最初發表於網路雜誌 The Marker。
在駭客將惡意程式碼隱藏於像素與元資料中的時代OPSWAT Deep CDR™ 技術,將每個檔案拆解為原始元素,並重建出完全乾淨的版本。資安架構師諾姆·加維什(Noam Gavish)闡述了這項技術背後的原理,並說明這些技術如何共同構建出多層次的防禦系統。
在以色列某個安全機構中,內部網路安全團隊因來自意想不到方向的威脅而開始坐立難安。他們的擔憂並非來自滲透——這種常見的網路威脅——而是擔心哪些資訊可能會在無人察覺的情況下外洩。他們擔心敏感資訊——例如代號、地點和身分——可能隱藏在看似無害的檔案中:Word 文件、圖片元資料,甚至就藏在像素本身之中。 資料外洩防護(DLP)系統未能偵測到這些威脅,專家們也無從下手,整起事件彷彿是一場無解的隱形危機。OPSWATDeep CDR™ 技術填補了這項缺口,該技術能將檔案拆解為基本元件,並僅從必要的物件重新組建檔案。
「這個概念很簡單,其基礎在於『零信任』架構下,假設每個檔案都是可疑的,」OPSWAT 的網路安全架構師 Noam Gavish 表示。「Deep CDR™ 技術系統會將每個檔案拆解,僅保留其運作所需的元素,然後重新組建——與原始檔案完全相同,但已徹底清除所有惡意內容。 終端使用者對檔案的使用體驗完全不變,系統還能根據檔案類型及特定傳輸管道,客製化模組的運作行為。我們不試圖判斷檔案內容的好壞。若非必要元素——便不會被納入。」
為了說明這個邏輯,Gavish 提到 2001 年 9 月發生的炭疽襲擊事件 (9/11 事件後一週),當時有人將含有炭疽孢子的信件寄給美國多家媒體和兩位參議員,造成 5 人死亡,17 人受感染。「應用在我們的技術上 - 如果客戶收到寄來的信件,我們的系統就會在新的頁面上一字不漏地重新寫信 - 而不包括有人可能灑在信中的可疑白色粉末」。
所以您不檢查檔案是否有危險,反而假設它有危險,並且完全不讓它進入?
"沒錯。任何不必要的東西 - 即使我們無法解釋原因 - 都無法通過。我們不需要判斷它是否是惡意的。Gavish 強調。Gavish 強調:「我們的目標並非偵測,而是將攻擊面降至最低。即使威脅不顯現,也不會有機會。這是基於深刻的心理洞察力:人們害怕他們不瞭解的東西 - 我們也是這樣對待檔案的。這是一種生存機制。
平衡網路安全與資訊可用性
Gavish 所描述的技術——內容解除惡意與重建(Content Disarm and Reconstruction,簡稱 CDR)——雖非市場上的新技術,但OPSWAT 對其OPSWAT 強化,使其能處理高度複雜的檔案,包括壓縮檔、多媒體檔案以及含有執行中巨集的文件。這項擴展功能使該技術被命名為Deep CDR™ 技術。
儘管如此,Gavish 強調,Deep CDR™ 技術僅是完整平台中的其中一環,該平台旨在保護各組織——尤其是關鍵基礎設施——在所有資訊交換管道上的安全。這項防護始於電子郵件系統,延伸至連接終端設備的USB 並涵蓋內部系統介面。無論來源為何,每個檔案都會經過多層次的安全掃描。
隨著攻擊面的擴大,這一點變得越來越重要,尤其是在供應鏈攻擊中,駭客以第三方為攻擊目標,從而取得組織的存取權。駭客也會找出組織的弱點 - 例如人力資源部門,他們每天都會收到數十份履歷表,通常是 PDF 或圖片,背後還隱藏著完整的作業系統。人力資源團隊往往是 Office 檔案的最大接收者,但他們的網路安全意識卻往往最低。另一個弱點:可移除媒體,其中可能包含惡意軟體。
「我們並非僅依賴 Deep CDR™ 技術,因為沒有任何單一模組能解決所有挑戰,」Gavish 解釋道。 「在檔案進入 CDR 之前,它會先經過多個防毒引擎——視套件而定,數量超過 30 個。接著它會通過 Deep CDR™ 技術,然後進入OPSWAT Sandbox ,該系統會解碼檔案、分析程式碼,並判定該檔案在特定輸入下會執行什麼操作——或是可能執行什麼操作。」
其運作原則不在於依賴單一偵測機制,而是採用分層式安全防護:若防毒軟體未能偵測到某些威脅,Deep CDR™ 技術便會重建該檔案;若 Deep CDR™ 技術未移除任何可疑內容,或需要進一步釐清Sandbox 其行為。唯有當檔案被判定為完全無可疑之處時,才會允許其進入組織內部。
為了展示OPSWAT 綜合平台的強大功能,Gavish 將該公司的安全架構比喻為中世紀城堡——這些城堡透過多層防禦來消耗攻擊者的攻勢。 「在網路安全領域,關鍵在於防禦層次。就像一座城堡:首先是護城河,接著是鐵門、弓箭手,以及從高處傾瀉而下的滾燙熱油。Deep CDR™ 技術並非魔法——它只是城牆上的一塊磚。而沒有城牆的城堡,就稱不上是城堡。」
所以它既是一個技術組合,也是一個製程系列?
「是的,因為 Deep CDR™ 技術在某些方面表現優異,Sandbox 其他Sandbox ——兩者結合能提供全面防護。若單獨使用,則無法應對所有情境。例如,我們將 Deep CDR™ 技術與防毒掃描及Sandbox 結合Sandbox 偵測單一防護層可能漏檢的複雜攻擊。 我們提供的不僅是單點安全解決方案,而是一個多層次平台。我們打造的是環狀安全平台,而非孤立的屏障:多引擎掃描、行為分析,以及核心——Deep CDR™ 技術,它能無需詢問任何問題,便能乾淨俐落地重建每個檔案。」
該平台目前支援 190 種檔案類型 - DOC、PDF、ZIP、影像、音訊、視訊等 - 比業界標準高出一倍。它還可根據檔案路徑、組態和目的地量身打造安全層級。
"Gavish 表示:「防護涵蓋整個威脅範圍,但每個威脅都有其本質。"我們也不想停止資料流或延遲作業。我們的想法不是要封鎖世界,而是要以乾淨的方式重新引入世界 - 平衡安全性與可用性。就像從可能受到污染的溪流中飲水一樣 - 您使用淨化藥片,並在過程中放棄礦物質。但如果藥片更聰明,就能淨化並保存礦物質。這就是我們的目標 - 以原始結構傳送資料,去除隱藏的惡意內容 - 永遠根據您的需求進行客製化"。
保護每個組織入口點
OPSWAT 成立於 2002 年,其願景是保護關鍵基礎設施免受網路威脅,目前為 80 多個國家約 2,000 家客戶提供服務。公司在北美、歐洲(包括英國、德國、匈牙利、瑞士、羅馬尼亞、法國和西班牙)、亞洲(印度、日本、台灣、越南、新加坡和阿聯酋)等地設有辦事處。
在以色列,OPSWAT 為數百個領導組織提供網路安全解決方案。
Gavish 本人自 2007 年起即投入網路安全領域,在攻防兩端之間轉換。他一開始在國防產業工作,後來在網路公司擔任「紅隊」和「藍隊」的角色。OPSWAT 以保護重要基礎設施 (水、電、運輸及國防) 而聞名,但事實上,其網路安全平台適用於任何組織。
"我建議擴大「關鍵基礎設施」的定義。每個組織都有一些關鍵的東西。如果一家報社因為惡意軟體關閉印刷機而無法印刷,那就是一場災難。對他們而言,印刷機就是關鍵基礎架構。如果一家健康保險公司洩漏了敏感的客戶資料,那將是毀滅性的。在這種情況下,資料就是關鍵基礎設施。如果黑客破壞了電梯控制器 - 這是一個非常真實的情況 - 控制器就變成了關鍵。任何資料接觸點 - 入口或出口 - 都是潛在的風險,而我們已準備好保護它。我經常說:在防禦關鍵系統時,不要只想到網際網路 - 要想到每個可能的閘門。有時候,它不是伺服器或埠,而是 30 樓的後門。在這個世界上,您可以透過電子郵件或看似無辜的檔案受到攻擊 - 只有那些能從各個角度思考的人,才是真正準備就緒的人。OPSWAT的系統就是為此而建:保護端點、電子郵件伺服器、連接外部裝置的自助服務站,甚至是單向檔案傳輸系統 (Data Diode)。在這個連一個簡單的影像檔案都可能包含內嵌攻擊程式碼的世界中,將它分解並重建乾淨是非常合理的,而不是妄想症"。
與時並進,您使用 AI 的程度如何?
"AI "已成為時髦的流行詞,但OPSWAT 並非只是用來做秀,而是用在真正有幫助的地方。99% 宣稱使用 AI 的防毒引擎都是使用 ML - 機器學習。儘管如此,人工智慧非常擅長建立新的攻擊技術,因此分層防禦至關重要。我們不會僅依賴已知的簽名"。
然而,即使是分層安全也不是密不透風的。在網路安全方面,沒有 100% 的保護。
"正確 - 在OPSWAT,我們了解這一點。這就是為什麼我們的方法可以消除威脅,而不論這些威脅是否已被偵測、已知或列於任何資料庫中。攻擊者與防禦者之間的貓捉老鼠遊戲永遠不會結束 - 因此我們不會試圖以一種工具贏得遊戲。我們建造牆壁、大門、橋樑,並部署弓箭手。沒有百分之百,但有可以信賴的平台。
