La tecnologia CDR, acronimo di Content Disarm and Reconstruction, è finalizzata a rimuovere il contenuto attivo nei file analizzati: script, informazioni dannose e metadati sono eliminati durante il processo. Ogni file è sottoposto a un’analisi del formato, scomposto nelle sue varie parti e quindi ricostruito in modo tale da mantenere inalterato il contenuto per l’utente finale. In sostanza, i file sono sottoposti a un processo di sanificazione, passato il quale non possono più compromettere il sistema e la rete dell’organizzazione ricevente.
Odix è una società israeliana all’avanguardia nello sviluppo della tecnologia CDR di cui ha creato una versione proprietaria denominata TrueCDR. Le sue soluzioni sono adottate da numerose organizzazioni in tutto il mondo per ridurre in maniera rilevante l’esposizione al rischio di compromissione da attacchi basati sui file in ingresso.
Le minacce ricorrenti. Il veicolo d’attacco più diffuso
Dall’analisi di Verizon Business riportata nel Data Breach Investigations Report del 2019, risulta che il 94% delle compromissioni da malware avviene via email tramite allegati e che il 90% degli attacchi basati su file usano documenti Office, PDF e archivi. E’ quindi evidente che gli attacchi basati su file costituiscono il pericolo più diffuso. Le soluzioni anti-malware tradizionali, anche quando usano tecnologie euristiche avanzate, non possono tenere il passo con il continuo sviluppo di nuovo malware, che incrementa a ritmi elevatissimi (350.000 nuovi malware ogni giorno, secondo AV-Test), soprattutto quando non si è ancora acquisita una buona conoscenza della metodologia di attacco.
La tecnologia TrueCDR
Si tratta di una tecnologia relativamente recente ma già molto usata per la protezione di organizzazioni operanti in settori critici in tutto il mondo. Sottoposto al processo di Odix, un file viene scomposto nei suoi componenti più elementari che vengono esaminati a fondo e sanificati da qualsiasi codice potenzialmente pericoloso. Il file è quindi ricostruito in base alle specifiche del tipo di file originale. Il risultato finale è una copia completamente nuova avente uguale formato e informazioni del file originale, ma priva di contenuti dannosi. Il processo CDR opera nel seguente modo:
- Identifica il tipo di file in arrivo, ad es. file immagine, documento Word ecc.
- Scompone il file in tutti i suoi elementi.
- Identifica eventuali elementi che non sono conformi alle specifiche del tipo di file e, nel caso, blocca il file.
- Crea un nuovo file sanificato ripristinando il contenuto dell’originale. Rimuovendo tutto il codice potenzialmente dannoso, questa tecnologia risulta efficace contro vulnerabilità zero-day, Advanced Persistent Threat (APT), Ransomware e in generale contro qualsiasi attacco basato su file.
I prodotti Odix integrano questa tecnologia in un controllo composto da 4 fasi:
- Nella prima fase sono applicate le policy stabilite dall’organizzazione, come ad esempio il blocco degli allegati contenenti script o file eseguibili.
- Nella seconda fase viene eseguito un controllo del file usando il motore di scansione di 5 prodotti anti-malware. I motori di scansione sono integrati nel sistema Odix.
- Nella terza fase viene eseguita una validazione del tipo di file.
- Nella quarta e ultima fase viene effettuato il processo CDR vero e proprio
Confronto con le altre soluzioni
A differenza delle tradizionali soluzioni antivirus, la tecnologia CDR non richiede l’uso di database contenenti informazioni sul malware in circolazione e quindi non dipende dal loro continuo aggiornamento per assicurare un buon livello di protezione. Per sua natura, il controllo CDR è in grado di eliminare file con contenuto pericoloso indipendentemente dal fatto che questo sia conosciuto o no. Inoltre, non richiedendo un agente sugli endpoint, si evitano il decadimento delle prestazioni, eventuali problemi introdotti dagli aggiornamenti e pericoli di compromissione legati alla tecnologia di protezione stessa.
Esempio di implementazione – Ministero Salute israeliano
Il Ministero della Salute israeliano usa la tecnologia CDR per controllare circa 20.000 file per ora. I file arrivano da vari istituti sanitari per essere archiviati presso il Ministero, provengono da diverse fonti (server FTP, Vault, operazioni batch, ecc.) e sono incanalati verso i server CDR. A causa del carico di lavoro elevato, diversi server CDR Odix sono utilizzati tramite un Load Balancer in modalità Round Robin. Data l’elevata riservatezza dei dati, i server Odix sono configurati per non effettuare alcuna comunicazione verso l’esterno. I file di aggiornamento sono forniti da Odix e caricati sul sistema dagli amministratori della rete.
Conclusioni
La tecnologia CDR è in grado di proteggere da tutti i tipi di malware basati su file, anche dalle minacce zero-day. Differisce sostanzialmente dall’operato del tradizionale software anti-malware che si basa sulla capacità di rilevamento. Non dovendo fare affidamento su un database di minacce note, questa tecnologia non richiede aggiornamenti frequenti, fornisce un’elevata prevenzione diminuendo significativamente il numero di incidenti e permette l’accesso all’area sicura dell’organizzazione solo a file che non costituiscono una minaccia.