Eredetileg a The Marker, Cyber Magazine-ban jelent meg.
Egy olyan korszakban, amikor a hackerek rosszindulatú kódot rejtenek el a pixelekben és metaadatokban, OPSWAT a Deep CDR technológiát használja, amely minden fájlt a nyers elemeire bont, és újraépít egy teljesen tiszta verziót. Noam Gavish, kiberbiztonsági építész elmagyarázza a technológia mögött meghúzódó logikát, és együttesen elmagyarázza, hogyan alkotnak egy többrétegű védelmi rendszert.
Az egyik izraeli biztonsági szervezetnél a belső kiberbiztonsági csapat egy váratlan irányból érkező fenyegetés miatt kezdett nyugtalanul forgolódni a székében. Aggodalmuk nem a beszivárgás - az általános kiberfenyegetés - miatt volt, hanem inkább amiatt, ami észrevétlenül kiszivároghat. Attól tartottak, hogy érzékeny információk - például kódnevek, helyszínek és személyazonosságok - rejtőzhetnek látszólag ártatlan fájlokban: Word-dokumentumokba, képi metaadatokba, vagy akár magukba a pixelekbe. A DLP-rendszerek nem észlelték, a szakértők nem tudták, mit keressenek, és a helyzetet láthatatlan fenyegetésnek érezték, amelyre nincs megoldás. Ezt a hiányt az OPSWAT Deep CDR technológiája hidalta át, amely a fájlt a lényeges összetevőkre bontja, és csak a szükséges objektumokból építi újra.
"Az ötlet egyszerű, és azon a feltételezésen alapul, hogy minden fájl gyanús, a Zero Trust megközelítés szerint" - mondja Noam Gavish, az OPSWAT kiberbiztonsági építészmérnöke. "A Deep CDR rendszer minden egyes fájlt lebont, csak a működéséhez szükséges elemeket tartja meg, és újraépíti - az eredetivel megegyezően, de teljesen tisztán. A végfelhasználó képessége a fájl használatára ugyanaz marad, és a rendszer lehetővé teszi a modul viselkedésének testre szabását a fájltípus és az adott csatorna alapján. Nem próbáljuk meghatározni, hogy valami a fájlban jó vagy rossz. Ha nem lényeges - nem kerül be."
A logika illusztrálására Gavish a 2001 szeptemberében - egy héttel 9/11 után - elkövetett Anthrax-támadásra utal, amelynek során Anthrax-spórákat tartalmazó leveleket küldtek különböző amerikai médiumoknak és két szenátornak, öt embert megölve és 17 másikat megfertőzve. "A mi technológiánkra alkalmazva - ha egy ügyfél levelet kap postán, a rendszerünk szóról szóra átírja azt egy új oldalra - anélkül, hogy beleszórná a gyanús fehér port, amit valaki esetleg beleszórhatott."
Tehát ahelyett, hogy ellenőrizné, hogy egy fájl veszélyes-e, inkább feltételezi, hogy az - és egyáltalán nem engedi be?
"Pontosan. Minden felesleges dolog - még ha nem is tudjuk megmagyarázni, hogy miért - egyszerűen nem megy át. Nem kell megállapítani, hogy rosszindulatú-e. Ha nem szükséges, akkor kizárjuk" - hangsúlyozza Gavish. "A cél nem a felderítés - a támadási felületet a lehető legkisebbre kell csökkenteni. Még ha egy fenyegetés nem is látható, akkor sem kap esélyt. Ez mély pszichológiai meglátáson alapul: Az emberek félnek attól, amit nem értenek - és mi is így kezeljük a fájlokat. Ez egyfajta túlélési mechanizmus."
A kiberbiztonság és az információ elérhetőségének egyensúlya
A Gavish által ismertetett technológia - Content Disarm and Reconstruction(CDR) - nem új a piacon, de OPSWAT továbbfejlesztette, hogy rendkívül összetett fájlokat, köztük archívumokat, médiafájlokat és aktív makrókat tartalmazó dokumentumokat is kezelni tudjon. Ez a kibővített képesség érdemelte ki a Deep CDR.
Gavish hangsúlyozza, hogy Deep CDR csak egy összetevője egy olyan teljes platformnak, amelyet a szervezetek - különösen a kritikus infrastruktúrák - védelmére terveztek az összes információcsere-csatornán keresztül. Ez az e-mail rendszerekkel kezdődik, kiterjed a végpontokhoz csatlakoztatott USB , és magában foglalja a belső rendszerfelületeket is. Minden fájl, bármilyen forrásból, többrétegű biztonsági vizsgálaton megy keresztül.
Ez egyre fontosabb, mivel a támadási felületek egyre nagyobbak, különösen az ellátási láncot érintő támadások esetében, ahol a hackerek harmadik feleket vesznek célba, hogy hozzáférjenek egy szervezethez. A hackerek a szervezeti gyenge pontokat is azonosítják - például a HR-osztályokat, amelyek naponta több tucat önéletrajzot kapnak, gyakran PDF-ek vagy képek formájában, amelyek mögött teljes operációs rendszerek vannak elrejtve. A HR-csapatok általában az Office-fájlok legnagyobb átvevői - ugyanakkor gyakran a legkevésbé kiberbiztonsági tudatossággal rendelkeznek. Egy másik gyenge pont: a cserélhető adathordozók, amelyek rosszindulatú szoftvereket tartalmazhatnak.
"Nem csak a Deep CDR támaszkodunk, mert egyetlen modul sem képes minden kihívást kezelni" - magyarázza Gavish. "Mielőtt egy fájl eléri a CDR-t, több vírusirtó motoron is átmegy - csomagtól függően több mint 30-on. Ezután áthalad a Deep CDR, majd az OPSWAT Sandbox rendszerén, amely dekódolja a fájlt, elemzi a kódot, és meghatározza, hogy mit tesz - vagy tenne - egy adott bemenettel."
A szervező elv az, hogy nem egyetlen észlelési mechanizmusra, hanem a többszintű biztonságra kell támaszkodni: Ha a vírusirtó valamit kihagy, Deep CDR újraépíti a fájlt. Ha Deep CDR semmi gyanúsat nem távolít el, vagy további tisztázásra van szükség, a Sandbox elemzi a viselkedését. Csak akkor engedi be a fájlt a szervezetbe, ha semmi gyanúsat nem talál.
Az OPSWAT mint átfogó platform erejének bemutatására Gavish a vállalat biztonsági architektúráját a középkori várakhoz hasonlítja, amelyek többszintű védelmet alkalmaztak a támadók megfárasztására. "A kiberbiztonságban minden a rétegekről szól. Mint egy vár: először egy várárok, majd egy vaskapu, íjászok és felülről öntött forró olaj. Deep CDR nem varázslat - csak egy újabb tégla a falban. És egy vár falak nélkül nem is vár."
Tehát ez egy technológiai kombináció és egy folyamat-sorozat is?
"Igen, mert a Deep CDR bizonyos dolgokra jó, a Sandbox másokra - együtt teljes lefedettséget biztosítanak. Egyedül nem tudnak minden forgatókönyvet kezelni. A Deep CDR például víruskeresővel és Sandbox kombináljuk, hogy felismerjük a kifinomult támadásokat, amelyeket az egyes rétegek önmagukban esetleg kihagynának. Nem csak egy pontszerű biztonsági megoldást kínálunk - hanem egy többrétegű platformot. Egy körkörös biztonsági platformot építettünk, nem elszigetelt akadályokat: többmotoros szkennelést, viselkedéselemzést és a magot - a Deep CDR technológiát, amely minden fájlt tisztán, kérdés nélkül épít újra."
A platform jelenleg 190 fájltípust - DOC, PDF, ZIP, kép, hang, videó és egyéb - támogat, ami kétszerese az iparági szabványnak. A biztonsági szinteket a fájl elérési útvonalához, konfigurációjához és rendeltetési helyéhez igazítja.
"A védelem kiterjed a teljes fenyegetettségi tartományra, de minden egyes fenyegetésnek megvan a maga jellege" - mondja Gavish. "Az adatáramlást sem akarjuk leállítani vagy a műveleteket késleltetni. Az ötlet nem az, hogy blokkoljuk a világot - hanem az, hogy tiszta módon visszavezessük azt - egyensúlyt teremtve a biztonság és a rendelkezésre állás között. Mintha egy potenciálisan szennyezett patakból innánk - tisztító tablettát használunk, és közben ásványi anyagokról mondunk le. De ha a tabletta okosabb lenne, akkor megtisztíthatná és megőrizhetné az ásványi anyagokat. Ez a célunk - hogy az adatokat eredeti szerkezetükben, a rejtett rosszindulatú tartalmak nélkül, mindig az Ön igényeihez igazítva szolgáltassuk."
Minden szervezeti belépési pont biztosítása
OPSWAT 2002-ben azzal a céllal alapították, hogy megvédje a kritikus infrastruktúrát a kiberfenyegetésektől, és ma már több mint 80 országban mintegy 2000 ügyfelet szolgál ki. A vállalat Észak-Amerikában, Európában (többek között az Egyesült Királyságban, Németországban, Magyarországon, Svájcban, Romániában, Franciaországban és Spanyolországban), Ázsiában (Indiában, Japánban, Tajvanon, Vietnamban, Szingapúrban és az Egyesült Arab Emírségekben) és másutt is rendelkezik irodákkal.
Izraelben az OPSWAT több száz vezető szervezet számára nyújt kiberbiztonsági megoldásokat.
Gavish maga 2007 óta foglalkozik kiberbiztonsággal, a támadás és a védelem között váltogatva. A védelmi iparban kezdte, majd később a kibercégeknél a "vörös csapat" és a "kék csapat" szerepkörében is dolgozott. OPSWAT a kritikus infrastruktúrák - víz, villamos energia, közlekedés és védelem - védelméről híres, de valójában kiberbiztonsági platformja bármely szervezet számára alkalmas.
"Javaslom a "kritikus infrastruktúra" fogalmának kiszélesítését. Minden szervezet rendelkezik valamilyen kritikus infrastruktúrával. Ha egy újság nem tud nyomtatni, mert egy rosszindulatú szoftver leállítja a nyomdagépeket - az katasztrófa. Számukra a nyomdagépek kritikus infrastruktúrát jelentenek. Ha egy egészségbiztosító érzékeny ügyféladatokat szivárogtat ki - az katasztrofális. Ebben az esetben az adatok jelentik a kritikus infrastruktúrát. Ha egy hacker megzavar egy liftvezérlőt - ami nagyon is valós forgatókönyv -, akkor a vezérlő válik kritikus infrastruktúrává. Az adatok bármely érintkezési pontja - belépő vagy kilépő - potenciális kockázatot jelent, és mi felkészültünk a védelmükre. Mindig azt mondom: amikor kritikus rendszereket védünk, ne csak az internetre gondoljunk - gondoljunk minden lehetséges kapura. Néha ez nem egy szerver vagy port, hanem egy hátsó ajtó a 30. emeleten. Egy olyan világban, ahol egy e-mailen vagy egy ártatlannak tűnő fájlon keresztül is támadás érhet - csak az áll igazán készen, aki minden szempontból gondolkodik. Az OPSWATrendszere erre épül: végpontok, e-mail szerverek, külső eszközök csatlakoztatására szolgáló kioszkok, sőt egyirányú fájlátviteli rendszerek (Data Diode) védelmére is. Egy olyan világban, ahol még egy egyszerű képfájl is tartalmazhat beágyazott támadó kódot, a lebontás és a tiszta újraépítés tökéletes értelme van - nem pedig paranoia."
A kornak megfelelően mennyire használja a mesterséges intelligenciát?
"A mesterséges intelligencia divatos divatszóvá vált, de OPSWAT nem csak a látszat kedvéért használja - csak ott, ahol valóban segít. A magukat AI-nek valló vírusirtó motorok 99%-a ML-t - gépi tanulást - használ. Ez azt jelenti, hogy az AI kiválóan képes új támadási technikákat létrehozni, ezért a többszintű védelem kritikus fontosságú. Nem támaszkodunk csak az ismert szignatúrákra."
Mégis, még a többszintű biztonság sem légmentes. A kiberbiztonságban nem létezik 100%-os védelem.
"Így van - és az OPSWAT ezt megértjük. Ezért a mi megközelítésünk semlegesíti a fenyegetéseket, függetlenül attól, hogy észleltek-e, ismertek-e, vagy szerepelnek-e bármely adatbázisban. A támadók és a védők közötti macska-egér játék soha nem fog véget érni - ezért nem próbálunk egyetlen eszközzel győzni. Falakat, kapukat, hidakat építünk, és íjászokat helyezünk el. Nincs 100%, de van egy platform, amelyben megbízhatsz."
