Eredetileg a The Marker, Cyber Magazine-ban jelent meg.
Egy olyan korszakban, amikor a hackerek rosszindulatú kódokat rejtnek el a képpontok és a metaadatok között, OPSWAT a Deep CDR™ technológiát OPSWAT , amely minden fájlt alapvető elemeire bont, majd egy teljesen tiszta változatot állít elő belőle. Noam Gavish kiberbiztonsági tervező elmagyarázza a technológia működési elvét, és azt, hogy ezek hogyan alkotnak együtt egy többrétegű védelmi rendszert.
Izrael egyik biztonsági szervezeténél a belső kiberbiztonsági csapat tagjai nyugtalanul mozogtak a székükön egy váratlan irányból érkező fenyegetés miatt. Aggodalmuk nem a behatolás – a szokásos kiberfenyegetés – miatt merült fel, hanem inkább amiatt, hogy mi szivároghat ki észrevétlenül. Attól tartottak, hogy érzékeny információk – például kódnevek, helyszínek és személyazonosságok – rejtőzhetnek látszólag ártalmatlan fájlokban: Word-dokumentumokban, képek metaadataiban, vagy akár magukban a képpontokban. A DLP-rendszerek nem tudták észlelni ezeket, a szakértők nem tudták, mit keressenek, és a helyzet olyan volt, mintha egy láthatatlan fenyegetés állna fenn, amelyre nincs megoldás. Ezt a hiányosságot OPSWATDeep CDR™ technológiája pótolta, amely a fájlt alapvető összetevőire bontja, és kizárólag a szükséges objektumokból építi újra.
„Az elgondolás egyszerű, és azon a feltételezésen alapul, hogy a Zero Trust megközelítés szerint minden fájl gyanús” – mondja Noam Gavish, az OPSWAT kiberbiztonsági tervezője. „A Deep CDR™ Technology rendszer lebontja az egyes fájlokat, csak a működésükhöz szükséges elemeket tartja meg, majd újraépíti őket – az eredetivel megegyezően, de teljesen tisztán. A végfelhasználó számára a fájl használata változatlan marad, és a rendszer lehetővé teszi a modul viselkedésének a fájltípus és a konkrét csatorna alapján történő testreszabását. Nem próbáljuk megállapítani, hogy a fájlban található valami jó vagy rossz. Ha nem elengedhetetlen – nem kerül be.”
A logika illusztrálására Gavish a 2001 szeptemberében - egy héttel 9/11 után - elkövetett Anthrax-támadásra utal, amelynek során Anthrax-spórákat tartalmazó leveleket küldtek különböző amerikai médiumoknak és két szenátornak, öt embert megölve és 17 másikat megfertőzve. "A mi technológiánkra alkalmazva - ha egy ügyfél levelet kap postán, a rendszerünk szóról szóra átírja azt egy új oldalra - anélkül, hogy beleszórná a gyanús fehér port, amit valaki esetleg beleszórhatott."
Tehát ahelyett, hogy ellenőrizné, hogy egy fájl veszélyes-e, inkább feltételezi, hogy az - és egyáltalán nem engedi be?
"Pontosan. Minden felesleges dolog - még ha nem is tudjuk megmagyarázni, hogy miért - egyszerűen nem megy át. Nem kell megállapítani, hogy rosszindulatú-e. Ha nem szükséges, akkor kizárjuk" - hangsúlyozza Gavish. "A cél nem a felderítés - a támadási felületet a lehető legkisebbre kell csökkenteni. Még ha egy fenyegetés nem is látható, akkor sem kap esélyt. Ez mély pszichológiai meglátáson alapul: Az emberek félnek attól, amit nem értenek - és mi is így kezeljük a fájlokat. Ez egyfajta túlélési mechanizmus."
A kiberbiztonság és az információ elérhetőségének egyensúlya
A Gavish által ismertetett technológia – a Content Disarm and Reconstruction, röviden CDR – nem új a piacon, de OPSWAT , hogy OPSWAT kezelni a rendkívül összetett fájlokat is, beleértve az archívumokat, a médiafájlokat és az aktív makrókat tartalmazó dokumentumokat. Ez a kibővített képesség érte el a Deep CDR™ Technology elnevezést.
Gavish mindazonáltal hangsúlyozza, hogy a Deep CDR™ technológia csupán egy eleme annak a teljes körű platformnak, amelyet a szervezetek – különösen a kritikus infrastruktúrák – védelmére terveztek, az összes információcsere-csatornán átívelően. Ez az e-mail rendszerekkel kezdődik, kiterjed USB végpontokhoz csatlakoztatott USB , és magában foglalja a belső rendszerinterfészeket is. Minden fájl, bármilyen forrásból származó is, többszintű biztonsági vizsgálaton esik át.
Ez egyre fontosabb, mivel a támadási felületek egyre nagyobbak, különösen az ellátási láncot érintő támadások esetében, ahol a hackerek harmadik feleket vesznek célba, hogy hozzáférjenek egy szervezethez. A hackerek a szervezeti gyenge pontokat is azonosítják - például a HR-osztályokat, amelyek naponta több tucat önéletrajzot kapnak, gyakran PDF-ek vagy képek formájában, amelyek mögött teljes operációs rendszerek vannak elrejtve. A HR-csapatok általában az Office-fájlok legnagyobb átvevői - ugyanakkor gyakran a legkevésbé kiberbiztonsági tudatossággal rendelkeznek. Egy másik gyenge pont: a cserélhető adathordozók, amelyek rosszindulatú szoftvereket tartalmazhatnak.
„Nem támaszkodunk kizárólag a Deep CDR™ technológiára, mert egyetlen modul sem képes minden kihívást megoldani” – magyarázza Gavish. „Mielőtt egy fájl eljutna a CDR-hez, több víruskereső motoron is átfut – csomagtól függően több mint 30-on. Ezután áthalad a Deep CDR™ technológián, majd Sandbox OPSWAT Sandbox , amely dekódolja a fájlt, elemzi a kódot, és meghatározza, hogy mit csinál – vagy mit tenne – egy adott bemeneti adat esetén.”
A rendszer alapelve nem egyetlen észlelési mechanizmusra támaszkodik, hanem a réteges biztonsági megközelítésre: ha a víruskereső valamit nem vesz észre, a Deep CDR™ technológia újjáépíti a fájlt. Ha a Deep CDR™ technológia nem távolít el semmilyen gyanús elemet, vagy további tisztázásra van szükség, Sandbox a fájl viselkedését. Csak akkor engedélyezik a fájl belépését a szervezetbe, ha semmi sem minősül gyanúsnak.
OPSWAT átfogó OPSWAT hatékonyságának bemutatására Gavish a vállalat biztonsági architektúráját a középkori várakhoz hasonlítja – amelyek réteges védelmi rendszerrel próbálták kimeríteni a támadókat. „A kiberbiztonságban minden a rétegekről szól. Mint egy várnál: először a vizesárok, aztán a vaskapu, az íjászok, és a felülről ráöntött forró olaj. A Deep CDR™ technológia nem varázslat – csak egy újabb tégla a falban. És egy falak nélküli vár nem is vár.”
Tehát ez egy technológiai kombináció és egy folyamat-sorozat is?
„Igen, mivel a Deep CDR™ technológia bizonyos feladatokra, Sandbox alkalmas – együttesen biztosítják a teljes körű védelmet. Egyedül nem képesek minden helyzetet kezelni. Például a Deep CDR™ technológiát antivírus-ellenőrzésekkel és Sandbox kombináljuk, Sandbox felismerjük azokat a kifinomult támadásokat, amelyeket az egyes rétegek önmagukban esetleg elmulasztanának. Nem csupán egy pontszerű biztonsági megoldást kínálunk, hanem egy többrétegű platformot. Körkörös biztonsági platformot építettünk, nem pedig elszigetelt akadályokat: többmotoros vizsgálat, viselkedéselemzés és a középpontban a Deep CDR™ technológia, amely minden fájlt tisztán újjáépít, kérdések nélkül.”
A platform jelenleg 190 fájltípust - DOC, PDF, ZIP, kép, hang, videó és egyéb - támogat, ami kétszerese az iparági szabványnak. A biztonsági szinteket a fájl elérési útvonalához, konfigurációjához és rendeltetési helyéhez igazítja.
"A védelem kiterjed a teljes fenyegetettségi tartományra, de minden egyes fenyegetésnek megvan a maga jellege" - mondja Gavish. "Az adatáramlást sem akarjuk leállítani vagy a műveleteket késleltetni. Az ötlet nem az, hogy blokkoljuk a világot - hanem az, hogy tiszta módon visszavezessük azt - egyensúlyt teremtve a biztonság és a rendelkezésre állás között. Mintha egy potenciálisan szennyezett patakból innánk - tisztító tablettát használunk, és közben ásványi anyagokról mondunk le. De ha a tabletta okosabb lenne, akkor megtisztíthatná és megőrizhetné az ásványi anyagokat. Ez a célunk - hogy az adatokat eredeti szerkezetükben, a rejtett rosszindulatú tartalmak nélkül, mindig az Ön igényeihez igazítva szolgáltassuk."
Minden szervezeti belépési pont biztosítása
OPSWAT 2002-ben azzal a céllal alapították, hogy megvédje a kritikus infrastruktúrát a kiberfenyegetésektől, és ma már több mint 80 országban mintegy 2000 ügyfelet szolgál ki. A vállalat Észak-Amerikában, Európában (többek között az Egyesült Királyságban, Németországban, Magyarországon, Svájcban, Romániában, Franciaországban és Spanyolországban), Ázsiában (Indiában, Japánban, Tajvanon, Vietnamban, Szingapúrban és az Egyesült Arab Emírségekben) és másutt is rendelkezik irodákkal.
Izraelben az OPSWAT több száz vezető szervezet számára nyújt kiberbiztonsági megoldásokat.
Gavish maga 2007 óta foglalkozik kiberbiztonsággal, a támadás és a védelem között váltogatva. A védelmi iparban kezdte, majd később a kibercégeknél a "vörös csapat" és a "kék csapat" szerepkörében is dolgozott. OPSWAT a kritikus infrastruktúrák - víz, villamos energia, közlekedés és védelem - védelméről híres, de valójában kiberbiztonsági platformja bármely szervezet számára alkalmas.
"Javaslom a "kritikus infrastruktúra" fogalmának kiszélesítését. Minden szervezet rendelkezik valamilyen kritikus infrastruktúrával. Ha egy újság nem tud nyomtatni, mert egy rosszindulatú szoftver leállítja a nyomdagépeket - az katasztrófa. Számukra a nyomdagépek kritikus infrastruktúrát jelentenek. Ha egy egészségbiztosító érzékeny ügyféladatokat szivárogtat ki - az katasztrofális. Ebben az esetben az adatok jelentik a kritikus infrastruktúrát. Ha egy hacker megzavar egy liftvezérlőt - ami nagyon is valós forgatókönyv -, akkor a vezérlő válik kritikus infrastruktúrává. Az adatok bármely érintkezési pontja - belépő vagy kilépő - potenciális kockázatot jelent, és mi felkészültünk a védelmükre. Mindig azt mondom: amikor kritikus rendszereket védünk, ne csak az internetre gondoljunk - gondoljunk minden lehetséges kapura. Néha ez nem egy szerver vagy port, hanem egy hátsó ajtó a 30. emeleten. Egy olyan világban, ahol egy e-mailen vagy egy ártatlannak tűnő fájlon keresztül is támadás érhet - csak az áll igazán készen, aki minden szempontból gondolkodik. Az OPSWATrendszere erre épül: végpontok, e-mail szerverek, külső eszközök csatlakoztatására szolgáló kioszkok, sőt egyirányú fájlátviteli rendszerek (Data Diode) védelmére is. Egy olyan világban, ahol még egy egyszerű képfájl is tartalmazhat beágyazott támadó kódot, a lebontás és a tiszta újraépítés tökéletes értelme van - nem pedig paranoia."
A kornak megfelelően mennyire használja a mesterséges intelligenciát?
"A mesterséges intelligencia divatos divatszóvá vált, de OPSWAT nem csak a látszat kedvéért használja - csak ott, ahol valóban segít. A magukat AI-nek valló vírusirtó motorok 99%-a ML-t - gépi tanulást - használ. Ez azt jelenti, hogy az AI kiválóan képes új támadási technikákat létrehozni, ezért a többszintű védelem kritikus fontosságú. Nem támaszkodunk csak az ismert szignatúrákra."
Mégis, még a többszintű biztonság sem légmentes. A kiberbiztonságban nem létezik 100%-os védelem.
"Így van - és az OPSWAT ezt megértjük. Ezért a mi megközelítésünk semlegesíti a fenyegetéseket, függetlenül attól, hogy észleltek-e, ismertek-e, vagy szerepelnek-e bármely adatbázisban. A támadók és a védők közötti macska-egér játék soha nem fog véget érni - ezért nem próbálunk egyetlen eszközzel győzni. Falakat, kapukat, hidakat építünk, és íjászokat helyezünk el. Nincs 100%, de van egy platform, amelyben megbízhatsz."
