פורסם במקור בדה מרקר, מגזין סייבר.
בעידן שבו האקרים מסתירים קוד זדוני בתוך פיקסלים ומטא-נתונים, OPSWAT כנולוגיית Deep CDR™, המפרקת כל קובץ למרכיביו הבסיסיים ומרכיבה מחדש גרסה נקייה לחלוטין. נועם גביש, אדריכל אבטחת סייבר, מסביר את הרציונל העומד מאחורי הטכנולוגיה וכיצד הם יוצרים יחד מערכת הגנה רב-שכבתית.
באחד מארגוני הביטחון בישראל, צוות אבטחת הסייבר הפנימי החל לזוז בחוסר נוחות בכיסאותיו בשל איום שהגיע מכיוון בלתי צפוי. דאגתם לא נגעה לחדירה — האיום הסייברי הנפוץ — אלא דווקא למה שעלול לדלוף החוצה, מבלי שיבחינו בכך. הם חששו שמידע רגיש — כגון שמות קוד, מיקומים וזהויות — עלול להיות מוסתר בתוך קבצים תמימים למראה: מסמכי Word, מטא-נתונים של תמונות, או אפילו בתוך הפיקסלים עצמם. מערכות DLP לא הצליחו לזהות זאת, המומחים לא ידעו מה לחפש, והמצב נראה כאיום בלתי נראה ללא פתרון. פער זה נסגר על ידי טכנולוגיית Deep CDR™ OPSWAT, המפרקת את הקובץ למרכיביו הבסיסיים ומרכיבה אותו מחדש רק מהאובייקטים הדרושים.
"הרעיון פשוט ומבוסס על ההנחה שכל קובץ הוא חשוד, בהתאם לגישת 'אמון אפס'", אומר נועם גביש, אדריכל אבטחת סייבר OPSWAT. "מערכת הטכנולוגיה Deep CDR™ מפרקת כל קובץ, שומרת רק את המרכיבים הדרושים לתפקודו, ומרכיבה אותו מחדש — זהה למקור, אך נקי לחלוטין. יכולת השימוש של המשתמש הסופי בקובץ נשארת זהה, והמערכת מאפשרת התאמה אישית של התנהגות המודול בהתאם לסוג הקובץ ולערוץ הספציפי. אנחנו לא מנסים לקבוע אם משהו בקובץ הוא טוב או רע. אם זה לא חיוני — זה לא נכנס."
כדי להמחיש את ההיגיון, גביש מתייחס למתקפת האנתרקס בספטמבר 2001 - שבוע לאחר ה-11 בספטמבר - שבמהלכה נשלחו מכתבים המכילים נבגי אנתרקס לכלי תקשורת שונים בארה"ב ולשני סנאטורים, מה שהרג חמישה והדביק 17 נוספים. "בהחיל על הטכנולוגיה שלנו - אם לקוח מקבל מכתב בדואר, המערכת שלנו כותבת אותו מחדש מילה במילה בעמוד חדש - מבלי לכלול את האבקה הלבנה החשודה שמישהו אולי פיזר בפנים."
אז במקום לבדוק אם קובץ מסוים מסוכן, אתם מניחים שהוא מסוכן - ולא מכניסים אותו בכלל?
"בדיוק. כל דבר מיותר - גם אם אנחנו לא יכולים להסביר למה - פשוט לא עובר. אין צורך לקבוע אם זה זדוני. אם זה לא נדרש, זה נשלל", מדגיש גביש. "המטרה אינה גילוי - אלא צמצום משטח ההתקפה למינימום המוחלט. גם אם איום לא נראה לעין, הוא לא מקבל הזדמנות. זה מבוסס על תובנה פסיכולוגית עמוקה: אנשים פוחדים ממה שהם לא מבינים - ואנחנו מתייחסים לקבצים באותו אופן. זה סוג של מנגנון הישרדות."
איזון בין אבטחת סייבר לזמינות מידע
הטכנולוגיה שגביש מתאר — Content Disarm and Reconstruction, או CDR — אינה חדשה בשוק, אך OPSWAT אותה כדי OPSWAT לטפל בקבצים מורכבים ביותר, כולל קבצי ארכיון, קבצי מדיה ומסמכים הכוללים פקודות מאקרו פעילות. יכולת מורחבת זו זיכתה אותה בשם Deep CDR™ Technology.
עם זאת, גביש מדגיש כי טכנולוגיית Deep CDR™ היא רק מרכיב אחד בפלטפורמה שלמה שנועדה להגן על ארגונים — ובמיוחד על תשתיות קריטיות — בכל ערוצי חילופי המידע. הדבר מתחיל במערכות דואר אלקטרוני, נמשך USB המחוברים לנקודות קצה, וכולל ממשקי מערכת פנימיים. כל קובץ, מכל מקור שהוא, עובר סריקת אבטחה רב-שכבתית.
הדבר הופך חשוב יותר ויותר ככל שמשטחי התקיפה מתרחבים, במיוחד עם התקפות בשרשרת האספקה , שבהן האקרים מכוונים לצדדים שלישיים כדי לקבל גישה לארגון. האקרים מזהים גם נקודות תורפה בארגון - לדוגמה, מחלקות משאבי אנוש, המקבלות עשרות קורות חיים מדי יום, לעתים קרובות כקובצי PDF או תמונות, עם מערכות הפעלה מלאות מוסתרות מאחוריהן. צוותי משאבי אנוש נוטים להיות המקבלים הגדולים ביותר של קבצי Office - אך לעתים קרובות יש להם את המודעות הנמוכה ביותר לאבטחת סייבר. נקודת תורפה נוספת: מדיה נשלפת, שעשויה להכיל תוכנות זדוניות.
"אנחנו לא מסתמכים רק על טכנולוגיית Deep CDR™, כי אין מודול אחד שיכול להתמודד עם כל האתגרים", מסביר גביש. "לפני שקובץ מגיע ל-CDR, הוא עובר דרך מספר מנועי אנטי-וירוס — יותר מ-30, תלוי בחבילה. לאחר מכן הוא עובר דרך טכנולוגיית Deep CDR™, ולאחר מכן דרך Sandbox של OPSWAT, שמפענחת את הקובץ, מנתחת את הקוד וקובעת מה הוא עושה — או היה עושה — עם קלט ספציפי."
העיקרון המנחה הוא לא להסתמך על מנגנון זיהוי יחיד, אלא על אבטחה רב-שכבתית: אם תוכנת האנטי-וירוס מפספסת משהו, טכנולוגיית Deep CDR™ משחזרת את הקובץ. אם טכנולוגיית Deep CDR™ לא מסירה דבר חשוד או שיש צורך בהבהרה נוספת, Sandbox את התנהגותו. רק אם לא נמצא דבר חשוד, הקובץ מורשה להיכנס לארגון.
כדי להדגים את עוצמתה של OPSWAT מקיפה, גביש משווה את ארכיטקטורת האבטחה של החברה לטירות מימי הביניים — שהשתמשו בהגנה רב-שכבתית כדי להתיש את התוקפים. "באבטחת סייבר, הכל קשור לשכבות. כמו בטירה: תחילה חפיר, אחר כך שער ברזל, קשתים ושמן רותח שנשפך מלמעלה. טכנולוגיית Deep CDR™ אינה קסם — היא לבנה נוספת בחומה. וטירה ללא חומות אינה טירה."
אז זה גם שילוב טכנולוגי וגם סדרת תהליכים?
"כן, מכיוון שטכנולוגיית Deep CDR™ מתאימה למקרים מסוימים, Sandbox אחרים — יחד הן מספקות כיסוי מלא. לבדן, הן אינן יכולות להתמודד עם כל תרחיש. לדוגמה, אנו משלבים את טכנולוגיית Deep CDR™ עם סריקות אנטי-וירוס Sandbox לזהות מתקפות מתוחכמות שכל שכבה בנפרד עלולה לפספס. אנחנו לא מציעים רק פתרון אבטחה נקודתי — אלא פלטפורמה רב-שכבתית. בנינו פלטפורמת אבטחה מעגלית, ולא מחסומים מבודדים: סריקה רב-מנועית, ניתוח התנהגותי, והליבה — טכנולוגיית Deep CDR™ שבונה מחדש כל קובץ בצורה נקייה, בלי לשאול שאלות."
הפלטפורמה תומכת כיום ב-190 סוגי קבצים - DOC, PDF, ZIP, תמונות, אודיו, וידאו ועוד - כפול מהסטנדרט בתעשייה. היא גם מתאימה את רמות האבטחה לנתיב, לתצורה וליעד של הקובץ.
"ההגנה משתרעת על פני כל נוף האיומים, אבל לכל איום יש אופי משלו", אומר גביש. "אנחנו גם לא רוצים לעצור את זרימת הנתונים או לעכב פעולות. הרעיון הוא לא לחסום את העולם - אלא להחזיר אותו בצורה נקייה - איזון בין אבטחה לזמינות. כמו לשתות מנחל שעלול להיות מזוהם - משתמשים בטבלית טיהור ומוותרים על מינרלים בתהליך. אבל אם הטאבלט היה חכם יותר, הוא היה יכול לטהר ולשמר את המינרלים. זוהי המטרה שלנו - לספק נתונים במבנה המקורי שלהם, פחות התוכן הזדוני הנסתר - תמיד ניתנים להתאמה אישית לצרכים שלכם."
אבטחת כל נקודת כניסה ארגונית
נוסדה בשנת 2002 עם חזון להגן על תשתיות קריטיות מפני איומי סייבר, OPSWAT כיום משרתת כ-2,000 לקוחות ביותר מ-80 מדינות. לחברה משרדים ברחבי צפון אמריקה, אירופה (כולל בריטניה, גרמניה, הונגריה, שוויץ, רומניה, צרפת וספרד), אסיה (הודו, יפן, טייוואן, וייטנאם, סינגפור ואיחוד האמירויות הערביות) ועוד.
בישראל, OPSWAT מספקת פתרונות אבטחת סייבר למאות ארגונים מובילים.
גביש עצמו עוסק בתחום אבטחת הסייבר מאז 2007, ונע בין התקפה להגנה. הוא התחיל בתעשיית הביטחון ולאחר מכן עבד בתפקידי "צוות אדום" ו"צוות כחול" בחברות סייבר. OPSWAT ידועה בהגנה שלה על תשתיות קריטיות - מים, חשמל, תחבורה והגנה - אך למעשה, פלטפורמת אבטחת הסייבר שלה מתאימה לכל ארגון.
"אני מציע להרחיב את ההגדרה של 'תשתית קריטית'. בכל ארגון יש משהו קריטי. אם עיתון לא יכול להדפיס בגלל שתוכנה זדונית מכבה את המכונות - זה אסון. עבורם, המכונות הן תשתית קריטית. אם חברת ביטוח בריאות מדליפה נתוני לקוחות רגישים - זה הרסני. במקרה כזה, הנתונים הם התשתית הקריטית. אם האקר משבש בקר מעלית - תרחיש אמיתי מאוד - הבקר הופך קריטי. כל נקודת מגע עם נתונים - כניסה או יציאה - היא סיכון פוטנציאלי, ואנחנו מוכנים להגן עליה. אני תמיד אומר: כשמגנים על מערכות קריטיות, אל תחשבו רק על האינטרנט - חשבו על כל שער אפשרי. לפעמים זה לא שרת או פורט, אלא דלת אחורית בקומה ה-30. בעולם שבו אפשר לתקוף אותך דרך אימייל או קובץ שנראה תמים - רק מי שחושב מכל זווית באמת מוכן." OPSWAT המערכת של בנויה לכך: הגנה על נקודות קצה, שרתי דוא"ל, קיוסקים לחיבור התקנים חיצוניים ואפילו מערכות העברת קבצים חד כיווניות (Data Diode). בעולם שבו אפילו קובץ תמונה פשוט עשוי להכיל קוד תקיפה מוטמע, פירוק שלו ובנייתו מחדש בצורה נקייה הגיוני לחלוטין - לא פרנויה."
בהתאם לזמנים, כמה אתם משתמשים בבינה מלאכותית?
"בינה מלאכותית הפכה למילת באזז טרנדית, אבל OPSWAT לא משתמש בזה רק לראווה - רק היכן שזה באמת עוזר. 99% ממנועי האנטי-וירוס שטוענים שהם משתמשים בבינה מלאכותית משתמשים בלמידת מכונה - למידת מכונה. עם זאת, בינה מלאכותית מצוינת בבניית טכניקות התקפה חדשות, ולכן הגנות רב-שכבתיות הן קריטיות. אנחנו לא מסתמכים על חתימות ידועות בלבד."
ועדיין, אפילו אבטחה שכבתית אינה אטומה לאוויר. באבטחת סייבר, אין דבר כזה הגנה של 100%.
"נכון - וב OPSWAT "אנחנו מבינים את זה. זו הסיבה שהגישה שלנו מנטרלת איומים בין אם הם מזוהים, ידועים או רשומים במסד נתונים כלשהו. משחק החתול והעכבר בין תוקפים למגינים לעולם לא ייגמר - אז אנחנו לא מנסים לנצח בו בכלי אחד. אנחנו בונים חומות, שערים, גשרים וממקמים קשתים. אין 100%, אבל יש פלטפורמה שאתם יכולים לסמוך עליה."
