¿Cómo manejamos el PDF de forma segura desde una red externa a una interna sin tener que lidiar con la entrega de los PDF?

1

Tenemos un requisito para manejar archivos PDF por entidades externas & Estos PDF's van a nuestra red interna. La red interna desde este punto de vista obviamente no está totalmente aislada.

Pensamos utilizar la API VirusTotal después de la investigación inicial & escanee estos documentos antes de dirigirlos a la red interna. Virus total es un servicio y terminaremos enviando nuestros documentos a una organización externa, es decir, VirusTotal & eso es algo que las partes interesadas no aprueban.

Cosas que buscamos como requisito de una empresa de mediana escala:

  1. En este punto no podemos permitirnos una solución empresarial. Hemos intentado soluciones de código abierto; sin embargo, estas soluciones fallan en la detección de malware que está diseñado y amp; no siempre es confiable.
  2. Un conjunto de instrucciones para tener una solución intermedia donde los documentos no necesitan ser enviados a una organización externa & al mismo tiempo, la solución debe poder detectar amenazas de manera eficiente.

La forma en que manejamos la amenaza como superficie de amenaza es la funcionalidad de requisitos y amp; tal como lo probó nuestro equipo de malware, muchos PDF podrían tener malware incorporado que, si se ejecuta, puede abrir una conexión de respaldo a hosts desconocidos? IPtables, cortafuegos, etc. están bien ... pero si no se conecta a ningún sistema & en su lugar, realiza actividades maliciosas, como eliminar archivos sys, etc., lo que sería otro problema.

Edit 1 : Según los comentarios, una de las preguntas planteadas fue de dónde se canalizó el PDF. Es evidente desde el OP que el enlace es una conexión TCP / IP a través de una función de carga que luego se lleva a un servidor interno (pseduo-interno, ya que tiene un acceso de apertura externo).

    
pregunta Shritam Bhowmick 20.10.2016 - 12:10
fuente

2 respuestas

1

La forma más fácil de lidiar con un PDF probablemente malicioso que contiene contenido activo es convertirlo en un formato donde el contenido activo no sea posible. Esto podría ser imprimir y escanear, convertir a una imagen o convertir a postscript; la última probablemente conserva la mayor parte del contenido pero no el contenido activo. Tenga en cuenta que la conversión se realiza mejor dentro de un entorno seguro (VM, sandbox ...) para que la conversación en sí no resulte comprometida. Existen varias herramientas con las que puede mantener dicha conversación, incluido el ghostscript gratuito.

Por supuesto, de esta manera se eliminan todos los contenidos activos. Esto podría ser un problema en su entorno con requisitos desconocidos si necesita trabajar con formularios basados en PDF, etc.

    
respondido por el Steffen Ullrich 20.10.2016 - 12:24
fuente
0

No estoy seguro de que la respuesta sea su caso, pero podría cargar el pdf en Dropbox (por ejemplo) y leer el contenido a través del navegador, sin descargarlo y abrir el pdf con un software que se ejecuta en su dispositivo. . ¿Qué piensas?

    
respondido por el N111ck 20.10.2016 - 16:32
fuente

Lea otras preguntas en las etiquetas