Securitatea cibernetică în domeniul apărării în 2026: granițe impuse, conținut neinspectat

Peste 80% dintre organizațiile din sectorul aerospațial și al apărării au fost victime ale unor încălcări ale securității în ultimele douăsprezece luni.^[3] Sectorul înregistrează aproximativ 1.250 de incidente cibernetice în fiecare săptămână,^[4] cu o creștere de 300% a atacurilor începând cu 2018 și 61% dintre organizații fiind afectate de ransomware în ultimul an.^[5] Costul mediu al unei breșe de securitate este de 5,46 milioane de dolari, fără a lua în calcul întreruperea programelor clasificate, expunerea la contrainformații sau riscul contractual care decurge din compromiterea unui furnizor.^[6]

Threat Intelligence al Google a confirmat în februarie 2026 că grupurile de spionaj legate de China au vizat sectorul apărării și cel aerospațial mai mult decât orice alt actor statal în ultimii doi ani,^[7] exploatând dispozitive periferice, echipamente VPN și căi de transfer de fișiere pentru a stabili acces de lungă durată. Rusia, Iranul și Coreea de Nord își desfășoară activitatea în aceeași bază industrială. Campaniile DDoS ale hacktiviștilor generează peste 76% din volumul incidentelor din sector (dublu față de media intersectorială^[8]), dar volumul nu este indicatorul care contează. Amenințarea strategică este precisă și răbdătoare. Nu bate la ușă. Intră prin conținut care se bucură deja de încredere.

Tehnicile LOTL (Living Off the Land), care utilizează instrumente de sistem legitime deja prezente în rețea, permit atacatorilor să acționeze fără a declanșa detectarea. Până în momentul în care se declanșează analiza comportamentală, un atacator sofisticat a fost adesea prezent suficient de mult timp pentru a cartografia mediul, a identifica ținte de mare valoare și a pregăti exfiltrarea. Detectarea este necesară. Dar nu este suficientă. Punctul forte se află la punctul de intrare, nu în interiorul rețelei.

Modelul Zero Trust a devenit standardul de securitate în rețelele din domeniul apărării și al administrației publice, și pe bună dreptate. Autentificarea continuă, accesul cu privilegii minime, asigurarea conformității dispozitivelor, microsegmentarea — aceste măsuri de control sunt esențiale și își au locul în orice arhitectură de apărare. Problema nu ține de modelul Zero Trust. Problema constă în a-l considera o soluție completă pentru o problemă pe care nu a fost conceput să o rezolve. Zero Trust Access a fost creat pentru a controla cine intră într-o rețea. Nu a fost creat pentru a verifica ce se transmite peste o graniță odată ce utilizatorii au intrat în rețea. 

Limitarea este specifică. Modelul Zero Trust verifică cine trece granița. Verificarea conținutului stabilește ce are voie să treacă. O politică Zero Trust verifică în mod corect dacă un utilizator autentificat, de pe un dispozitiv autorizat, solicită un transfer legitim. Aceasta nu poate stabili dacă fișierul transferat conține o macro-comandă exploatabilă, o sarcină utilă rău intenționată concatenată sau o vulnerabilitate zero-day încorporată într-un format de document de încredere. 

Campaniile cibernetice care stau la baza acestui blog (prezența de 393 de zile a BRICKSTORM în mediile din sectorul aerospațial și de apărare, precum și prezența de cinci ani a Volt Typhoon în infrastructura critică a Statelor Unite) nu au reușit să învingă măsurile de control al accesului. Acestea au pătruns prin intermediul unor conținuturi pe care măsurile de control al accesului nu aveau niciun motiv să le pună la îndoială.  

Gestionarea identității și a accesului reprezintă primul nivel indispensabil. Verificarea conținutului la punctul de intrare fizic, la granița de clasificare și în lanțul de aprovizionare cu software este nivelul care determină ce anume are efectiv permisiunea să ajungă la destinație. Împreună, acestea formează un sistem complet. Luate separat, fiecare lasă neacoperită o lacună a celeilalte. 

Cea mai importantă schimbare din punct de vedere operațional în peisajul amenințărilor bazate pe fișiere în perioada 2025–2026 este aplicarea inteligenței artificiale (AI) în generarea de programe malware și în tehnicile de eludare structurală. Echipa de informații privind amenințările a Google a identificat familii de programe malware care suferă mutații în timp real în timpul fazei de atac,^[14] costurile de dezvoltare a exploit-urilor reducându-se de la eforturi de câteva săptămâni la aproape zero.^[15]

Cercetările proprii OPSWATau evidențiat un exemplu concret: tehnica PDF-urilor concatenate, în care un fișier PDF rău intenționat este atașat structural la unul curat. În urma testării pe 34 de motoare de scanare, rata de detectare a scăzut de la 34 la 5 atunci când fișierele au fost concatenate.^[16] Trei motoare care semnalaseră anterior amenințarea au încetat să o mai semnaleze. Programul de vizualizare a fișierelor PDF al utilizatorului a afișat conținutul de phishing exact așa cum intenționase atacatorul. Infrastructura de securitate a evaluat un document diferit de cel deschis de utilizator.

Nu există nicio semnătură de malware de identificat. Niciun exploit de detectat. Doar o dispunere structurală a unui format de fișier legitim care face ca programele de scanare și cititoarele să perceapă conținutul în mod diferit. La limita dintre două categorii de clasificare, un singur fișier care utilizează această tehnică poate trece de la „NECLASIFICAT” la „SECRET” fără a declanșa nicio alertă. Această lacună nu este doar teoretică.

CDR (Content Disarm and Reconstruction) abordează această problemă la nivel de mecanism. CDR nu încearcă să identifice conținutul rău intenționat; dimpotrivă, acesta descompune fiecare fișier în elementele sale componente, elimină tot conținutul activ și executabil, indiferent de structura fișierului, și reconstruiește o versiune curată, funcțional intactă.

O variantă generată de IA fără semnătură cunoscută, un document rău intenționat concatenat structural, un fișier Office cu macro-uri încorporate, o arhivă transformată în armă: toate sunt neutralizate prin același proces, deoarece CDR elimină mecanismul de execuție înainte ca fișierul să ajungă la destinație.

CDR este un sistem de control al limitelor fișierelor. Acesta nu vizează activitatea LOTL din interiorul unei rețele și nici prezența unor atacatori care se află deja în mediu.

Cerințele privind soluțiile inter-domenii au evoluat. Comunitățile de interes care necesită schimbul de date sunt mai diverse. Tipurile de date s-au extins de la fișierele standard de productivitate la sarcini de sistem, fluxuri de informații și formate native pentru cloud. Proiectarea unui CDS cu durabilitate necesită o abordare modulară și coordonată, nu un dispozitiv static.

MetaDefender Managed File Transfer preluarea și transferul securizat al fișierelor între rețelele clasificate și neclasificate, asigurând respectarea politicilor de transfer, a logicii de rutare și a jurnalelor de audit pe întregul flux de lucru. Fișierele trec prin stivaCore MetaDefender Core pentru inspectarea conținutului la fiecare punct de control. Împreună, acestea formează o arhitectură coerentă, bazată pe politici, care acoperă mai multe domenii: MetaDefender Managed File Transfer fluxul, în timp ce MetaDefender Core conținutul transferat.

CMMC 2.0 a intrat în vigoare în contractele Departamentului Apărării (DoD) la 10 noiembrie 2025. Pentru prima dată, securitatea cibernetică a contractorilor din domeniul apărării este verificată, nu doar declarată de aceștia. Secțiunea 866 din Legea privind autorizarea apărării (NDAA) pentru anul fiscal 2026 impune Departamentului Apărării să standardizeze cerințele de securitate cibernetică pentru industria de apărare (DIB) până la 1 iunie 2026, cu mai puține reguli specifice contractelor, dar cu o aplicare mai strictă și mai consecventă.

Ambele evoluții sunt importante. Niciuna dintre ele nu acoperă lacunele descrise mai sus. Cele 110 de controale ale nivelului 2 CMMC au fost concepute pentru a ridica standardul de bază la nivelul unei baze industriale extinse, mai degrabă decât pentru a impune controale specifice care să abordeze aceste suprafețe de atac. Controalele nu impun inspectarea suporturilor fizice la punctele de intrare în unitate, verificarea conținutului fișierelor la granițele dintre domenii, vizibilitatea componentelor software la nivel de dependență sau inspectarea conținutului în paralel cu separarea rețelei asigurată prin hardware.

Un contractant poate promova o evaluare de nivel 2, inclusiv verificarea C3PAO, chiar dacă toate aceste lacune rămân complet nesoluționate. Doar 21% dintre întreprinderile din domeniul apărării au ales tehnologie conformă cu CMMC până în 2025.^[17] Până în decembrie 2025, doar 92 de C3PAO-uri fuseseră autorizate, față de o bază industrială de peste 80.000 de contractori.^[18] Infrastructura de conformitate nu a ținut pasul.

Există o a doua distincție importantă în ceea ce privește acreditarea. CMMC reglementează practicile de securitate ale contractantului. Acesta nu certifică instrumentele utilizate pentru implementarea acestor practici. Certificarea Common Criteria (impusă de NSTISSP #11 pentru produsele de evaluare a integrității din cadrul sistemelor de securitate națională) verifică proprietățile de securitate ale unui produs specific prin evaluarea efectuată de un laborator independent acreditat. Un produs certificat CC utilizat pentru a satisface un control CMMC oferă unui evaluator C3PAO dovezi verificate în laborator.

CMMC și Criteriile Comune sunt cadre complementare. Unul reglementează activitatea organizației, celălalt verifică dacă instrumentul îndeplinește funcțiile pe care le pretinde. Este important să se facă distincția între cele două.

MetaDefender aproximativ 20 dintre cele 110 de controale CMMC de nivel 2 — subansamblul pentru care majoritatea platformelor de securitate nu au fost concepute. Controlul accesului, înregistrarea evenimentelor de audit, răspunsul la incidente și securitatea personalului nu sunt incluse în acest domeniu de aplicare. Valoarea adăugată constă în precizie: controalele stricte la nivel de granițe pe care platforma dvs. existentă nu le poate asigura, verificate conform standardelor unui laborator independent.

Organizațiile care vor fi cel mai bine poziționate în următorii trei ani nu sunt cele cu cele mai mari bugete de securitate sau cu cele mai multe controale CMMC verificate. Sunt cele care și-au cartografiat suprafața reală de atac — punctele de intrare fizice, limitele de clasificare, interfețele OT-IT, lanțul de aprovizionare cu software — și au implementat controale verificate la fiecare dintre acestea.

Detectarea în interiorul rețelei va fi întotdeauna cu un pas în urma unui atacator sofisticat care și-a stabilit deja prezența. Prevenirea la nivelul granițelor, înainte ca un fișier să fie executat, înainte ca un dispozitiv să se conecteze și înainte ca o sarcină utilă să treacă de o linie de clasificare, reprezintă punctul forte. Acesta este domeniul în care OPSWAT .

Solicitați o ședință de informare pentru a discuta despre mediul și arhitectura dvs. specifice.

Încă lucrați la definirea arhitecturii CDS? Descărcați Ghidul cumpărătorului pentru soluții inter-domenii destinat sectorului public și apărării, elaborat de experți CDS pentru managerii de programe, arhitecții de securitate și echipele de achiziții care evaluează cerințele moderne inter-domenii.