פורסם במקור בדה מרקר, מגזין סייבר.
בעידן שבו האקרים מסתירים קוד זדוני בתוך פיקסלים ומטא-דאטה, OPSWAT מנצל Deep CDR טכנולוגיה שמפרקת כל קובץ לאלמנטים הגולמיים שלו ובונה מחדש גרסה נקייה לחלוטין. נועם גביש, אדריכל אבטחת סייבר, מסביר את ההיגיון מאחורי הטכנולוגיה וכיצד יחד הם יוצרים מערכת הגנה רב שכבתית.
באחד מארגוני הביטחון בישראל, צוות הסייבר הפנימי החל לזוז באי נוחות בכיסאותיו עקב איום מכיוון בלתי צפוי. דאגתם לא הייתה מחדירה - איום הסייבר הנפוץ - אלא ממה שעלול לדלוף החוצה מבלי משים. הם חששו שמידע רגיש - כמו שמות קוד, מיקומים וזהויות - עלול להסתתר בתוך קבצים תמימים לכאורה: מסמכי וורד, מטא-דאטה של תמונות, או אפילו בתוך הפיקסלים עצמם. מערכות DLP לא הצליחו לזהות אותו, מומחים לא ידעו מה לחפש, והמצב הרגיש כמו איום בלתי נראה ללא פתרון. פער זה גושר על ידי... OPSWAT של Deep CDR טכנולוגיה שמפרקת את הקובץ למרכיביו החיוניים ובונה אותו מחדש מהאובייקטים הדרושים בלבד.
"הרעיון פשוט ומבוסס על ההנחה שכל קובץ חשוד, בגישת אפס אמון", אומר נועם גביש, ארכיטקט אבטחת סייבר ב- OPSWAT "ה- Deep CDR המערכת מפרקת כל קובץ, שומרת רק את האלמנטים הדרושים לתפקודו, ובונה אותו מחדש - זהה למקור, אך נקי לחלוטין. יכולת המשתמש הסופי להשתמש בקובץ נשארת זהה, והמערכת מאפשרת להתאים את התנהגות המודול בהתאם לסוג הקובץ ולערוץ הספציפי. אנחנו לא מנסים לקבוע אם משהו בקובץ טוב או רע. אם זה לא חיוני - הוא לא נכנס פנימה."
כדי להמחיש את ההיגיון, גביש מתייחס למתקפת האנתרקס בספטמבר 2001 - שבוע לאחר ה-11 בספטמבר - שבמהלכה נשלחו מכתבים המכילים נבגי אנתרקס לכלי תקשורת שונים בארה"ב ולשני סנאטורים, מה שהרג חמישה והדביק 17 נוספים. "בהחיל על הטכנולוגיה שלנו - אם לקוח מקבל מכתב בדואר, המערכת שלנו כותבת אותו מחדש מילה במילה בעמוד חדש - מבלי לכלול את האבקה הלבנה החשודה שמישהו אולי פיזר בפנים."
אז במקום לבדוק אם קובץ מסוים מסוכן, אתם מניחים שהוא מסוכן - ולא מכניסים אותו בכלל?
"בדיוק. כל דבר מיותר - גם אם אנחנו לא יכולים להסביר למה - פשוט לא עובר. אין צורך לקבוע אם זה זדוני. אם זה לא נדרש, זה נשלל", מדגיש גביש. "המטרה אינה גילוי - אלא צמצום משטח ההתקפה למינימום המוחלט. גם אם איום לא נראה לעין, הוא לא מקבל הזדמנות. זה מבוסס על תובנה פסיכולוגית עמוקה: אנשים פוחדים ממה שהם לא מבינים - ואנחנו מתייחסים לקבצים באותו אופן. זה סוג של מנגנון הישרדות."
איזון בין אבטחת סייבר לזמינות מידע
הטכנולוגיה שגביש מתאר - נטרול ושחזור תוכן , או CDR - אינה חדשה בשוק, אך OPSWAT שיפר אותו להתמודדות עם קבצים מורכבים ביותר, כולל ארכיונים, קבצי מדיה ומסמכים עם פקודות מאקרו פעילות. יכולת מורחבת זו זיכתה אותו בשם Deep CDR .
ובכל זאת, גביש מדגיש כי Deep CDR הוא רק רכיב אחד בפלטפורמה שלמה שנועדה להגן על ארגונים - במיוחד תשתיות קריטיות - בכל ערוצי חילופי המידע. זה מתחיל במערכות דוא"ל, משתרע על פני USB מכשירים המחוברים לנקודות קצה, וכולל ממשקי מערכת פנימיים. כל קובץ, מכל מקור, עובר סריקת אבטחה רב-שכבתית.
הדבר הופך חשוב יותר ויותר ככל שמשטחי התקיפה מתרחבים, במיוחד עם התקפות בשרשרת האספקה , שבהן האקרים מכוונים לצדדים שלישיים כדי לקבל גישה לארגון. האקרים מזהים גם נקודות תורפה בארגון - לדוגמה, מחלקות משאבי אנוש, המקבלות עשרות קורות חיים מדי יום, לעתים קרובות כקובצי PDF או תמונות, עם מערכות הפעלה מלאות מוסתרות מאחוריהן. צוותי משאבי אנוש נוטים להיות המקבלים הגדולים ביותר של קבצי Office - אך לעתים קרובות יש להם את המודעות הנמוכה ביותר לאבטחת סייבר. נקודת תורפה נוספת: מדיה נשלפת, שעשויה להכיל תוכנות זדוניות.
"אנחנו לא מסתמכים רק על Deep CDR "כי אף מודול בודד לא יכול להתמודד עם כל האתגרים", מסביר גביש. "לפני שקובץ מגיע ל-CDR, הוא עובר דרך מנועי אנטי-וירוס מרובים - מעל 30, תלוי בחבילה. לאחר מכן הוא עובר דרך Deep CDR , וליד OPSWAT של Sandbox מערכת, אשר מפענחת את הקובץ, מנתחת את הקוד וקובעת מה היא עושה - או הייתה עושה - עם קלט ספציפי."
העיקרון המארגן הוא לא להסתמך על מנגנון גילוי יחיד, אלא על אבטחה שכבתית: אם האנטי-וירוס מפספס משהו, Deep CDR בונה מחדש את הקובץ. אם Deep CDR לא מסיר שום דבר חשוד או צורך בהבהרה נוספת, Sandbox מנתח את התנהגותו. רק אם לא נראה שום דבר חשוד, הקובץ מותר להיכנס לארגון.
כדי להדגים את כוחו של OPSWAT כפלטפורמה מקיפה, גביש משווה את ארכיטקטורת האבטחה של החברה לטירות מימי הביניים - שהשתמשו בהגנות רב-שכבתיות כדי להתיש תוקפים. "באבטחת סייבר, הכל סובב סביב שכבות. כמו טירה: קודם חפיר, אחר כך שער ברזל, קשתים ושמן רותח שנשפך מלמעלה." Deep CDR זה לא קסם - זה עוד לבנה בחומה. וטירה בלי חומות היא לא טירה."
אז זה גם שילוב טכנולוגי וגם סדרת תהליכים?
כן, כי Deep CDR טוב לדברים מסוימים, Sandbox עבור אחרים - יחד הם מספקים כיסוי מלא. לבדם, הם לא יכולים להתמודד עם כל תרחיש. לדוגמה, אנו משלבים Deep CDR עם סריקות אנטי-וירוס ו Sandbox כדי לזהות התקפות מתוחכמות שכל שכבה לבדה עלולה לפספס. אנחנו לא מציעים רק פתרון אבטחה נקודתי - אלא פלטפורמה רב-שכבתית. בנינו פלטפורמת אבטחה מעגלית, לא מחסומים מבודדים: סריקה מרובת מנועים, ניתוח התנהגותי, והליבה - Deep CDR טכנולוגיה שבונה מחדש כל קובץ בצורה נקייה, בלי לשאול שאלות."
הפלטפורמה תומכת כיום ב-190 סוגי קבצים - DOC, PDF, ZIP, תמונות, אודיו, וידאו ועוד - כפול מהסטנדרט בתעשייה. היא גם מתאימה את רמות האבטחה לנתיב, לתצורה וליעד של הקובץ.
"ההגנה משתרעת על פני כל נוף האיומים, אבל לכל איום יש אופי משלו", אומר גביש. "אנחנו גם לא רוצים לעצור את זרימת הנתונים או לעכב פעולות. הרעיון הוא לא לחסום את העולם - אלא להחזיר אותו בצורה נקייה - איזון בין אבטחה לזמינות. כמו לשתות מנחל שעלול להיות מזוהם - משתמשים בטבלית טיהור ומוותרים על מינרלים בתהליך. אבל אם הטאבלט היה חכם יותר, הוא היה יכול לטהר ולשמר את המינרלים. זוהי המטרה שלנו - לספק נתונים במבנה המקורי שלהם, פחות התוכן הזדוני הנסתר - תמיד ניתנים להתאמה אישית לצרכים שלכם."
אבטחת כל נקודת כניסה ארגונית
נוסדה בשנת 2002 עם חזון להגן על תשתיות קריטיות מפני איומי סייבר, OPSWAT כיום משרתת כ-2,000 לקוחות ביותר מ-80 מדינות. לחברה משרדים ברחבי צפון אמריקה, אירופה (כולל בריטניה, גרמניה, הונגריה, שוויץ, רומניה, צרפת וספרד), אסיה (הודו, יפן, טייוואן, וייטנאם, סינגפור ואיחוד האמירויות הערביות) ועוד.
בישראל, OPSWAT מספקת פתרונות אבטחת סייבר למאות ארגונים מובילים.
גביש עצמו עוסק בתחום אבטחת הסייבר מאז 2007, ונע בין התקפה להגנה. הוא התחיל בתעשיית הביטחון ולאחר מכן עבד בתפקידי "צוות אדום" ו"צוות כחול" בחברות סייבר. OPSWAT ידועה בהגנה שלה על תשתיות קריטיות - מים, חשמל, תחבורה והגנה - אך למעשה, פלטפורמת אבטחת הסייבר שלה מתאימה לכל ארגון.
"אני מציע להרחיב את ההגדרה של 'תשתית קריטית'. בכל ארגון יש משהו קריטי. אם עיתון לא יכול להדפיס בגלל שתוכנה זדונית מכבה את המכונות - זה אסון. עבורם, המכונות הן תשתית קריטית. אם חברת ביטוח בריאות מדליפה נתוני לקוחות רגישים - זה הרסני. במקרה כזה, הנתונים הם התשתית הקריטית. אם האקר משבש בקר מעלית - תרחיש אמיתי מאוד - הבקר הופך קריטי. כל נקודת מגע עם נתונים - כניסה או יציאה - היא סיכון פוטנציאלי, ואנחנו מוכנים להגן עליה. אני תמיד אומר: כשמגנים על מערכות קריטיות, אל תחשבו רק על האינטרנט - חשבו על כל שער אפשרי. לפעמים זה לא שרת או פורט, אלא דלת אחורית בקומה ה-30. בעולם שבו אפשר לתקוף אותך דרך אימייל או קובץ שנראה תמים - רק מי שחושב מכל זווית באמת מוכן." OPSWAT המערכת של בנויה לכך: הגנה על נקודות קצה, שרתי דוא"ל, קיוסקים לחיבור התקנים חיצוניים ואפילו מערכות העברת קבצים חד כיווניות (Data Diode). בעולם שבו אפילו קובץ תמונה פשוט עשוי להכיל קוד תקיפה מוטמע, פירוק שלו ובנייתו מחדש בצורה נקייה הגיוני לחלוטין - לא פרנויה."
בהתאם לזמנים, כמה אתם משתמשים בבינה מלאכותית?
"בינה מלאכותית הפכה למילת באזז טרנדית, אבל OPSWAT לא משתמש בזה רק לראווה - רק היכן שזה באמת עוזר. 99% ממנועי האנטי-וירוס שטוענים שהם משתמשים בבינה מלאכותית משתמשים בלמידת מכונה - למידת מכונה. עם זאת, בינה מלאכותית מצוינת בבניית טכניקות התקפה חדשות, ולכן הגנות רב-שכבתיות הן קריטיות. אנחנו לא מסתמכים על חתימות ידועות בלבד."
ועדיין, אפילו אבטחה שכבתית אינה אטומה לאוויר. באבטחת סייבר, אין דבר כזה הגנה של 100%.
"נכון - וב OPSWAT "אנחנו מבינים את זה. זו הסיבה שהגישה שלנו מנטרלת איומים בין אם הם מזוהים, ידועים או רשומים במסד נתונים כלשהו. משחק החתול והעכבר בין תוקפים למגינים לעולם לא ייגמר - אז אנחנו לא מנסים לנצח בו בכלי אחד. אנחנו בונים חומות, שערים, גשרים וממקמים קשתים. אין 100%, אבל יש פלטפורמה שאתם יכולים לסמוך עליה."
