web-dev-qa-db-ja.com

電子メールソリューションにCDRを統合する場合、本当にサンドボックスも必要ですか?

ソーシャルエンジニアリング攻撃のベクトルがXSLファイルのような悪意のある添付ファイル付きで送信された電子メールである場合、CDR(コンテンツの武装解除および再構築)ソリューション(多くの場合、はるかに安価)を使用できる場合にサンドボックスソリューションが必要になる場所がよくわかりません組織用)

malwareantivirusphishingsandbox
1
Filipon

サンドボックス内でのCDRと分析は、どちらも独自の問題がある手法です。サンドボックスは、マルウェアの動作を環境と時間に基づいており、サンドボックス内で悪意のある動作を示さないことにより、巧妙な攻撃者によってバイパスされる可能性があります。

代わりに、CDRは、許可されていないものをすべて削除するために、何とかして最初に許可されているペイロードの種類を想定する必要があります。これにより、削除するペイロードが多すぎたり少なすぎたりする可能性があります。Officeドキュメントからすべてのマクロを削除したり、PDFからすべてのJavascriptを削除したりする場合でも、実際には両方に有効で無害なユースケースがあります。CDRもできません。あらゆる種類のコンテンツを処理します。つまり、処理できないコンテンツは、完全にブロックするか、盲目的に通過させる必要があります。

非常に厳密に構成されたCDR(つまり、非常に少数で明らかに無害なもののみを許可する)が機能する場合は、それが最良のオプションである可能性があります。これは、ファイアウォールを構成して、明らかに良好な着信接続と発信接続のみを許可するのと似ています。しかし、このように非常に厳密に構成されたファイアウォールは、明らかに良い点と悪い点があるだけでなく、実際には無害か悪いかもしれないが、これを簡単に見つけることができない灰色の領域があるため、現実の世界ではしばしば使用できません。 Twitterへの投稿などは問題ないかもしれませんが、マルウェアの通信である可能性もあります。また、非常に厳密に構成されたCDRを使用する場合にも、灰色の領域に同じ問題が存在します。

したがって、無害なコンテンツを誤って破壊しないように、より制限の少ない方法でCDRを使用する必要がある場合があります。ただし、これは、悪いコンテンツが通過するリスクが高まることも意味します。このリスクは、メールの(要求された)送信者に基づくCDRポリシーを使用するか、サンドボックスまたは同様のテクノロジーを使用して、明確に無害ではない(ただし明らかに悪いわけではない)コンテンツをさらに分析するなど、追加のセキュリティ対策を使用することで再び軽減される可能性があります。

4
Steffen Ullrich

CDRの概要

CDR(コンテンツの武装解除および再構築)は、ドキュメントの製造元(PDFの場合はAdobe、Wordの場合はMSFTなど)によって定義されている、元のファイルから安全な要素のみを含めることにより、元のファイルの安全なコピーを作成するプロセスについて説明しています。

CDRの利点

  1. 高セキュリティ
    • 既知および未知の攻撃から保護します。
    • 確定的–システムはファイル要素の事前定義されたリストに基づいて機能するため、再構築されたファイルは100%安全です。予期されるフォーマット仕様(エクスプロイト)または安全でない要素からの逸脱は、再構築されたドキュメントには含まれません。
  2. 高いユーザビリティ
    • 高速–通常、ファイルの処理には1秒もかかりません。処理時間を長くしても、他の方法よりもかなり高速になります。
    • ファイルの種類とサイズ–一般的に使用されるすべてのフォーマットと一部の非標準をサポートし、任意のファイルサイズを処理できます。

CDRの欠点

  1. 安全を確保するために、CDRはアクティブコンテンツと実行可能要素を無効にするか、入力ファイルから削除します。これには、マクロ/スクリプトおよび埋め込まれた実行可能ファイルが含まれます。この機能は完全にポリシー制御されており、除外を指定することで、組織内の特定のユーザーに対して無効にすることができます(たとえば、ユーザーグループごとに異なるレベルのCDR)

サンドボックスの概要

サンドボックスは、ファイル内の悪意のある動作を検出するセキュリティメカニズムです。これは、ファイルを制御された環境で実行できるようにし、そのアクティビティを監視することによって行われます。

サンドボックスの利点

  1. コードではなく結果を調べる-配信メカニズムに加えられた変更に関係なく、既知の攻撃の新しいバージョンを検出できます。

  2. 事実上すべての種類のファイル(適切な構成)とコンポーネントで動作します。

サンドボックスの欠点

  1. 場合によっては回避される可能性があります–最近の悪意のあるプログラムは、サンドボックス環境を検出しようとすることがよくあります。仮想環境のマーカーを検出しようとするか(p-fishテストなど)、誤動作する前に簡単なCAPTCHA(ユーザーが人間かどうかを判断するための簡単なチャレンジ/レスポンステスト)を実行します。悪意のあるソフトウェアは、サンドボックス環境で実行されている場合は正当なソフトウェアのように動作する可能性がありますが、「実際の」ユーザーのコンピューターで実行されていることを検出すると悪意のある動作をします。

  2. 使いやすさ–

    • レイテンシー–多くのサンドボックスソリューションでは、(以前に処理されなかったファイルの)処理時間は2分以上かかる場合があると述べています。ユーザーは、一部の環境(電子メールなど)でこれを邪魔することがよくあります。
    • ファイルサイズの制限–パフォーマンスを確保するために、一部のサンドボックスソリューションでは、スキャンできる最大ファイルサイズに制限を設けています(一部のシステムでは60MBまで)。

  3. コストとスケーラビリティ-サンドボックスのスケーリングは困難です。必要なリソースの量(ファイル全体で1分以上VMファイルごと))を使用して大規模環境を完全に保護する場合、問題が生じる可能性があります。

理想的なソリューション-2つを組み合わせる

両方のメリットを享受するには、両方のシステムを組み合わせることが推奨されます。 CDRは既知および未知の脅威から保護し、規模と速度を可能にします。サンドボックスは、実行可能ファイルとアクティブコンテンツを管理します。これにより、サンドボックスはCDRで処理されなかったファイルでのみ機能するようになり、ボリュームが低下し、処理時間が効率的になります。ほとんどの組織のトラフィックは実行不可能なドキュメントで構成されているため、この方法ではサンドボックスの負荷を90%〜95%削減し、総コストを削減して平均レイテンシを改善できます。

3
OSH