Publicat inițial în The Marker, Cyber Magazine.
Într-o eră în care hackerii ascund coduri malițioase în pixeli și metadate, OPSWAT utilizează tehnologia Deep CDR care deconstruiește fiecare fișier până la elementele sale brute și reconstruiește o versiune complet curată. Noam Gavish, un arhitect de securitate cibernetică, explică raționamentul din spatele tehnologiei și împreună modul în care acestea formează un sistem de apărare pe mai multe niveluri.
La una dintre organizațiile de securitate din Israel, echipa internă de securitate cibernetică a început să se miște neliniștită în scaunele sale din cauza unei amenințări venite dintr-o direcție neașteptată. Preocuparea lor nu era legată de infiltrare - amenințarea cibernetică obișnuită - ci mai degrabă de ceea ce s-ar putea scurge, neobservat. Ei se temeau că informațiile sensibile - cum ar fi nume de cod, locații și identități - ar putea fi ascunse în fișiere aparent nevinovate: Documente Word, metadate de imagine sau chiar în interiorul pixelilor înșiși. Sistemele DLP nu reușeau să le detecteze, experții nu știau ce să caute, iar situația părea o amenințare invizibilă fără soluție. Această lacună a fost acoperită de tehnologia Deep CDR a OPSWAT, care descompune fișierul în componentele sale esențiale și îl reconstruiește doar din obiectele necesare.
"Ideea este simplă și se bazează pe presupunerea că fiecare fișier este suspect, conform abordării Zero Trust", spune Noam Gavish, arhitect de securitate cibernetică la OPSWAT. "Sistemul Deep CDR descompune fiecare fișier, reține doar elementele necesare funcționalității sale și îl reconstruiește - identic cu originalul, dar complet curat. Capacitatea utilizatorului final de a utiliza fișierul rămâne aceeași, iar sistemul permite adaptarea comportamentului modulului în funcție de tipul de fișier și de canalul specific. Nu încercăm să determinăm dacă ceva din fișier este bun sau rău. Dacă nu este esențial, nu se introduce."
Pentru a ilustra logica, Gavish se referă la atacul cu antrax din septembrie 2001 - la o săptămână după 11 septembrie - în timpul căruia scrisori care conțineau spori de antrax au fost trimise către diverse instituții media din SUA și către doi senatori, omorând cinci persoane și infectând alte 17. "Aplicat la tehnologia noastră - dacă un client primește o scrisoare prin poștă, sistemul nostru o rescrie cuvânt cu cuvânt pe o pagină nouă - fără a include pulberea albă suspectă pe care cineva ar fi putut-o presăra în interior."
Deci, în loc să verificați dacă un fișier este periculos, presupuneți că este - și nu-l lăsați să intre deloc?
"Exact. Orice lucru inutil - chiar dacă nu putem explica de ce - pur și simplu nu trece. Nu este nevoie să determinăm dacă este rău intenționat. Dacă nu este necesar, este exclus", subliniază Gavish. "Scopul nu este detectarea - ci minimizarea suprafeței de atac la minimul absolut. Chiar dacă o amenințare nu este vizibilă, aceasta nu are nicio șansă. Acest lucru se bazează pe o înțelegere psihologică profundă: Oamenii se tem de ceea ce nu înțeleg - și noi tratăm fișierele în același mod. Este un fel de mecanism de supraviețuire."
Echilibrul dintre securitatea cibernetică și disponibilitatea informațiilor
Tehnologia descrisă de Gavish - Content Disarm and Reconstruction, sau CDR - nu este nouă pe piață, însă OPSWAT a îmbunătățit-o pentru a gestiona fișiere extrem de complexe, inclusiv arhive, fișiere media și documente cu macro-uri active. Această capacitate extinsă i-a adus numele de Deep CDR.
Totuși, Gavish subliniază că Deep CDR este doar o componentă a unei platforme complete concepute pentru a proteja organizațiile - în special infrastructura critică - pe toate canalele de schimb de informații. Aceasta începe cu sistemele de e-mail, se extinde la dispozitivele USB conectate la punctele finale și include interfețele sistemelor interne. Fiecare fișier, din orice sursă, este supus unei scanări de securitate pe mai multe niveluri.
Acest lucru este din ce în ce mai important pe măsură ce suprafețele de atac se extind, în special în cazul atacurilor din lanțul de aprovizionare, în care hackerii vizează terțe părți pentru a obține acces la o organizație. Hackerii identifică, de asemenea, punctele slabe ale organizațiilor - de exemplu, departamentele de resurse umane, care primesc zilnic zeci de CV-uri, adesea sub formă de PDF-uri sau imagini, în spatele cărora sunt ascunse sisteme de operare complete. Echipele de resurse umane tind să fie cei mai mari receptori de fișiere Office - dar adesea au cea mai scăzută conștientizare a securității cibernetice. Un alt punct slab: suporturile amovibile, care pot conține programe malware.
"Nu ne bazăm doar pe Deep CDR , deoarece niciun modul nu poate rezolva toate problemele", explică Gavish. "Înainte ca un fișier să ajungă la CDR, acesta trece prin mai multe motoare antivirus - peste 30, în funcție de pachet. Apoi trece prin Deep CDR și apoi prin sistemul Sandbox al OPSWAT, care decodifică fișierul, analizează codul și determină ce face - sau ce ar face - cu anumite date de intrare."
Principiul de organizare este de a nu se baza pe un singur mecanism de detectare, ci pe o securitate stratificată: Dacă antivirusului îi scapă ceva, Deep CDR reconstruiește fișierul. Dacă Deep CDR nu elimină nimic suspect sau este nevoie de mai multă claritate, Sandbox analizează comportamentul acestuia. Numai dacă nimic nu este considerat suspect, fișierul este permis în organizație.
Pentru a demonstra puterea OPSWAT ca platformă cuprinzătoare, Gavish compară arhitectura de securitate a companiei cu castelele medievale - care foloseau sisteme de apărare pe mai multe niveluri pentru a-i doborî pe atacatori. "În securitatea cibernetică, este vorba despre straturi. Ca într-un castel: mai întâi un șanț, apoi o poartă de fier, arcași și ulei fiert turnat de sus. Deep CDR nu este magie - este o altă cărămidă în zid. Iar un castel fără ziduri nu este un castel".
Deci este atât o combinație tehnologică, cât și o serie de procese?
"Da, deoarece Deep CDR este bun pentru unele lucruri, Sandbox pentru altele - împreună oferă o acoperire completă. Singure, ele nu pot face față tuturor scenariilor. De exemplu, combinăm Deep CDR cu scanări antivirus și Sandbox pentru a detecta atacuri sofisticate pe care fiecare strat în parte le-ar putea rata. Nu oferim doar o soluție de securitate punctuală, ci o platformă multistratificată. Am construit o platformă de securitate circulară, nu bariere izolate: scanare cu mai multe motoare, analiză comportamentală și nucleul - tehnologia Deep CDR care reconstruiește fiecare fișier curat, fără a pune întrebări."
Platforma acceptă în prezent 190 de tipuri de fișiere - DOC, PDF, ZIP, imagini, audio, video și altele - dublu față de standardul din industrie. De asemenea, aceasta adaptează nivelurile de securitate la calea, configurația și destinația fișierului.
"Protecția acoperă întregul peisaj al amenințărilor, dar fiecare amenințare are propria sa natură", spune Gavish. "De asemenea, nu dorim să oprim fluxul de date sau să întârziem operațiunile. Ideea nu este să blocăm lumea - ci să o reintroducem într-un mod curat - echilibrând securitatea și disponibilitatea. Ca și cum ai bea dintr-un râu potențial contaminat - folosești o pastilă de purificare și renunți la minerale în acest proces. Dar dacă tableta ar fi mai inteligentă, ar putea purifica și păstra mineralele. Acesta este obiectivul nostru - să livrăm datele în structura lor originală, fără conținutul rău intenționat ascuns - întotdeauna personalizabil în funcție de nevoile dumneavoastră."
Securizarea fiecărui punct de intrare organizațional
Înființată în 2002 cu scopul de a proteja infrastructura critică de amenințările cibernetice, OPSWAT deservește în prezent aproximativ 2 000 de clienți din peste 80 de țări. Compania are birouri în America de Nord, Europa (inclusiv Marea Britanie, Germania, Ungaria, Elveția, România, Franța și Spania), Asia (India, Japonia, Taiwan, Vietnam, Singapore și Emiratele Arabe Unite) și multe altele.
În Israel, OPSWAT oferă soluții de securitate cibernetică pentru sute de organizații de top.
Gavish însuși a fost implicat în securitatea cibernetică încă din 2007, trecând de la ofensivă la apărare. A început în industria de apărare și, ulterior, a lucrat atât în roluri de "echipă roșie", cât și de "echipă albastră" în cadrul firmelor cibernetice. OPSWAT este renumit pentru protecția infrastructurii critice - apă, electricitate, transport și apărare - dar, de fapt, platforma sa de securitate cibernetică este potrivită pentru orice organizație.
"Sugerez extinderea definiției "infrastructurii critice". Fiecare organizație are ceva critic. Dacă un ziar nu poate tipări pentru că malware-ul oprește presele - acesta este un dezastru. Pentru ei, presele sunt infrastructură critică. Dacă o companie de asigurări de sănătate scapă datele sensibile ale clienților - este devastator. În acest caz, datele sunt infrastructura critică. Dacă un hacker perturbă un controler de lift - un scenariu foarte real - controlerul devine critic. Orice punct de contact pentru date - intrare sau ieșire - reprezintă un risc potențial, iar noi suntem pregătiți să îl protejăm. Întotdeauna spun: atunci când apărați sisteme critice, nu vă gândiți doar la internet - gândiți-vă la fiecare poartă posibilă. Uneori nu este un server sau un port, ci o ușă din spate la etajul 30. Într-o lume în care poți fi atacat prin intermediul unui e-mail sau al unui fișier aparent nevinovat - doar cei care gândesc din toate unghiurile sunt cu adevărat pregătiți. Sistemul OPSWATeste construit pentru acest lucru: protejează punctele finale, serverele de e-mail, chioșcurile pentru conectarea dispozitivelor externe și chiar sistemele de transfer de fișiere cu sens unic (Data Diode). Într-o lume în care chiar și un simplu fișier imagine poate conține cod de atac încorporat, descompunerea și reconstrucția curată a acestuia are sens - nu paranoia."
În conformitate cu vremurile, cât de mult folosiți inteligența artificială?
"AI a devenit un cuvânt la modă, dar OPSWAT nu îl folosește doar pentru spectacol - doar atunci când ajută cu adevărat. 99% dintre motoarele antivirus care pretind că folosesc AI folosesc ML - Machine Learning. Acestea fiind spuse, inteligența artificială este excelentă în crearea de noi tehnici de atac, astfel încât apărarea pe mai multe niveluri este esențială. Nu ne bazăm doar pe semnăturile cunoscute."
Cu toate acestea, nici măcar securitatea stratificată nu este etanșă. În securitatea cibernetică, nu există protecție 100%.
"Corect - și la OPSWAT, înțelegem acest lucru. De aceea, abordarea noastră neutralizează amenințările indiferent dacă acestea sunt detectate, cunoscute sau listate în vreo bază de date. Jocul de-a șoarecele și pisica între atacatori și apărători nu se va termina niciodată - așa că nu încercăm să-l câștigăm cu un singur instrument. Construim ziduri, porți, poduri și poziționăm arcași. Nu există 100%, dar există o platformă în care poți avea încredere."
