釜底抽薪！從防毒跨入消毒

現行的資安產品早已定型，不外乎從端點、網路、內容、應用程式等層面進行管控，近期比較熱門的發展方向，是強化資料分析能力、引進機器學習技術，提升精準判斷的能力，很少看到更創新的技術應用類型浮出抬面。

不過，主打CDR（Content Disarm and Reconstruction）技術的檔案防護產品，我們在去年底開始接觸到，倒是令人眼睛為之一亮。不過，CDR全名的中文該怎麼稱呼，似乎目前沒有更好的譯法，尤其是Disarm一詞，有人稱為無害化、消毒或淨化，似乎都不夠理想，但光用英文縮寫來稱呼，又很容易讓人以為是光碟燒錄，或是繪圖處理軟體CorelDRAW。也許這類新興內容防護應用，未來會出現更簡潔、更不易混淆的名稱吧！

就我的理解，CDR似乎更著重在「清理」這件事情上，但又跟傳統防毒軟體先比對特徵碼、再解毒的作法，又有不同。經過技術編輯羅正漢接連介紹兩家產品，總算多了一些認識。就目前來看，雖然市面上可選擇的廠牌還不多，但後續似乎有增加的趨勢，於是，我們決定趕快跟進報導更多CDR產品的現況，搶得先機。

在這次採購特輯當中，我們總共介紹Check Point、OPSWAT、Votiro、YazamTech等四個廠牌，其中的OPSWAT和Votiro是iThome之前報導過的，而這次還找到YazamTech，以及從網路防火牆起家的Check Point。

無獨有偶，另一家以UTM設備闖出名號的Fortinet，也在今年2月發布的新版作業系統FortiOS 6.0，強調具有這方面的功能。他們增加了FortiGuard Content Disarm and Reconstruction Service，而郵件安全系統FortiMail 也支援上述的CDR服務。顯然這股風潮也開始吹進網路安全設備，資安廠商如果想要強化檔案內容的防護能力，整合CDR很有可能成為標準或選購配備。

不過，一般人究竟該怎麼理解CDR的運作原理？我想到科幻影集Star Trek在The Next Generation系列當中，曾經有好幾次提到類似的方式，那就是在遠距傳送的光波輸送器當中，具有生物過濾器（biofilter）機制，能夠在重新組合物體的過程當中，掃描與移除被傳送者身體的已知疾病，以及病毒有機體。

關於CDR的過程和作用，其實也有不少廠商用列出幾種說法。我們看到最生活化的比喻，是OPSWAT所提出來的，他們用蒸餾一杯水的方式來形容Disarm和Reconstruction，如此一來，不乾淨的水就能變成飲用水。

若從技術角度來看CDR的崛起，其實有跡可循，主要是因為現今的資料、檔案格式，越來越豐富，本身潛藏了一些可程式化的地方，而這些機制的提供，當初原本是一番好意，卻沒想到如今被有心人士看上，而在當中夾雜了一些惡意程式碼——在攻擊者處心積慮的改造之下，使得原本沒有問題的檔案，開始藏汙納垢，甚至變成某種感染源。此時，如果要等到資安廠商拿到樣本、分析出特徵碼或入侵指標（IOC），往往還是需要一段時間，才能偵測與攔截這些遭污染的檔案，而隨著電子郵件、使用者瀏覽網頁、USB隨身碟等存取管道，侵入企業內部。

有沒有更快的反應方式呢？我們可以借鏡現實疾病的防範之道來印證。除了察覺症狀或經過健康檢查，才能發現自己染病，面對病毒、細菌等無孔不入的微小威脅，通常醫生或公共衛生專家會建議，盡可能地落實洗手、消毒的步驟，即可馬上去除掉病菌，降低發病可能性，也免除後續診斷的程序。CDR也是採用類似的觀念，因為，惡意程式畢竟是後續才添加的部分，應該能運用一些方法將其分離出來，不讓最終接觸的使用者，有機會存取到這些惡意內容，進而提升檔案使用安全性。