Bài viết gốc được đăng trên tạp chí The Marker, Cyber.
Trong bối cảnh các hacker ngày càng tinh vi khi giấu mã độc trong các pixel và dữ liệu meta, OPSWAT công nghệ Deep CDR™ để phân tích từng tệp tin thành các thành phần cơ bản nhất và tái tạo lại một phiên bản hoàn toàn sạch sẽ. Noam Gavish, một kiến trúc sư an ninh mạng, giải thích cơ sở lý luận đằng sau công nghệ này và cách chúng cùng nhau tạo nên một hệ thống phòng thủ đa lớp.
Tại một tổ chức an ninh của Israel, đội ngũ an ninh mạng nội bộ bắt đầu cảm thấy lo lắng trước một mối đe dọa đến từ một hướng hoàn toàn bất ngờ. Nỗi lo của họ không phải là việc bị xâm nhập — mối đe dọa mạng phổ biến — mà là những thông tin nhạy cảm có thể bị rò rỉ ra ngoài mà không ai hay biết. Họ lo ngại rằng những thông tin nhạy cảm — như tên mã, vị trí và danh tính — có thể được ẩn giấu bên trong những tệp tin trông có vẻ vô hại: tài liệu Word, siêu dữ liệu hình ảnh, hoặc thậm chí ngay trong chính các điểm ảnh. Các hệ thống DLP không thể phát hiện ra điều này, các chuyên gia không biết phải tìm kiếm điều gì, và tình huống này giống như một mối đe dọa vô hình mà không có giải pháp. Khoảng trống đó đã được lấp đầy bởi Công nghệ Deep CDR™ OPSWAT, công nghệ này phân tách tệp tin thành các thành phần thiết yếu và tái tạo lại tệp tin chỉ từ các đối tượng cần thiết.
“Ý tưởng này rất đơn giản và dựa trên giả định rằng mọi tệp đều đáng ngờ, theo phương pháp Zero Trust,” Noam Gavish, kiến trúc sư an ninh mạng tại OPSWAT, cho biết. “Hệ thống công nghệ Deep CDR™ phân tích từng tệp, chỉ giữ lại những yếu tố cần thiết cho chức năng của tệp và tái tạo lại tệp đó — giống hệt bản gốc, nhưng hoàn toàn sạch sẽ. Khả năng sử dụng tệp của người dùng cuối vẫn giữ nguyên, và hệ thống cho phép điều chỉnh hành vi của mô đun dựa trên loại tệp và kênh cụ thể. Chúng tôi không cố gắng xác định xem nội dung trong tệp là tốt hay xấu. Nếu nó không cần thiết — nó sẽ không được đưa vào.”
Để minh họa cho logic, Gavish nhắc đến vụ tấn công bằng Anthrax vào tháng 9 năm 2001 — một tuần sau vụ 11/9 — trong đó các lá thư chứa bào tử Anthrax được gửi đến nhiều cơ quan truyền thông Hoa Kỳ và hai thượng nghị sĩ, giết chết năm người và lây nhiễm cho 17 người khác. “Áp dụng vào công nghệ của chúng tôi — nếu một khách hàng nhận được một lá thư qua đường bưu điện, hệ thống của chúng tôi sẽ viết lại từng chữ một trên một trang mới — mà không bao gồm bột trắng đáng ngờ mà ai đó có thể đã rắc vào bên trong.”
Vậy thay vì kiểm tra xem một tệp tin có nguy hiểm hay không, bạn lại cho rằng nó nguy hiểm và không cho nó vào?
“Chính xác. Bất cứ thứ gì không cần thiết — ngay cả khi chúng ta không thể giải thích tại sao — đơn giản là không vượt qua. Không cần phải xác định xem nó có độc hại hay không. Nếu không bắt buộc, nó sẽ bị loại trừ”, Gavish nhấn mạnh. “Mục tiêu không phải là phát hiện — mà là giảm thiểu bề mặt tấn công xuống mức tối thiểu tuyệt đối. Ngay cả khi mối đe dọa không nhìn thấy được, nó cũng không có cơ hội. Điều này dựa trên hiểu biết sâu sắc về mặt tâm lý: Mọi người sợ những gì họ không hiểu — và chúng ta xử lý các tệp theo cùng một cách. Đó là một loại cơ chế sinh tồn”.
Cân bằng giữa an ninh mạng và tính khả dụng của thông tin
Công nghệ mà Gavish mô tả — Content Disarm and Reconstruction(CDR) — không phải là điều mới mẻ trên thị trường, nhưng OPSWAT cải tiến công nghệ này để xử lý các tệp tin có độ phức tạp cao, bao gồm các tệp nén, tệp đa phương tiện và tài liệu có chứa macro đang hoạt động. Khả năng mở rộng này đã giúp công nghệ này được đặt tên là Deep CDR™ Technology.
Tuy nhiên, ông Gavish nhấn mạnh rằng Công nghệ Deep CDR™ chỉ là một thành phần trong nền tảng toàn diện được thiết kế để bảo vệ các tổ chức — đặc biệt cơ sở hạ tầng trọng yếu trên tất cả các kênh trao đổi thông tin. Quá trình này bắt đầu từ các hệ thống email, mở rộng sang USB kết nối với các thiết bị đầu cuối và bao gồm cả các giao diện hệ thống nội bộ. Mọi tệp tin, bất kể nguồn gốc từ đâu, đều phải trải qua quá trình quét bảo mật nhiều lớp.
Điều này ngày càng trọng yếu khi các bề mặt tấn công mở rộng, đặc biệt là với các cuộc tấn công chuỗi cung ứng , nơi tin tặc nhắm mục tiêu vào bên thứ ba để có quyền truy cập vào một tổ chức. Tin tặc cũng xác định các điểm yếu của tổ chức — ví dụ, phòng nhân sự, nơi nhận được hàng chục bản lý lịch hàng ngày, thường là dưới dạng PDF hoặc hình ảnh, với hệ điều hành đầy đủ ẩn sau chúng. Các nhóm nhân sự có xu hướng là những người tiếp nhận nhiều tệp Office nhất — nhưng thường có nhận thức về an ninh mạng thấp nhất. Một điểm yếu khác: thiết bị lưu trữ di động, có thể chứa mã độc.
“Chúng tôi không chỉ dựa vào Công nghệ Deep CDR™ vì không có mô đun nào có thể giải quyết được tất cả các thách thức,” Gavish giải thích. “Trước khi một tệp đến CDR, nó sẽ đi qua nhiều công cụ chống vi-rút — hơn 30 công cụ, tùy thuộc vào gói phần mềm. Sau đó, tệp này đi qua công nghệ Deep CDR™, rồi đến Sandbox OPSWAT, nơi giải mã tệp, phân tích mã và xác định những gì tệp này làm — hoặc sẽ làm — với đầu vào cụ thể.”
Nguyên tắc tổ chức không phải là dựa vào một cơ chế phát hiện duy nhất, mà là dựa vào hệ thống bảo mật nhiều lớp: Nếu phần mềm diệt virus bỏ sót điều gì đó, Công nghệ Deep CDR™ sẽ tái tạo lại tệp tin. Nếu Công nghệ Deep CDR™ không loại bỏ được bất kỳ yếu tố đáng ngờ nào hoặc cần làm rõ thêm, Sandbox hành vi của tệp tin. Chỉ khi tệp tin được xác định là không có gì đáng ngờ, nó mới được phép truy cập vào hệ thống của tổ chức.
Để minh họa sức mạnh của OPSWAT một nền tảng toàn diện, Gavish so sánh kiến trúc bảo mật của công ty với những lâu đài thời Trung Cổ — vốn sử dụng hệ thống phòng thủ nhiều lớp để làm suy yếu kẻ tấn công. “Trong lĩnh vực an ninh mạng, mọi thứ đều xoay quanh các lớp bảo vệ. Giống như một lâu đài: đầu tiên là hào nước, sau đó là cổng sắt, cung thủ, và dầu sôi được đổ từ trên cao. Công nghệ Deep CDR™ không phải là phép thuật — nó chỉ là một viên gạch trong bức tường. Và một lâu đài không có tường thì không phải là lâu đài.”
Vậy thì đây vừa là sự kết hợp công nghệ vừa là một chuỗi quy trình?
“Đúng vậy, bởi vì Công nghệ Deep CDR™ phù hợp với một số tình huống, Sandbox những tình huống khác — khi kết hợp lại, chúng mang lại khả năng bảo vệ toàn diện. Nếu chỉ sử dụng riêng lẻ, chúng không thể xử lý mọi tình huống. Ví dụ, chúng tôi kết hợp Công nghệ Deep CDR™ với quét chống virus và Sandbox phát hiện các cuộc tấn công tinh vi mà mỗi lớp bảo vệ riêng lẻ có thể bỏ sót. Chúng tôi không chỉ cung cấp một giải pháp bảo mật đơn lẻ — mà là một nền tảng đa lớp. Chúng tôi đã xây dựng một nền tảng bảo mật tuần hoàn, không phải là những rào cản cô lập: quét đa động cơ, phân tích hành vi và cốt lõi — Công nghệ Deep CDR™ giúp tái tạo từng tệp một cách sạch sẽ, mà không cần đặt câu hỏi.”
Nền tảng hiện hỗ trợ 190 loại tệp — DOC, PDF, ZIP, hình ảnh, âm thanh, video, v.v. — gấp đôi tiêu chuẩn của ngành. Nó cũng điều chỉnh mức độ bảo mật theo đường dẫn, cấu hình và đích của tệp.
“Bảo vệ bao trùm toàn bộ bối cảnh đe dọa, nhưng mỗi mối đe dọa đều có bản chất riêng”, Gavish nói. “Chúng tôi cũng không muốn dừng luồng dữ liệu hoặc trì hoãn các hoạt động. Ý tưởng không phải là chặn thế giới — mà là tái giới thiệu nó theo cách sạch sẽ — cân bằng giữa bảo mật và khả năng sử dụng. Giống như uống nước từ một dòng suối có khả năng bị ô nhiễm — bạn sử dụng một viên thuốc thanh lọc và từ bỏ khoáng chất trong quá trình này. Nhưng nếu viên thuốc thông minh hơn, nó có thể thanh lọc và bảo quản khoáng chất. Đó là mục tiêu của chúng tôi — cung cấp dữ liệu theo cấu trúc ban đầu, không có nội dung độc hại ẩn — luôn có thể tùy chỉnh theo nhu cầu của bạn”.
Bảo vệ mọi điểm vào của tổ chức
Được thành lập vào năm 2002 với tầm nhìn bảo vệ cơ sở hạ tầng trọng yếu từ các mối đe dọa mạng, OPSWAT hiện đang phục vụ khoảng 2.000 khách hàng tại hơn 80 quốc gia. Công ty có văn phòng tại Bắc Mỹ, Châu Âu (bao gồm Vương quốc Anh, Đức, Hungary, Thụy Sĩ, Romania, Pháp và Tây Ban Nha), Châu Á (Ấn Độ, Nhật Bản, Đài Loan, Việt Nam, Singapore và UAE) và nhiều nơi khác.
Ở Israel, OPSWAT cung cấp giải pháp an ninh mạng cho hàng trăm tổ chức hàng đầu.
Bản thân Gavish đã đắm mình vào an ninh mạng từ năm 2007, chuyển đổi giữa tấn công và phòng thủ. Ông bắt đầu trong ngành công nghiệp quốc phòng và sau đó làm việc ở cả hai vai trò "đội đỏ" và "đội xanh" tại các doanh nghiệp mạng. OPSWAT nổi tiếng vì sự bảo vệ của nó cơ sở hạ tầng trọng yếu — nước, điện, giao thông và quốc phòng — nhưng trên thực tế, nền tảng an ninh mạng của nó phù hợp với bất kỳ tổ chức nào.
“Tôi đề nghị mở rộng định nghĩa của ' cơ sở hạ tầng trọng yếu .' Mọi tổ chức đều có một điều gì đó trọng yếu. Nếu một tờ báo không thể in vì mã độc làm máy in ngừng hoạt động — đó là một thảm họa. Đối với họ, máy in là cơ sở hạ tầng trọng yếu . Nếu một doanh nghiệp bảo hiểm y tế rò rỉ dữ liệu khách hàng nhạy cảm — điều đó thật tàn khốc. Trong trường hợp đó, dữ liệu là cơ sở hạ tầng trọng yếu . Nếu tin tặc phá hỏng bộ điều khiển thang máy — một kịch bản rất thực tế — bộ điều khiển trở nên trọng yếu. Bất kỳ điểm tiếp xúc nào cho dữ liệu — vào hoặc ra — đều là rủi ro tiềm ẩn và chúng tôi đã chuẩn bị để bảo vệ nó. Tôi luôn nói: khi bảo vệ các hệ thống trọng yếu, đừng chỉ nghĩ đến internet — hãy nghĩ đến mọi cổng có thể. Đôi khi đó không phải là máy chủ hay cổng, mà là cửa sau ở tầng 30. Trong một thế giới mà bạn có thể bị tấn công thông qua một email hoặc một tệp có vẻ vô hại — chỉ những người suy nghĩ từ mọi góc độ mới thực sự sẵn sàng. OPSWAT Hệ thống của 'được xây dựng cho mục đích đó: bảo vệ các thiết bị đầu cuối, máy chủ email, ki-ốt để kết nối các thiết bị bên ngoài và thậm chí cả hệ thống truyền tệp một chiều (Data Diode). Trong một thế giới mà ngay cả một tệp hình ảnh đơn giản cũng có thể chứa mã tấn công nhúng, việc phá vỡ nó và xây dựng lại nó một cách sạch sẽ là điều hoàn toàn hợp lý — không phải là hoang tưởng.”
Theo thời đại, bạn sử dụng AI nhiều đến mức nào?
“AI đã trở thành một từ thông dụng hợp thời, nhưng OPSWAT không sử dụng nó chỉ để trình diễn — chỉ khi nó thực sự hữu ích. 99% các công cụ diệt vi rút tuyên bố sử dụng AI đều sử dụng ML — Học máy. Điều đó nói rằng, AI rất tuyệt vời trong việc xây dựng các kỹ thuật tấn công mới, vì vậy các biện pháp phòng thủ nhiều lớp là rất trọng yếu. Chúng tôi không chỉ dựa vào các chữ ký đã biết.”
Tuy nhiên, ngay cả bảo mật nhiều lớp cũng không phải là tuyệt đối. Trong an ninh mạng, không có thứ gì gọi là bảo vệ 100%.
“Đúng — và tại OPSWAT , chúng tôi hiểu điều đó. Đó là lý do tại sao cách tiếp cận của chúng tôi vô hiệu hóa các mối đe dọa bất kể chúng có được phát hiện, biết đến hay được liệt kê trong bất kỳ cơ sở dữ liệu nào hay không. Trò chơi mèo vờn chuột giữa những kẻ tấn công và những người phòng thủ sẽ không bao giờ kết thúc — vì vậy chúng tôi không cố gắng giành chiến thắng bằng một công cụ. Chúng tôi xây dựng các bức tường, cổng, cầu và bố trí cung thủ. Không có 100%, nhưng có một nền tảng mà bạn có thể tin tưởng.”
