Publicat inițial în The Marker, Cyber Magazine.
Într-o epocă în care hackerii ascund coduri rău intenționate în pixeli și metadate, OPSWAT tehnologia Deep CDR™, care descompune fiecare fișier în elementele sale de bază și reconstruiește o versiune complet curată. Noam Gavish, arhitect în domeniul securității cibernetice, explică rațiunea din spatele acestei tehnologii și modul în care aceasta contribuie la formarea unui sistem de apărare pe mai multe niveluri.
Într-una dintre organizațiile de securitate din Israel, echipa internă de securitate cibernetică a început să se agite pe scaune din cauza unei amenințări venite dintr-o direcție neașteptată. Preocuparea lor nu se referea la infiltrare — amenințarea cibernetică obișnuită — ci mai degrabă la ceea ce s-ar putea scurge, fără să fie observat. Se temeau că informații sensibile — precum nume de cod, locații și identități — ar putea fi ascunse în fișiere aparent inofensive: documente Word, metadate ale imaginilor sau chiar în pixelii înșiși. Sistemele DLP nu au reușit să detecteze acest lucru, experții nu știau ce să caute, iar situația părea o amenințare invizibilă fără soluție. Această lacună a fost acoperită de tehnologia Deep CDR™ OPSWAT, care descompune fișierul în componentele sale esențiale și îl reconstruiește doar din obiectele necesare.
„Ideea este simplă și se bazează pe premisa că fiecare fișier este suspect, în conformitate cu abordarea Zero Trust”, spune Noam Gavish, arhitect de securitate cibernetică la OPSWAT. „Sistemul Deep CDR™ analizează fiecare fișier, păstrează doar elementele necesare funcționalității sale și îl reconstruiește — identic cu originalul, dar complet curat. Capacitatea utilizatorului final de a folosi fișierul rămâne aceeași, iar sistemul permite adaptarea comportamentului modulului în funcție de tipul de fișier și de canalul specific. Nu încercăm să determinăm dacă ceva din fișier este bun sau rău. Dacă nu este esențial — nu intră.”
Pentru a ilustra logica, Gavish se referă la atacul cu antrax din septembrie 2001 - la o săptămână după 11 septembrie - în timpul căruia scrisori care conțineau spori de antrax au fost trimise către diverse instituții media din SUA și către doi senatori, omorând cinci persoane și infectând alte 17. "Aplicat la tehnologia noastră - dacă un client primește o scrisoare prin poștă, sistemul nostru o rescrie cuvânt cu cuvânt pe o pagină nouă - fără a include pulberea albă suspectă pe care cineva ar fi putut-o presăra în interior."
Deci, în loc să verificați dacă un fișier este periculos, presupuneți că este - și nu-l lăsați să intre deloc?
"Exact. Orice lucru inutil - chiar dacă nu putem explica de ce - pur și simplu nu trece. Nu este nevoie să determinăm dacă este rău intenționat. Dacă nu este necesar, este exclus", subliniază Gavish. "Scopul nu este detectarea - ci minimizarea suprafeței de atac la minimul absolut. Chiar dacă o amenințare nu este vizibilă, aceasta nu are nicio șansă. Acest lucru se bazează pe o înțelegere psihologică profundă: Oamenii se tem de ceea ce nu înțeleg - și noi tratăm fișierele în același mod. Este un fel de mecanism de supraviețuire."
Echilibrul dintre securitatea cibernetică și disponibilitatea informațiilor
Tehnologia descrisă de Gavish — Content Disarm and Reconstruction(CDR) — nu este o noutate pe piață, dar OPSWAT perfecționat-o pentru a gestiona fișiere extrem de complexe, inclusiv arhive, fișiere media și documente cu macrocomenzi active. Această capacitate extinsă i-a adus denumirea de Deep CDR™ Technology.
Cu toate acestea, Gavish subliniază că tehnologia Deep CDR™ reprezintă doar o componentă a unei platforme complete, concepută pentru a proteja organizațiile — în special infrastructurile critice — pe toate canalele de schimb de informații. Aceasta începe cu sistemele de e-mail, se extinde la USB conectate la terminalele utilizatorilor și include interfețele interne ale sistemului. Fiecare fișier, indiferent de sursa sa, este supus unei scanări de securitate pe mai multe niveluri.
Acest lucru este din ce în ce mai important pe măsură ce suprafețele de atac se extind, în special în cazul atacurilor din lanțul de aprovizionare, în care hackerii vizează terțe părți pentru a obține acces la o organizație. Hackerii identifică, de asemenea, punctele slabe ale organizațiilor - de exemplu, departamentele de resurse umane, care primesc zilnic zeci de CV-uri, adesea sub formă de PDF-uri sau imagini, în spatele cărora sunt ascunse sisteme de operare complete. Echipele de resurse umane tind să fie cei mai mari receptori de fișiere Office - dar adesea au cea mai scăzută conștientizare a securității cibernetice. Un alt punct slab: suporturile amovibile, care pot conține programe malware.
„Nu ne bazăm doar pe tehnologia Deep CDR™, deoarece niciun modul nu poate face față singur tuturor provocărilor”, explică Gavish. „Înainte ca un fișier să ajungă la CDR, acesta trece prin mai multe motoare antivirus — peste 30, în funcție de pachet. Apoi trece prin tehnologia Deep CDR™ și, ulterior, prin Sandbox OPSWAT, care decodifică fișierul, analizează codul și determină ce face — sau ce ar face — cu o intrare specifică.”
Principiul de bază nu constă în a se baza pe un singur mecanism de detectare, ci pe o securitate stratificată: dacă antivirusul nu detectează ceva, tehnologia Deep CDR™ reconstruiește fișierul. Dacă tehnologia Deep CDR™ nu elimină nimic suspect sau dacă este nevoie de mai multă claritate, Sandbox comportamentul acestuia. Fișierul este admis în organizație numai dacă nu se constată nimic suspect.
Pentru a demonstra puterea OPSWAT platformă cuprinzătoare, Gavish compară arhitectura de securitate a companiei cu castelele medievale — care foloseau sisteme de apărare stratificate pentru a-i epuiza pe atacatori. „În domeniul securității cibernetice, totul se reduce la straturi. Ca la un castel: mai întâi un șanț, apoi o poartă de fier, arcași și ulei clocotit turnat de sus. Tehnologia Deep CDR™ nu este magie — este o altă cărămidă în zid. Iar un castel fără ziduri nu este un castel.”
Deci este atât o combinație tehnologică, cât și o serie de procese?
„Da, deoarece tehnologia Deep CDR™ este eficientă în anumite situații, iar Sandbox altele — împreună, ele asigură o acoperire completă. Fiecare dintre ele, luată separat, nu poate face față tuturor scenariilor. De exemplu, combinăm tehnologia Deep CDR™ cu scanările antivirus și Sandbox detecta atacuri sofisticate pe care fiecare strat, luat separat, le-ar putea omite. Nu oferim doar o soluție de securitate punctuală, ci o platformă cu mai multe straturi. Am construit o platformă de securitate circulară, nu bariere izolate: scanare cu mai multe motoare, analiză comportamentală și nucleul — tehnologia Deep CDR™ care reconstruiește fiecare fișier în mod curat, fără a pune întrebări.”
Platforma acceptă în prezent 190 de tipuri de fișiere - DOC, PDF, ZIP, imagini, audio, video și altele - dublu față de standardul din industrie. De asemenea, aceasta adaptează nivelurile de securitate la calea, configurația și destinația fișierului.
"Protecția acoperă întregul peisaj al amenințărilor, dar fiecare amenințare are propria sa natură", spune Gavish. "De asemenea, nu dorim să oprim fluxul de date sau să întârziem operațiunile. Ideea nu este să blocăm lumea - ci să o reintroducem într-un mod curat - echilibrând securitatea și disponibilitatea. Ca și cum ai bea dintr-un râu potențial contaminat - folosești o pastilă de purificare și renunți la minerale în acest proces. Dar dacă tableta ar fi mai inteligentă, ar putea purifica și păstra mineralele. Acesta este obiectivul nostru - să livrăm datele în structura lor originală, fără conținutul rău intenționat ascuns - întotdeauna personalizabil în funcție de nevoile dumneavoastră."
Securizarea fiecărui punct de intrare organizațional
Înființată în 2002 cu scopul de a proteja infrastructura critică de amenințările cibernetice, OPSWAT deservește în prezent aproximativ 2 000 de clienți din peste 80 de țări. Compania are birouri în America de Nord, Europa (inclusiv Marea Britanie, Germania, Ungaria, Elveția, România, Franța și Spania), Asia (India, Japonia, Taiwan, Vietnam, Singapore și Emiratele Arabe Unite) și multe altele.
În Israel, OPSWAT oferă soluții de securitate cibernetică pentru sute de organizații de top.
Gavish însuși a fost implicat în securitatea cibernetică încă din 2007, trecând de la ofensivă la apărare. A început în industria de apărare și, ulterior, a lucrat atât în roluri de "echipă roșie", cât și de "echipă albastră" în cadrul firmelor cibernetice. OPSWAT este renumit pentru protecția infrastructurii critice - apă, electricitate, transport și apărare - dar, de fapt, platforma sa de securitate cibernetică este potrivită pentru orice organizație.
"Sugerez extinderea definiției "infrastructurii critice". Fiecare organizație are ceva critic. Dacă un ziar nu poate tipări pentru că malware-ul oprește presele - acesta este un dezastru. Pentru ei, presele sunt infrastructură critică. Dacă o companie de asigurări de sănătate scapă datele sensibile ale clienților - este devastator. În acest caz, datele sunt infrastructura critică. Dacă un hacker perturbă un controler de lift - un scenariu foarte real - controlerul devine critic. Orice punct de contact pentru date - intrare sau ieșire - reprezintă un risc potențial, iar noi suntem pregătiți să îl protejăm. Întotdeauna spun: atunci când apărați sisteme critice, nu vă gândiți doar la internet - gândiți-vă la fiecare poartă posibilă. Uneori nu este un server sau un port, ci o ușă din spate la etajul 30. Într-o lume în care poți fi atacat prin intermediul unui e-mail sau al unui fișier aparent nevinovat - doar cei care gândesc din toate unghiurile sunt cu adevărat pregătiți. Sistemul OPSWATeste construit pentru acest lucru: protejează punctele finale, serverele de e-mail, chioșcurile pentru conectarea dispozitivelor externe și chiar sistemele de transfer de fișiere cu sens unic (Data Diode). Într-o lume în care chiar și un simplu fișier imagine poate conține cod de atac încorporat, descompunerea și reconstrucția curată a acestuia are sens - nu paranoia."
În conformitate cu vremurile, cât de mult folosiți inteligența artificială?
"AI a devenit un cuvânt la modă, dar OPSWAT nu îl folosește doar pentru spectacol - doar atunci când ajută cu adevărat. 99% dintre motoarele antivirus care pretind că folosesc AI folosesc ML - Machine Learning. Acestea fiind spuse, inteligența artificială este excelentă în crearea de noi tehnici de atac, astfel încât apărarea pe mai multe niveluri este esențială. Nu ne bazăm doar pe semnăturile cunoscute."
Cu toate acestea, nici măcar securitatea stratificată nu este etanșă. În securitatea cibernetică, nu există protecție 100%.
"Corect - și la OPSWAT, înțelegem acest lucru. De aceea, abordarea noastră neutralizează amenințările indiferent dacă acestea sunt detectate, cunoscute sau listate în vreo bază de date. Jocul de-a șoarecele și pisica între atacatori și apărători nu se va termina niciodată - așa că nu încercăm să-l câștigăm cu un singur instrument. Construim ziduri, porți, poduri și poziționăm arcași. Nu există 100%, dar există o platformă în care poți avea încredere."
