Content Threat Removal ( CTR ) es una tecnología de seguridad cibernética destinada a derrotar la amenaza que representa el manejo de contenido digital en el ciberespacio. [1] A diferencia de otras defensas, incluido el software antivirus y la ejecución en espacio aislado , no se basa en la capacidad de detectar amenazas. De manera similar a Content Disarm and Reconstruction , CTR está diseñado para eliminar la amenaza sin saber si lo ha hecho y actúa sin saber si los datos contienen una amenaza o no.
Las estrategias de detección funcionan detectando contenido inseguro y luego bloqueando o eliminando ese contenido. El contenido que se considera seguro se entrega a su destino. Por el contrario, Content Threat Removal asume que todos los datos son hostiles y no entrega ninguno al destino, independientemente de si realmente son hostiles. Si bien no se entregan datos, se entrega la información comercial que llevan los datos, pero utilizando nuevos datos creados para tal fin.
Los ataques avanzados derrotan continuamente las defensas que se basan en la detección. Estos a menudo se conocen como ataques de día cero , porque tan pronto como se descubren, los mecanismos de detección de ataques deben actualizarse para identificar y neutralizar el ataque y, hasta que lo hacen, todos los sistemas están desprotegidos. Estos ataques tienen éxito porque los atacantes tienen la habilidad de encontrar nuevas formas de evadir la detección . El código polimórfico se puede usar para evadir la detección de datos inseguros conocidos y la detección de sandbox permite que los ataques evadan el análisis dinámico. [2]
Una defensa de Eliminación de amenazas de contenido funciona interceptando datos en su camino hacia su destino. La información comercial que contienen los datos se extrae y los datos se descartan. Luego, se crean datos completamente nuevos, limpios y seguros para llevar la información a su destino.
El efecto de generar nuevos datos para transportar la información comercial es que cualquier elemento inseguro de los datos originales se deja atrás y se descarta. Esto incluye datos ejecutables, macros, scripts y datos con formato incorrecto que desencadenan vulnerabilidades en las aplicaciones.
Si bien CTR es una forma de transformación de contenido, no todas las transformaciones brindan una defensa completa contra la amenaza del contenido. [3]