Publicat inițial în The Marker, Cyber Magazine.
In an era where hackers conceal malicious code within pixels and metadata, OPSWAT utilizes Deep CDR™ Technology that deconstructs every file to its raw elements and rebuilds a completely clean version. Noam Gavish, a cybersecurity architect, explains the rationale behind the technology and together how they form a multi-layered defense system.
At one of Israel’s security organizations, the internal cybersecurity team began shifting uneasily in their seats due to a threat from an unexpected direction. Their concern wasn’t about infiltration — the common cyber threat — but rather about what might leak out, unnoticed. They feared that sensitive information — such as code names, locations, and identities — could be hidden inside seemingly innocent files: Word documents, image metadata, or even within the pixels themselves. DLP systems failed to detect it, experts didn’t know what to look for, and the situation felt like an invisible threat with no solution. That gap was bridged by OPSWAT’s Deep CDR™ Technology that breaks down the file to its essential components and rebuilds it from the necessary objects only.
“The idea is simple and based on the assumption that every file is suspicious, under the Zero Trust approach,” says Noam Gavish, a cybersecurity architect at OPSWAT. “The Deep CDR™ Technology system breaks down each file, retains only the elements necessary for its functionality, and rebuilds it — identical to the original, but completely clean. The end user’s ability to use the file remains the same, and the system allows tailoring the module's behavior based on file type and the specific channel. We don’t try to determine whether something in the file is good or bad. If it’s not essential — it doesn’t go in.”
Pentru a ilustra logica, Gavish se referă la atacul cu antrax din septembrie 2001 - la o săptămână după 11 septembrie - în timpul căruia scrisori care conțineau spori de antrax au fost trimise către diverse instituții media din SUA și către doi senatori, omorând cinci persoane și infectând alte 17. "Aplicat la tehnologia noastră - dacă un client primește o scrisoare prin poștă, sistemul nostru o rescrie cuvânt cu cuvânt pe o pagină nouă - fără a include pulberea albă suspectă pe care cineva ar fi putut-o presăra în interior."
Deci, în loc să verificați dacă un fișier este periculos, presupuneți că este - și nu-l lăsați să intre deloc?
"Exact. Orice lucru inutil - chiar dacă nu putem explica de ce - pur și simplu nu trece. Nu este nevoie să determinăm dacă este rău intenționat. Dacă nu este necesar, este exclus", subliniază Gavish. "Scopul nu este detectarea - ci minimizarea suprafeței de atac la minimul absolut. Chiar dacă o amenințare nu este vizibilă, aceasta nu are nicio șansă. Acest lucru se bazează pe o înțelegere psihologică profundă: Oamenii se tem de ceea ce nu înțeleg - și noi tratăm fișierele în același mod. Este un fel de mecanism de supraviețuire."
Echilibrul dintre securitatea cibernetică și disponibilitatea informațiilor
The technology Gavish describes — Content Disarm and Reconstruction, or CDR — is not new to the market, but OPSWAT has enhanced it to handle highly complex files, including archives, media files, and documents with active macros. This expanded capability earned it the name Deep CDR™ Technology.
Still, Gavish emphasizes that Deep CDR™ Technology is just one component in a complete platform designed to protect organizations — especially critical infrastructure — across all information exchange channels. This begins with email systems, extends to USB devices connected to endpoints, and includes internal system interfaces. Every file, from any source, undergoes a multi-layered security scan.
Acest lucru este din ce în ce mai important pe măsură ce suprafețele de atac se extind, în special în cazul atacurilor din lanțul de aprovizionare, în care hackerii vizează terțe părți pentru a obține acces la o organizație. Hackerii identifică, de asemenea, punctele slabe ale organizațiilor - de exemplu, departamentele de resurse umane, care primesc zilnic zeci de CV-uri, adesea sub formă de PDF-uri sau imagini, în spatele cărora sunt ascunse sisteme de operare complete. Echipele de resurse umane tind să fie cei mai mari receptori de fișiere Office - dar adesea au cea mai scăzută conștientizare a securității cibernetice. Un alt punct slab: suporturile amovibile, care pot conține programe malware.
“We don’t rely only on Deep CDR™ Technology because no single module can address all challenges,” Gavish explains. “Before a file reaches CDR, it goes through multiple antivirus engines — over 30, depending on the package. Then it passes through Deep CDR™ Technology, and next to OPSWAT’s Sandbox system, which decodes the file, analyzes the code, and determines what it does — or would do — with specific input.”
The organizing principle is not to rely on a single detection mechanism, but on layered security: If antivirus misses something, Deep CDR™ Technology rebuilds the file. If Deep CDR™ Technology removes nothing suspicious or further clarity is needed, Sandbox analyzes its behavior. Only if nothing is deemed suspicious is the file allowed into the organization.
To demonstrate the power of OPSWAT as a comprehensive platform, Gavish compares the company’s security architecture to medieval castles — which used layered defenses to wear down attackers. “In cybersecurity, it’s all about layers. Like a castle: first a moat, then an iron gate, archers, and boiling oil poured from above. Deep CDR™ Technology isn’t magic — it’s another brick in the wall. And a castle without walls isn’t a castle.”
Deci este atât o combinație tehnologică, cât și o serie de procese?
“Yes, because Deep CDR™ Technology is good for some things, Sandbox for others — together they provide full coverage. Alone, they can’t handle every scenario. For example, we combine Deep CDR™ Technology with antivirus scans and Sandbox to detect sophisticated attacks that each layer alone might miss. We’re not just offering a point security solution — but a multi-layered platform. We’ve built a circular security platform, not isolated barriers: multi-engine scanning, behavioral analysis, and the core — Deep CDR™ Technology that rebuilds each file cleanly, without asking questions.”
Platforma acceptă în prezent 190 de tipuri de fișiere - DOC, PDF, ZIP, imagini, audio, video și altele - dublu față de standardul din industrie. De asemenea, aceasta adaptează nivelurile de securitate la calea, configurația și destinația fișierului.
"Protecția acoperă întregul peisaj al amenințărilor, dar fiecare amenințare are propria sa natură", spune Gavish. "De asemenea, nu dorim să oprim fluxul de date sau să întârziem operațiunile. Ideea nu este să blocăm lumea - ci să o reintroducem într-un mod curat - echilibrând securitatea și disponibilitatea. Ca și cum ai bea dintr-un râu potențial contaminat - folosești o pastilă de purificare și renunți la minerale în acest proces. Dar dacă tableta ar fi mai inteligentă, ar putea purifica și păstra mineralele. Acesta este obiectivul nostru - să livrăm datele în structura lor originală, fără conținutul rău intenționat ascuns - întotdeauna personalizabil în funcție de nevoile dumneavoastră."
Securizarea fiecărui punct de intrare organizațional
Înființată în 2002 cu scopul de a proteja infrastructura critică de amenințările cibernetice, OPSWAT deservește în prezent aproximativ 2 000 de clienți din peste 80 de țări. Compania are birouri în America de Nord, Europa (inclusiv Marea Britanie, Germania, Ungaria, Elveția, România, Franța și Spania), Asia (India, Japonia, Taiwan, Vietnam, Singapore și Emiratele Arabe Unite) și multe altele.
În Israel, OPSWAT oferă soluții de securitate cibernetică pentru sute de organizații de top.
Gavish însuși a fost implicat în securitatea cibernetică încă din 2007, trecând de la ofensivă la apărare. A început în industria de apărare și, ulterior, a lucrat atât în roluri de "echipă roșie", cât și de "echipă albastră" în cadrul firmelor cibernetice. OPSWAT este renumit pentru protecția infrastructurii critice - apă, electricitate, transport și apărare - dar, de fapt, platforma sa de securitate cibernetică este potrivită pentru orice organizație.
"Sugerez extinderea definiției "infrastructurii critice". Fiecare organizație are ceva critic. Dacă un ziar nu poate tipări pentru că malware-ul oprește presele - acesta este un dezastru. Pentru ei, presele sunt infrastructură critică. Dacă o companie de asigurări de sănătate scapă datele sensibile ale clienților - este devastator. În acest caz, datele sunt infrastructura critică. Dacă un hacker perturbă un controler de lift - un scenariu foarte real - controlerul devine critic. Orice punct de contact pentru date - intrare sau ieșire - reprezintă un risc potențial, iar noi suntem pregătiți să îl protejăm. Întotdeauna spun: atunci când apărați sisteme critice, nu vă gândiți doar la internet - gândiți-vă la fiecare poartă posibilă. Uneori nu este un server sau un port, ci o ușă din spate la etajul 30. Într-o lume în care poți fi atacat prin intermediul unui e-mail sau al unui fișier aparent nevinovat - doar cei care gândesc din toate unghiurile sunt cu adevărat pregătiți. Sistemul OPSWATeste construit pentru acest lucru: protejează punctele finale, serverele de e-mail, chioșcurile pentru conectarea dispozitivelor externe și chiar sistemele de transfer de fișiere cu sens unic (Data Diode). Într-o lume în care chiar și un simplu fișier imagine poate conține cod de atac încorporat, descompunerea și reconstrucția curată a acestuia are sens - nu paranoia."
În conformitate cu vremurile, cât de mult folosiți inteligența artificială?
"AI a devenit un cuvânt la modă, dar OPSWAT nu îl folosește doar pentru spectacol - doar atunci când ajută cu adevărat. 99% dintre motoarele antivirus care pretind că folosesc AI folosesc ML - Machine Learning. Acestea fiind spuse, inteligența artificială este excelentă în crearea de noi tehnici de atac, astfel încât apărarea pe mai multe niveluri este esențială. Nu ne bazăm doar pe semnăturile cunoscute."
Cu toate acestea, nici măcar securitatea stratificată nu este etanșă. În securitatea cibernetică, nu există protecție 100%.
"Corect - și la OPSWAT, înțelegem acest lucru. De aceea, abordarea noastră neutralizează amenințările indiferent dacă acestea sunt detectate, cunoscute sau listate în vreo bază de date. Jocul de-a șoarecele și pisica între atacatori și apărători nu se va termina niciodată - așa că nu încercăm să-l câștigăm cu un singur instrument. Construim ziduri, porți, poduri și poziționăm arcași. Nu există 100%, dar există o platformă în care poți avea încredere."
