每天,企业通过云应用程序、协作平台、安全门户和电子邮件生成、传输和接收数百万个文件。这些文件通常被视为常规数据对象,但它们却是恶意软件、数据泄露和拒绝服务有效载荷的理想载体。
传统的防病毒工具和外围过滤器已经不够用了。为了应对现代文件传播的威胁,企业正在转向多层文件安全平台,在使用或共享文件前提供分析、验证和消毒。
本博客将解释为什么现代文件安全策略非常重要,以及如何 MetaDefender Core如何使用Deep CDR™(内容解除和重构)等功能、 File Type Verification、MetaScan™Multiscanning扫描、主动式 DLP™(数据丢失防护)和 Adaptive Sandbox以降低每个入口点的文件风险。
常见的基于文件的攻击方法以及仅靠杀毒软件还不够的原因
通过文件上传拒绝服务
攻击者利用超大文件或大量文件上传来压垮存储或计算资源。这些攻击通常会通过上传表单和 API 而不被发现,尤其是在使用存档来掩盖有效载荷大小的情况下。
MetaDefender Core 通过以下方式帮助防止基于文件的拒绝服务攻击:
- 执行文件大小和数量限制。
- 控制存档提取行为,防止解压缩超载。
- 验证文件类型,拒绝高风险或错误识别的格式。
基于档案的攻击和串联档案
一些攻击者创建的归档文件包含多个嵌套层或串联流。这些文件看似很小,但在解压缩过程中会急剧膨胀。串联归档文件可能会混淆标准提取程序,使恶意文件绕过扫描。
MetaDefender Core 可通过以下方式防范基于存档的漏洞:
- 在解压缩前分析档案深度和结构。
- 设置总提取大小和文件数量限制。
- 检测连接存档或畸形标头中的异常情况。
为什么存档文件是网络攻击的首选?
嵌入常见文件格式的恶意软件
威胁行为者通常会在 Word 文档、Excel 电子表格或 PDF 等熟悉的文件格式中嵌入恶意软件。这些文件可能包含脚本、宏或经过混淆的隐藏可执行文件,以避免被检测到。许多此类威胁都能躲过单引擎防病毒解决方案的攻击。
MetaDefender Core 通过以下方式对嵌入式恶意软件提供更强大的保护:
- MetaScan™ 使用 30Multiscanning 领先的反恶意软件引擎进行Multiscanning 。
- Deep CDR™ 可删除宏和脚本等活动内容。
- 通过Adaptive Sandbox 进行行为检查,以发现躲避性威胁。
文件替换漏洞
在异步或延迟处理环境中,攻击者可能会上传一个干净的文件以通过验证,然后在文件存储或执行前将其替换为恶意版本。这种竞赛条件会导致文件在不应被信任的情况下被信任。
MetaDefender Core 通过以下方式解决这一风险:
- 在存储或进一步处理文件前对文件进行扫描和消毒。
- 使用不可更改的工作流程,防止中途更改流程。
- 在使用或交付文件前进行最终验证。
来自可信来源的恶意或敏感文件
即使是来自可信用户、合作伙伴或内部系统的文件,也可能包含不应共享的恶意软件或敏感数据。如果不进行持续扫描,这些文件可能会无意中带来风险。
MetaDefender Core 通过以下方式执行零信任文件策略:
- 验证真正的文件格式,无论文件扩展名是什么。
- 使用 Proactive DLP™ 扫描 PII、PHI 或其他受监管数据。
- 在上传门户、电子邮件系统和存储平台上应用一致的控制。
支持MetaDefender Core先进技术
构建多层次文件安全策略
文件被用于网络钓鱼、恶意软件传播、横向移动和数据外渗。尽管如此,一旦文件通过防病毒扫描,大多数企业系统都会默认将其视为可信文件。
零信任文件安全策略将每个文件都视为潜在的有害文件,直到证明不存在这种情况。这就需要多层次的工具来检查、消毒和验证每个文件,无论其来源、格式或预期用途如何。
MetaDefender Core 通过将检测与预防相结合来支持这一战略。它可以帮助企业在文件进入点、电子邮件、存储、网络上传等方面消除威胁。
结束语
文件现在是企业环境中最常见的攻击载体之一。仅依靠防病毒检测会留下攻击者急于利用的关键漏洞。现代文件安全需要分层检测、主动内容删除和策略执行。
MetaDefender Core 提供弥补这些差距所需的平台技术。凭借Deep CDR、MetaScanMultiscanning扫描、Adaptive Sandbox和Proactive DLP,企业可在每个文件工作流程中获得可见性和保护。
为了降低风险并放心运营,企业必须在打开、共享或存储每个文件之前确保其安全。
