内容解除和重建：国防和情报机构网络安全使用的策略

调查表明，美国的国防和情报机构极少容易受到基于文件的网络攻击。毕竟，对于这些政府机构和组织而言，安全并不是一个商业案例，而是一个国家安全案例。

事实表明，企业应该向美国国防和情报机构寻求改善安全态势的指导。并不是他们拥有最新技术或最先进的产品，而是政府机构专注于识别核心风险载体，例如由每天共享的文件中普遍存在的危险造成的风险载体。

采取措施识别恶意软件并防止黑客访问系统比对已经发生的网络攻击进行响应更有效、更经济。毕竟在过去一年，将近200万封恶意电子邮件绕过了安全电子邮件网关。

大多数企业在其安全策略方面犯的最大错误是被动而不是主动的。企业需要采用安全解决方案，使他们在工业规模、国防和情报组织能够依赖的级别上消除业务文件中的威胁。

采用什么样的策略

美国的国防和情报机构通过确保基于文件的攻击无法渗透到他们的系统来保护他们的重要资料。由于没有犯错的余地，他们根本不能采用被动防御方法。其核心技术领域——内容解除和重建(CDR)是专门为此用例和行业开发的。虽然这个技术领域直到最近才在私营部门崭露头角，但政府机构已经采用这种技术已有将近十年的时间。

与沙盒和防病毒(AV)等被动安全方法不同，内容解除和重建(CDR)技术通过其主动方法提供即时保护。通过快速的四步流程，企业文件和文档可以免受网络威胁：

• 检查——检查文件以验证其数字DNA是否符合已知良好制造商的规范。如果发现偏差，需要立即进行补救。
• 清理——根据企业政策清理和删除高风险的活动内容(即宏和嵌入的链接)，因此只有需要活动内容的用户才能收到。
• 重建——文件按照其已知良好的制造商标准重建，确保文件干净并且没有威胁。
• 交付——文档立即交付给用户，清除任何潜在威胁，让用户放心，因为它是完全安全的。

这种简单的方法可确保进入或离开企业的每个文件都是安全的;这意味着用户可以信任每个文件。该过程使得威胁不可能存在于任何经过内容解除和重建(CDR)的文件中，无论是已知威胁，还是尚未识别的威胁(例如“零日威胁”)。黑客可以识别和利用的任何安全盲点都会在这一过程中关闭。至关重要的是，它的即时性质不会中断或减慢业务，允许活动正常进行，而不会牺牲生产力或安全性。

最好的进攻就是防守

美国国防和情报部门工作人员始终保持联系，经常在充满挑战的情况下共享信息。他们将文件和文档从低信任度环境移动到拥有国家最敏感数据的网络中，在那里数据泄露可能对国家安全产生严重影响。因此，当涉及到共享任何类型的文档时，这些团队不能冒威胁从网络中溜走的风险。

很多网络攻击者正在使用机器来设计恶意软件，并使该文件的每个版本有所不同，因此传统的恶意软件保护解决方案几乎不可能识别。与Facebook或Twitter使用算法创建真正独特的社交信息源一样，这些信息是根据用户的兴趣和品味量身定制的，网络攻击者可以使用类似的算法来部署本质上相同的潜在威胁，但以简单的方式打包逃避检测。

这是企业正在运营的基于文件的零日威胁的新时代。为了跟上步伐，私营部门需要寻找一种不同的方式来处理基于文件的威胁。内容解除和重建(CDR)不会寻找坏文件的特征。该模型查找与文件结构(数字DNA)的偏差，并根据制造商的规范对其进行修复，清理活动内容并重建为已知良好的文件，保持视觉层不变。虽然美国国防和情报机构已经依赖这一点有一段时间了，但这对私营部门来说是一个改变游戏规则的因素。

为采用内容解除和重建(CDR)技术做好准备

企业领导者必须以不同的方式思考，实现网络安全方法的现代化，并准备好迎接变革。

在解决网络安全问题时，创新型领导者必须充分应对问题、风险和机遇。在这样做时，他们应该挑战保护系统免受攻击的传统方法——即使他们自己还没有遭遇网络攻击。此外，通过承担推动积极、创新变革的责任，企业领导者可以利用自己的技能与值得信赖的安全合作伙伴和供应商合作，以提高他们的保护水平。

网络攻击者各不相同，并且不容易识别。关键是心态和方法。正确处理这两个方面的问题会使企业有更多的机会抵御网络攻击，并提高灵活性。

商业领域可以从国防和情报领域学到很多东西。目前，内容解除和重建(CDR)技术在国防和情报行业占据主导地位，而企业可以从中受益。