Eredetileg a The Marker, Cyber Magazine-ban jelent meg.
In an era where hackers conceal malicious code within pixels and metadata, OPSWAT utilizes Deep CDR™ Technology that deconstructs every file to its raw elements and rebuilds a completely clean version. Noam Gavish, a cybersecurity architect, explains the rationale behind the technology and together how they form a multi-layered defense system.
At one of Israel’s security organizations, the internal cybersecurity team began shifting uneasily in their seats due to a threat from an unexpected direction. Their concern wasn’t about infiltration — the common cyber threat — but rather about what might leak out, unnoticed. They feared that sensitive information — such as code names, locations, and identities — could be hidden inside seemingly innocent files: Word documents, image metadata, or even within the pixels themselves. DLP systems failed to detect it, experts didn’t know what to look for, and the situation felt like an invisible threat with no solution. That gap was bridged by OPSWAT’s Deep CDR™ Technology that breaks down the file to its essential components and rebuilds it from the necessary objects only.
“The idea is simple and based on the assumption that every file is suspicious, under the Zero Trust approach,” says Noam Gavish, a cybersecurity architect at OPSWAT. “The Deep CDR™ Technology system breaks down each file, retains only the elements necessary for its functionality, and rebuilds it — identical to the original, but completely clean. The end user’s ability to use the file remains the same, and the system allows tailoring the module's behavior based on file type and the specific channel. We don’t try to determine whether something in the file is good or bad. If it’s not essential — it doesn’t go in.”
A logika illusztrálására Gavish a 2001 szeptemberében - egy héttel 9/11 után - elkövetett Anthrax-támadásra utal, amelynek során Anthrax-spórákat tartalmazó leveleket küldtek különböző amerikai médiumoknak és két szenátornak, öt embert megölve és 17 másikat megfertőzve. "A mi technológiánkra alkalmazva - ha egy ügyfél levelet kap postán, a rendszerünk szóról szóra átírja azt egy új oldalra - anélkül, hogy beleszórná a gyanús fehér port, amit valaki esetleg beleszórhatott."
Tehát ahelyett, hogy ellenőrizné, hogy egy fájl veszélyes-e, inkább feltételezi, hogy az - és egyáltalán nem engedi be?
"Pontosan. Minden felesleges dolog - még ha nem is tudjuk megmagyarázni, hogy miért - egyszerűen nem megy át. Nem kell megállapítani, hogy rosszindulatú-e. Ha nem szükséges, akkor kizárjuk" - hangsúlyozza Gavish. "A cél nem a felderítés - a támadási felületet a lehető legkisebbre kell csökkenteni. Még ha egy fenyegetés nem is látható, akkor sem kap esélyt. Ez mély pszichológiai meglátáson alapul: Az emberek félnek attól, amit nem értenek - és mi is így kezeljük a fájlokat. Ez egyfajta túlélési mechanizmus."
A kiberbiztonság és az információ elérhetőségének egyensúlya
The technology Gavish describes — Content Disarm and Reconstruction, or CDR — is not new to the market, but OPSWAT has enhanced it to handle highly complex files, including archives, media files, and documents with active macros. This expanded capability earned it the name Deep CDR™ Technology.
Still, Gavish emphasizes that Deep CDR™ Technology is just one component in a complete platform designed to protect organizations — especially critical infrastructure — across all information exchange channels. This begins with email systems, extends to USB devices connected to endpoints, and includes internal system interfaces. Every file, from any source, undergoes a multi-layered security scan.
Ez egyre fontosabb, mivel a támadási felületek egyre nagyobbak, különösen az ellátási láncot érintő támadások esetében, ahol a hackerek harmadik feleket vesznek célba, hogy hozzáférjenek egy szervezethez. A hackerek a szervezeti gyenge pontokat is azonosítják - például a HR-osztályokat, amelyek naponta több tucat önéletrajzot kapnak, gyakran PDF-ek vagy képek formájában, amelyek mögött teljes operációs rendszerek vannak elrejtve. A HR-csapatok általában az Office-fájlok legnagyobb átvevői - ugyanakkor gyakran a legkevésbé kiberbiztonsági tudatossággal rendelkeznek. Egy másik gyenge pont: a cserélhető adathordozók, amelyek rosszindulatú szoftvereket tartalmazhatnak.
“We don’t rely only on Deep CDR™ Technology because no single module can address all challenges,” Gavish explains. “Before a file reaches CDR, it goes through multiple antivirus engines — over 30, depending on the package. Then it passes through Deep CDR™ Technology, and next to OPSWAT’s Sandbox system, which decodes the file, analyzes the code, and determines what it does — or would do — with specific input.”
The organizing principle is not to rely on a single detection mechanism, but on layered security: If antivirus misses something, Deep CDR™ Technology rebuilds the file. If Deep CDR™ Technology removes nothing suspicious or further clarity is needed, Sandbox analyzes its behavior. Only if nothing is deemed suspicious is the file allowed into the organization.
To demonstrate the power of OPSWAT as a comprehensive platform, Gavish compares the company’s security architecture to medieval castles — which used layered defenses to wear down attackers. “In cybersecurity, it’s all about layers. Like a castle: first a moat, then an iron gate, archers, and boiling oil poured from above. Deep CDR™ Technology isn’t magic — it’s another brick in the wall. And a castle without walls isn’t a castle.”
Tehát ez egy technológiai kombináció és egy folyamat-sorozat is?
“Yes, because Deep CDR™ Technology is good for some things, Sandbox for others — together they provide full coverage. Alone, they can’t handle every scenario. For example, we combine Deep CDR™ Technology with antivirus scans and Sandbox to detect sophisticated attacks that each layer alone might miss. We’re not just offering a point security solution — but a multi-layered platform. We’ve built a circular security platform, not isolated barriers: multi-engine scanning, behavioral analysis, and the core — Deep CDR™ Technology that rebuilds each file cleanly, without asking questions.”
A platform jelenleg 190 fájltípust - DOC, PDF, ZIP, kép, hang, videó és egyéb - támogat, ami kétszerese az iparági szabványnak. A biztonsági szinteket a fájl elérési útvonalához, konfigurációjához és rendeltetési helyéhez igazítja.
"A védelem kiterjed a teljes fenyegetettségi tartományra, de minden egyes fenyegetésnek megvan a maga jellege" - mondja Gavish. "Az adatáramlást sem akarjuk leállítani vagy a műveleteket késleltetni. Az ötlet nem az, hogy blokkoljuk a világot - hanem az, hogy tiszta módon visszavezessük azt - egyensúlyt teremtve a biztonság és a rendelkezésre állás között. Mintha egy potenciálisan szennyezett patakból innánk - tisztító tablettát használunk, és közben ásványi anyagokról mondunk le. De ha a tabletta okosabb lenne, akkor megtisztíthatná és megőrizhetné az ásványi anyagokat. Ez a célunk - hogy az adatokat eredeti szerkezetükben, a rejtett rosszindulatú tartalmak nélkül, mindig az Ön igényeihez igazítva szolgáltassuk."
Minden szervezeti belépési pont biztosítása
OPSWAT 2002-ben azzal a céllal alapították, hogy megvédje a kritikus infrastruktúrát a kiberfenyegetésektől, és ma már több mint 80 országban mintegy 2000 ügyfelet szolgál ki. A vállalat Észak-Amerikában, Európában (többek között az Egyesült Királyságban, Németországban, Magyarországon, Svájcban, Romániában, Franciaországban és Spanyolországban), Ázsiában (Indiában, Japánban, Tajvanon, Vietnamban, Szingapúrban és az Egyesült Arab Emírségekben) és másutt is rendelkezik irodákkal.
Izraelben az OPSWAT több száz vezető szervezet számára nyújt kiberbiztonsági megoldásokat.
Gavish maga 2007 óta foglalkozik kiberbiztonsággal, a támadás és a védelem között váltogatva. A védelmi iparban kezdte, majd később a kibercégeknél a "vörös csapat" és a "kék csapat" szerepkörében is dolgozott. OPSWAT a kritikus infrastruktúrák - víz, villamos energia, közlekedés és védelem - védelméről híres, de valójában kiberbiztonsági platformja bármely szervezet számára alkalmas.
"Javaslom a "kritikus infrastruktúra" fogalmának kiszélesítését. Minden szervezet rendelkezik valamilyen kritikus infrastruktúrával. Ha egy újság nem tud nyomtatni, mert egy rosszindulatú szoftver leállítja a nyomdagépeket - az katasztrófa. Számukra a nyomdagépek kritikus infrastruktúrát jelentenek. Ha egy egészségbiztosító érzékeny ügyféladatokat szivárogtat ki - az katasztrofális. Ebben az esetben az adatok jelentik a kritikus infrastruktúrát. Ha egy hacker megzavar egy liftvezérlőt - ami nagyon is valós forgatókönyv -, akkor a vezérlő válik kritikus infrastruktúrává. Az adatok bármely érintkezési pontja - belépő vagy kilépő - potenciális kockázatot jelent, és mi felkészültünk a védelmükre. Mindig azt mondom: amikor kritikus rendszereket védünk, ne csak az internetre gondoljunk - gondoljunk minden lehetséges kapura. Néha ez nem egy szerver vagy port, hanem egy hátsó ajtó a 30. emeleten. Egy olyan világban, ahol egy e-mailen vagy egy ártatlannak tűnő fájlon keresztül is támadás érhet - csak az áll igazán készen, aki minden szempontból gondolkodik. Az OPSWATrendszere erre épül: végpontok, e-mail szerverek, külső eszközök csatlakoztatására szolgáló kioszkok, sőt egyirányú fájlátviteli rendszerek (Data Diode) védelmére is. Egy olyan világban, ahol még egy egyszerű képfájl is tartalmazhat beágyazott támadó kódot, a lebontás és a tiszta újraépítés tökéletes értelme van - nem pedig paranoia."
A kornak megfelelően mennyire használja a mesterséges intelligenciát?
"A mesterséges intelligencia divatos divatszóvá vált, de OPSWAT nem csak a látszat kedvéért használja - csak ott, ahol valóban segít. A magukat AI-nek valló vírusirtó motorok 99%-a ML-t - gépi tanulást - használ. Ez azt jelenti, hogy az AI kiválóan képes új támadási technikákat létrehozni, ezért a többszintű védelem kritikus fontosságú. Nem támaszkodunk csak az ismert szignatúrákra."
Mégis, még a többszintű biztonság sem légmentes. A kiberbiztonságban nem létezik 100%-os védelem.
"Így van - és az OPSWAT ezt megértjük. Ezért a mi megközelítésünk semlegesíti a fenyegetéseket, függetlenül attól, hogy észleltek-e, ismertek-e, vagy szerepelnek-e bármely adatbázisban. A támadók és a védők közötti macska-egér játék soha nem fog véget érni - ezért nem próbálunk egyetlen eszközzel győzni. Falakat, kapukat, hidakat építünk, és íjászokat helyezünk el. Nincs 100%, de van egy platform, amelyben megbízhatsz."
