Tenemos un requisito para manejar archivos PDF por entidades externas & Estos PDF's van a nuestra red interna. La red interna desde este punto de vista obviamente no está totalmente aislada.
Pensamos utilizar la API VirusTotal después de la investigación inicial & escanee estos documentos antes de dirigirlos a la red interna. Virus total es un servicio y terminaremos enviando nuestros documentos a una organización externa, es decir, VirusTotal & eso es algo que las partes interesadas no aprueban.
Cosas que buscamos como requisito de una empresa de mediana escala:
- En este punto no podemos permitirnos una solución empresarial. Hemos intentado soluciones de código abierto; sin embargo, estas soluciones fallan en la detección de malware que está diseñado y amp; no siempre es confiable.
- Un conjunto de instrucciones para tener una solución intermedia donde los documentos no necesitan ser enviados a una organización externa & al mismo tiempo, la solución debe poder detectar amenazas de manera eficiente.
La forma en que manejamos la amenaza como superficie de amenaza es la funcionalidad de requisitos y amp; tal como lo probó nuestro equipo de malware, muchos PDF podrían tener malware incorporado que, si se ejecuta, puede abrir una conexión de respaldo a hosts desconocidos? IPtables, cortafuegos, etc. están bien ... pero si no se conecta a ningún sistema & en su lugar, realiza actividades maliciosas, como eliminar archivos sys, etc., lo que sería otro problema.
Edit 1 : Según los comentarios, una de las preguntas planteadas fue de dónde se canalizó el PDF. Es evidente desde el OP que el enlace es una conexión TCP / IP a través de una función de carga que luego se lleva a un servidor interno (pseduo-interno, ya que tiene un acceso de apertura externo).