Hlavní navigace

Check Point Threat Extraction nabízí bezpečné dokumenty v reálném čase

Autor: Isifa
Daniel Dočekal

Pokud není úplně jisté, že je dokument bezpečný, software ho buď vytvoří znova nebo ho převede na PDF. Novinka od Check Pointu.

Check Point Threat Extration aktuálně hlídá e-mailové přílohy tam, kde používají bezpečnostní software od této firmy. V druhé polovině roku bude rozšířen i na hlídání souborů na webových stránkách. Vedle doposud běžného způsobu blokování nebezpečných (zavirovaných) souborů firma představila zajímavou novinku – software se soubor pokusí vytvořit znova, pouze na úrovni obsaženého dokumentového obsahu (a vynechání všeho potenciálně nebezpečného). Případnou variantou je i konverze do PDF.

Příjemce dokumentu má samozřejmě možnost si vyžádat i původní dokument. Check Point uvádí, že dokumenty představují pro firmy stále jedno z největších rizik nakažení – podle Check Point 2014 Security Report 84 % společností stáhlo v roce 2013 nějaký infikovaný dokument, nebo lépe řečeno potenciálně nebezpečný dokument. Právě rekonstrukci dokumentu považuje Check Point za zásadní opatření, které může kompletně zajistit ochranu.

Je jisté, že tato technologie není použitelná v okamžiku, kdy je soubor chráněný heslem – software ho v tomto případě pouze, na základě nastavení pravidel, buď pustí skrz nebo zablokuje. Celkově lze považovat tuto technologii za praktické řešení, samozřejmě za předpokladu, že zůstaneme čistě na úrovni dokumentu – a preventivní odstraňování nebezpečného obsahu (na čemž je to hlavně založeno) nebude odstraňovat podstatné věci a způsobovat více problémů, než užitku.

Rekonstrukce dokumentů je klasicky ideálně doplněna původní threat emulation technologií, tedy postupem, který se snaží „emulací“ zjistit, jestli soubor obsahuje něco více, než potenciálně nebezpečné věci. Stejně je logické, že stále zůstává potřeba používat antivirové řešení (hledající známé hrozby) a případné další technologie ochrany, ať už od stejného nebo jiného dodavatele.

Odstranění všech potenciálně nebezpečných věcí

Threat Extraction opravdu pracuje v zásadě tak, že z dokumentů odstraní vše „potenciálně“ nebezpečné – což, mimochodem, může znamenat i deaktivaci všech odkazů a řadu dalších věcí.

Případná konverze do PDF podle Check Pointu nabízí prakticky 100% ochranu proti hrozbám. V případě odstranění potenciálně nebezpečných částí je uváděna 93% úspěšnost.  

„Tradiční přístup k ochraně před infikovanými dokumenty nestačí, pouhé vyhledávání a blokování škodlivého kódu neposkytuje absolutní ochranu. Organizace potřebují preventivně eliminovat jakékoli ohrožení malwarem,“ říká Dorit Dor, produktová viceprezidentka společnosti firmy.

Na tiskové snídani představující Threat Extraction byla ještě řeč o ochraně mobilních telefonů a tabletů prostřednictvím zprovoznění bezpečného tunelu, kde veškerá komunikace probíhá přes šifrované spojení a servery zprostředkovávající komunikaci zkoumají případný nebezpečný obsah.

Principiálně jednoduché a funkční řešení, schopné fungovat i velmi rychle, prakticky je samozřejmě náchylné například na to, jak se útočníkovi podaří zneužít případně chyby v odstraňování potenciálně nebezpečných prvků či konverze do PDF – jde samozřejmě o serverové řešení, takže stačí zvládnout ovlivnění jedné vstupní brány do firmy.

EBF17_Cupr

Omezením je pochopitelně nemožnost pracovat se zaheslovanými dokumenty, kde je opravdu nutné se spolehnout až na případnou detekci na klientském zařízení až v okamžiku, kdy uživatel zadá heslo a otevře dokument.

Check Point samozřejmě bude muset držet tempo se změnami souborových formátů, které tímto způsobem bude podporovat, a dokázat se vyrovnat s případnými ne zcela standardně tvořenými dokumenty – na samotné uživatele ale případné problémy v této oblasti nemusí mít až tak vliv, vždy je totiž možné prostě dokument zadržet, uživatele upozornit, že k tomu došlo a umožnit mu ho stáhnout jako potenciálně nebezpečný.

Našli jste v článku chybu?