最初發表於網路雜誌 The Marker。
在黑客將惡意程式碼隱藏在像素與元資料中的時代,OPSWAT 利用Deep CDR 技術將每個檔案解構為原始元素,並重建完全乾淨的版本。網路安全架構師 Noam Gavish 解釋了這項技術背後的原理,並一起說明它們如何形成多層防禦系統。
在以色列的一家安全組織中,內部網路安全團隊因為來自意外方向的威脅而開始不安地坐立不安。他們所擔心的不是滲透 - 一般的網路威脅 - 而是可能在不被察覺的情況下洩露的資訊。他們擔心敏感資訊 (例如代號、位置和身分) 可能隱藏在看似無辜的檔案中:Word 檔案、圖像元資料,甚至像素本身。DLP 系統無法偵測到這些資訊,專家們也不知道該尋找什麼,這種情況就像是隱形威脅,沒有解決方案。OPSWAT的Deep CDR 技術彌補了這個缺口,該技術可將檔案分解為基本元件,並僅從必要的物件重建檔案。
"OPSWAT 的網路安全架構師 Noam Gavish 表示:「這個構想很簡單,而且是基於零信任方式下,每個檔案都是可疑檔案的假設。"Deep CDR 系統會分解每個檔案,僅保留其功能所需的元素,然後將其重建 - 與原始檔案完全相同,但完全乾淨。最終使用者使用檔案的能力保持不變,而且系統允許根據檔案類型和特定通道來定制模組的行為。我們不會嘗試判斷檔案中的東西是好是壞。如果不是必需的,就不會加入。
為了說明這個邏輯,Gavish 提到 2001 年 9 月發生的炭疽襲擊事件 (9/11 事件後一週),當時有人將含有炭疽孢子的信件寄給美國多家媒體和兩位參議員,造成 5 人死亡,17 人受感染。「應用在我們的技術上 - 如果客戶收到寄來的信件,我們的系統就會在新的頁面上一字不漏地重新寫信 - 而不包括有人可能灑在信中的可疑白色粉末」。
所以您不檢查檔案是否有危險,反而假設它有危險,並且完全不讓它進入?
"沒錯。任何不必要的東西 - 即使我們無法解釋原因 - 都無法通過。我們不需要判斷它是否是惡意的。Gavish 強調。Gavish 強調:「我們的目標並非偵測,而是將攻擊面降至最低。即使威脅不顯現,也不會有機會。這是基於深刻的心理洞察力:人們害怕他們不瞭解的東西 - 我們也是這樣對待檔案的。這是一種生存機制。
平衡網路安全與資訊可用性
Gavish 所描述的技術 -內容解除與重建(或稱 CDR) - 並非市場上的新技術,但OPSWAT 已將其增強,以處理高度複雜的檔案,包括歸檔、媒體檔案和具有活動巨集的檔案。這項擴充功能為它贏得了 Deep CDR.
不過,Gavish 強調,Deep CDR 只是完整平台中的一個元件,其設計目的在於保護組織 (尤其是關鍵基礎設施) 的所有資訊交換管道。這由電子郵件系統開始,延伸至連接至端點的USB ,並包括內部系統介面。來自任何來源的每個檔案都會經過多層安全掃描。
隨著攻擊面的擴大,這一點變得越來越重要,尤其是在供應鏈攻擊中,駭客以第三方為攻擊目標,從而取得組織的存取權。駭客也會找出組織的弱點 - 例如人力資源部門,他們每天都會收到數十份履歷表,通常是 PDF 或圖片,背後還隱藏著完整的作業系統。人力資源團隊往往是 Office 檔案的最大接收者,但他們的網路安全意識卻往往最低。另一個弱點:可移除媒體,其中可能包含惡意軟體。
"Gavish 解釋說:「我們並不僅僅依賴Deep CDR ,因為沒有任何單一模組可以解決所有挑戰。Gavish 解釋說:「在檔案到達 CDR 之前,會先經過多個防毒引擎 - 視套件而定,超過 30 個。然後,它會經過Deep CDR,接著進入OPSWAT的Sandbox 系統,該系統會解碼檔案、分析程式碼,並判斷它在特定輸入下會做什麼或會做什麼。
其組織原則不是依賴單一的偵測機制,而是分層的安全性:如果防毒軟體遺漏了什麼,Deep CDR 會重建檔案。如果Deep CDR 未移除可疑內容或需要進一步澄清,則Sandbox 會分析其行為。只有在沒有可疑的情況下,才允許檔案進入組織。
為了展現OPSWAT 作為全方位平台的威力,Gavish 將公司的安全架構比喻為中世紀的城堡,利用分層防禦來消滅攻擊者。"在網路安全方面,層層防禦是最重要的。就像一座城堡:首先是護城河,然後是鐵門、弓箭手,以及從上方澆下的滾油。Deep CDR 並不是魔法 - 它只是牆上的另一塊磚頭。而沒有城牆的城堡就不是城堡。
所以它既是一個技術組合,也是一個製程系列?
"是的,因為Deep CDR 適用於某些情況,而Sandbox 則適用於其他情況 - 兩者結合可提供完整的涵蓋範圍。如果單獨使用,它們無法處理所有情況。舉例來說,我們結合Deep CDR 與防毒掃描和Sandbox 來偵測複雜的攻擊,而單獨每一層都可能會遺漏這些攻擊。我們提供的不只是單點安全解決方案,而是一個多層平台。我們建立的是一個循環式安全平台,而非孤立的障礙:多引擎掃描、行為分析,以及核心 -Deep CDR 技術,可乾淨地重建每個檔案,不問問題。
該平台目前支援 190 種檔案類型 - DOC、PDF、ZIP、影像、音訊、視訊等 - 比業界標準高出一倍。它還可根據檔案路徑、組態和目的地量身打造安全層級。
"Gavish 表示:「防護涵蓋整個威脅範圍,但每個威脅都有其本質。"我們也不想停止資料流或延遲作業。我們的想法不是要封鎖世界,而是要以乾淨的方式重新引入世界 - 平衡安全性與可用性。就像從可能受到污染的溪流中飲水一樣 - 您使用淨化藥片,並在過程中放棄礦物質。但如果藥片更聰明,就能淨化並保存礦物質。這就是我們的目標 - 以原始結構傳送資料,去除隱藏的惡意內容 - 永遠根據您的需求進行客製化"。
保護每個組織入口點
OPSWAT 成立於 2002 年,其願景是保護關鍵基礎設施免受網路威脅,目前為 80 多個國家約 2,000 家客戶提供服務。公司在北美、歐洲(包括英國、德國、匈牙利、瑞士、羅馬尼亞、法國和西班牙)、亞洲(印度、日本、台灣、越南、新加坡和阿聯酋)等地設有辦事處。
在以色列,OPSWAT 為數百個領導組織提供網路安全解決方案。
Gavish 本人自 2007 年起即投入網路安全領域,在攻防兩端之間轉換。他一開始在國防產業工作,後來在網路公司擔任「紅隊」和「藍隊」的角色。OPSWAT 以保護重要基礎設施 (水、電、運輸及國防) 而聞名,但事實上,其網路安全平台適用於任何組織。
"我建議擴大「關鍵基礎設施」的定義。每個組織都有一些關鍵的東西。如果一家報社因為惡意軟體關閉印刷機而無法印刷,那就是一場災難。對他們而言,印刷機就是關鍵基礎架構。如果一家健康保險公司洩漏了敏感的客戶資料,那將是毀滅性的。在這種情況下,資料就是關鍵基礎設施。如果黑客破壞了電梯控制器 - 這是一個非常真實的情況 - 控制器就變成了關鍵。任何資料接觸點 - 入口或出口 - 都是潛在的風險,而我們已準備好保護它。我經常說:在防禦關鍵系統時,不要只想到網際網路 - 要想到每個可能的閘門。有時候,它不是伺服器或埠,而是 30 樓的後門。在這個世界上,您可以透過電子郵件或看似無辜的檔案受到攻擊 - 只有那些能從各個角度思考的人,才是真正準備就緒的人。OPSWAT的系統就是為此而建:保護端點、電子郵件伺服器、連接外部裝置的自助服務站,甚至是單向檔案傳輸系統 (Data Diode)。在這個連一個簡單的影像檔案都可能包含內嵌攻擊程式碼的世界中,將它分解並重建乾淨是非常合理的,而不是妄想症"。
與時並進,您使用 AI 的程度如何?
"AI "已成為時髦的流行詞,但OPSWAT 並非只是用來做秀,而是用在真正有幫助的地方。99% 宣稱使用 AI 的防毒引擎都是使用 ML - 機器學習。儘管如此,人工智慧非常擅長建立新的攻擊技術,因此分層防禦至關重要。我們不會僅依賴已知的簽名"。
然而,即使是分層安全也不是密不透風的。在網路安全方面,沒有 100% 的保護。
"正確 - 在OPSWAT,我們了解這一點。這就是為什麼我們的方法可以消除威脅,而不論這些威脅是否已被偵測、已知或列於任何資料庫中。攻擊者與防禦者之間的貓捉老鼠遊戲永遠不會結束 - 因此我們不會試圖以一種工具贏得遊戲。我們建造牆壁、大門、橋樑,並部署弓箭手。沒有百分之百,但有可以信賴的平台。
