursprünglichen Entwicklung wurde diese Technologie als „CDR“ – Content Disarm and Reconstruction – bezeichnet. In den ersten Versionen von CDR wurde das Originaldokument im Wesentlichen „geglättet“, das bedeutet, jeder potenzielle aktive Code innerhalb des Dokuments wurde entfernt. Wenn Wordoder Excel-Dateien eintrafen, wurden sie als Bild repliziert, wobei das ursprüngliche Format und die Dateifunktionen verloren gingen. Der gesamte Inhalt der Datei war lesbar, aber die Dokumente konnten nicht bearbeitet, kopiert oder in irgendeiner Weise manipuliert werden. Die Entwicklung von CDR Als CDR erstmals auf den Markt kam, sollte es die traditionellen, auf Erkennung basierenden Sicherheitslösungen ersetzen. Obwohl alle diese Lösungen einen Mehrwert bieten, wiesen sie erhebliche Einschränkungen in Bezug auf Sicherheit und/oder Benutzerfreundlichkeit auf. Zu den typischen Einschränkungen gehören die Ineffizienz gegenüber unbekannter Malware, die fehlende Unterstützung verschlüsselter Dokumente und großer Dateien, die Latenzzeit und Skalierbarkeit der Sandbox sowie die Einschränkung von Geschäftsabläufen. Damit CDR von Unternehmen angenommen werden konnte, musste die Benutzerfreundlichkeit deutlich verbessert werden. Das war leichter gesagt als getan. Die ersten Anbieter, die CDR anboten, setzten weiterhin auf eine geglättete Datei, was zu einer schreibgeschützten Version des Dokuments führte. Dadurch war das Dokument zwar vollkommen sicher, die Nutzer waren aber frustriert, da die eingebetteten Dateien und die Dateifunktionen verloren gingen. Diese Einschränkungen führten dazu, dass frühe CDR-Lösungen zum kommerziellen Scheitern verurteilt waren. Zwar gibt es Anwendungen für diese Funktion, und mehrere führende Sicherheitsanbieter bieten diese eingeschränkte Lösung auch heute noch an, doch die meisten Unternehmen benötigen eine robustere Lösung, die die volle Nutzbarkeit der Dokumente, die Verarbeitung in großem Umfang und in Echtzeit ermöglicht. Blacklisting Zwar wurde versucht das Paradigma zu durchbrechen, indem man eine fortschrittlichere Methode der CDR entwickelte, man hatte aber immer noch mit dem grundlegenden Problem der Sicherheit im Vergleich zur Benutzerfreundlichkeit zu kämpfen. Um sicherzustellen, dass die Benutzerfreundlichkeit nicht beeinträchtigt wird, wählten diese Sicherheitsanbieter einen Blacklisting-Ansatz. Bei dieser Variante des CDR wurde das gesamte Originaldokument in eine Kopie kopiert, dann wurde die Kopie geöffnet und jedes Element auf bösartigen Code und bekannte Risiken (etwa Makros, aktive Inhalte) gescannt. Schließlich wurden Elemente mit hohem Risiko entfernt, und die Datei wurde an den Empfänger gesendet. Blacklisting vs. Flattening Im Gegensatz zum Flattening liefert diese Methode (von den Anbietern manchmal als „Deep-CDR“ bezeichnet) den Benutzern eine voll funktionsfähige Kopie, mit Ausnahme aller Makros oder anderer aktiver Inhalte, die entfernt wurden. Dieser Ansatz ermöglichte es den Anbietern, die Benutzerfreundlichkeit zu verbessern - er war relativ schnell, behielt die Dokumententreue bei und konnte eingebettete Dateien scannen. Allerdings hielt diese Methode nicht die Sicherheitsstandards ein, die die ursprüngliche CDR-Technologie ihren Benutzern versprach. Ähnlich wie herkömmliche Erkennungslösungen und im Gegensatz zu Präventionstechnologien stellt das Blacklisting ein reduziertes Sicherheitsniveau dar, das anfällig für Zero-Day-Angriffe und das Verbleiben Lesen Sie den kompletten Beitrag hier: www.it-daily.net | Januar/Februar 2024
Seite 1 und 2: Detect. Protect. Respond. Januar/Fe
Seite 3 und 4: INHALT | 3 Inhalt 04 COVERSTORY 4 E
Seite 5 und 6: COVERSTORY | 5 DIE VERMITTLUNG VON
Seite 7 und 8: IT SECURITY | 7 Was sind ihre Top-p
Seite 9 und 10: IT SECURITY | 9 Quelle: Gerd Altman
Seite 11 und 12: IT SECURITY | 11 Cyber sicherheitse
Seite 13 und 14: IT SECURITY | 13 zahl von Kontextin
Seite 15 und 16: IT SECURITY | 15 SO LANGE DAUERT ES
Seite 17 und 18: IT SECURITY | 17 einstieg in Kali L
Seite 19 und 20: IT SECURITY | 19 Die Krux also: Die
Seite 21 und 22: IT SECURITY | 21 lungen oder verein
Seite 23 und 24: IT SECURITY | 23 Fragmentierung und
Seite 25: IT SECURITY | 25 Die Verhaltenslüc
Seite 29 und 30: IT SECURITY | 29 sichere dateien in
Seite 31 und 32: IT SECURITY | 31 Zero Trust GANZHEI
Seite 33 und 34: IT SECURITY | 33 Ulrich Parthier: W
Seite 35 und 36: IT SECURITY | 35 geführt werden. D
Seite 37 und 38: IT SECURITY | 37 gehörten OWASP AP
Seite 39 und 40: IT SECURITY | 39 passwort managemen
Seite 41 und 42: IT SECURITY | 41 PAP 1. View record
Seite 43 und 44: IT SECURITY | 43 ➤ eine Ressource
Seite 45 und 46: IT SECURITY | 45 funktionsweise von
Seite 47 und 48: Cyberkriminelle überall da tut Hil

IT Security Januar / Februar 2024

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?