Удаление угроз контенту

Content Threat Removal ( CTR ) — это технология кибербезопасности, предназначенная для устранения угроз, возникающих при обработке цифрового контента в киберпространстве. ^[1] В отличие от других средств защиты, включая антивирусное программное обеспечение и изолированное выполнение , CTR не полагается на способность обнаруживать угрозы. Подобно Content Disarm and Reconstruction , CTR предназначен для устранения угрозы, не зная, было ли это сделано, и действует, не зная, содержат ли данные угрозу или нет.

Стратегии обнаружения работают путем обнаружения небезопасного контента, а затем блокировки или удаления этого контента. Контент, который считается безопасным, доставляется по назначению. Напротив, Content Threat Removal предполагает, что все данные являются враждебными, и не доставляет ни одного из них по назначению, независимо от того, являются ли они на самом деле враждебными. Хотя данные не доставляются, бизнес-информация, содержащаяся в данных, доставляется с использованием новых данных, созданных для этой цели.

Угроза

Расширенные атаки постоянно разрушают защиту, основанную на обнаружении. Их часто называют атаками нулевого дня , поскольку как только они обнаруживаются, механизмы обнаружения атак должны быть обновлены для выявления и нейтрализации атаки, а до тех пор, пока они не будут обнаружены, все системы остаются незащищенными. Эти атаки успешны, потому что злоумышленники находят новые способы избежать обнаружения. Полиморфный код можно использовать для уклонения от обнаружения известных небезопасных данных, а обнаружение в песочнице позволяет атакам уклоняться от динамического анализа. ^[2]

Метод

Защита Content Threat Removal работает путем перехвата данных на пути к месту назначения. Деловая информация, содержащаяся в данных, извлекается, а данные удаляются. Затем создаются совершенно новые, чистые и безопасные данные для доставки информации к месту назначения.

Результатом создания новых данных для передачи бизнес-информации является то, что любые небезопасные элементы исходных данных остаются позади и отбрасываются. Сюда входят исполняемые данные, макросы, сценарии и искаженные данные, которые вызывают уязвимости в приложениях.

Хотя CTR — это форма трансформации контента, не все трансформации обеспечивают полную защиту от контентной угрозы. ^[3]

Применимость

CTR применим к трафику между пользователями, например электронной почте и чатам, а также к трафику между компьютерами, например веб-сервисам. Передача данных может быть перехвачена встроенными прокси-серверами прикладного уровня, которые могут изменить способ доставки информационного контента, чтобы устранить любую угрозу. ^[4]

CTR работает путем извлечения бизнес-информации из данных, и невозможно извлечь информацию из исполняемого кода. Это означает, что CTR не применим напрямую к просмотру веб-страниц, поскольку большинство веб-страниц представляют собой код. Однако его можно применить к контенту, который загружается с веб-сайтов и загружается на них.

Хотя большинство веб-страниц невозможно преобразовать, чтобы сделать их безопасными, просмотр веб-страниц может быть изолирован, а протоколы удаленного доступа, используемые для доступа к изолированной среде, могут подвергаться CTR.

CTR обеспечивает решение проблемы Stegware . ^[5] Он естественным образом удаляет обнаруживаемую стеганографию и устраняет симбиотическую стеганографию и стеганографию перестановок посредством нормализации. ^[6]

См. также

Ссылки

^ Уайзман, Саймон (сентябрь 2017 г.). «Безопасность контента через трансформацию». Компьютерное мошенничество и безопасность . 2017 (9). Эльзевир: 5–10. дои : 10.1016/S1361-3723(17)30097-0 .
^ Керагала, Дилшан (январь 2016 г.). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт САНС.
^ Уайзман, Саймон (май 2017 г.). «Безопасность контента посредством трансформации – постановка проблемы». дои : 10.13140/RG.2.2.13179.92969 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Заявка EP 1721234 , Вятт, Грэм Ричард и Дин, Тимоти Барри, «Снижение угроз в компьютерных сетях», опубликованная 15 ноября 2006 г., передана Qinetiq Ltd. , поскольку отклонена.
^ Уайзман, Саймон (декабрь 2017 г.). «Stegware – использование стеганографии в злонамеренных целях». дои : 10.13140/RG.2.2.15283.53289 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Уайзман, Саймон (сентябрь 2017 г.). «Руководство защитников по стеганографии» . дои : 10.13140/RG.2.2.21608.98561 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[1] Уайзман, Саймон (сентябрь 2017 г.). «Безопасность контента через трансформацию». Компьютерное мошенничество и безопасность . 2017 (9). Эльзевир: 5–10. дои : 10.1016/S1361-3723(17)30097-0 .

[2] Керагала, Дилшан (январь 2016 г.). «Обнаружение вредоносных программ и методы обхода песочницы» . Институт САНС.

[3] Уайзман, Саймон (май 2017 г.). «Безопасность контента посредством трансформации – постановка проблемы». дои : 10.13140/RG.2.2.13179.92969 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[4] Заявка EP 1721234 , Вятт, Грэм Ричард и Дин, Тимоти Барри, «Снижение угроз в компьютерных сетях», опубликованная 15 ноября 2006 г., передана Qinetiq Ltd. , поскольку отклонена.

[5] Уайзман, Саймон (декабрь 2017 г.). «Stegware – использование стеганографии в злонамеренных целях». дои : 10.13140/RG.2.2.15283.53289 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[6] Уайзман, Саймон (сентябрь 2017 г.). «Руководство защитников по стеганографии» . дои : 10.13140/RG.2.2.21608.98561 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[1]

[2]

[3]

[4]

[5]

[6]