Bài viết gốc được đăng trên tạp chí The Marker, Cyber.
In an era where hackers conceal malicious code within pixels and metadata, OPSWAT utilizes Deep CDR™ Technology that deconstructs every file to its raw elements and rebuilds a completely clean version. Noam Gavish, a cybersecurity architect, explains the rationale behind the technology and together how they form a multi-layered defense system.
At one of Israel’s security organizations, the internal cybersecurity team began shifting uneasily in their seats due to a threat from an unexpected direction. Their concern wasn’t about infiltration — the common cyber threat — but rather about what might leak out, unnoticed. They feared that sensitive information — such as code names, locations, and identities — could be hidden inside seemingly innocent files: Word documents, image metadata, or even within the pixels themselves. DLP systems failed to detect it, experts didn’t know what to look for, and the situation felt like an invisible threat with no solution. That gap was bridged by OPSWAT’s Deep CDR™ Technology that breaks down the file to its essential components and rebuilds it from the necessary objects only.
“The idea is simple and based on the assumption that every file is suspicious, under the Zero Trust approach,” says Noam Gavish, a cybersecurity architect at OPSWAT. “The Deep CDR™ Technology system breaks down each file, retains only the elements necessary for its functionality, and rebuilds it — identical to the original, but completely clean. The end user’s ability to use the file remains the same, and the system allows tailoring the module's behavior based on file type and the specific channel. We don’t try to determine whether something in the file is good or bad. If it’s not essential — it doesn’t go in.”
Để minh họa cho logic, Gavish nhắc đến vụ tấn công bằng Anthrax vào tháng 9 năm 2001 — một tuần sau vụ 11/9 — trong đó các lá thư chứa bào tử Anthrax được gửi đến nhiều cơ quan truyền thông Hoa Kỳ và hai thượng nghị sĩ, giết chết năm người và lây nhiễm cho 17 người khác. “Áp dụng vào công nghệ của chúng tôi — nếu một khách hàng nhận được một lá thư qua đường bưu điện, hệ thống của chúng tôi sẽ viết lại từng chữ một trên một trang mới — mà không bao gồm bột trắng đáng ngờ mà ai đó có thể đã rắc vào bên trong.”
Vậy thay vì kiểm tra xem một tệp tin có nguy hiểm hay không, bạn lại cho rằng nó nguy hiểm và không cho nó vào?
“Chính xác. Bất cứ thứ gì không cần thiết — ngay cả khi chúng ta không thể giải thích tại sao — đơn giản là không vượt qua. Không cần phải xác định xem nó có độc hại hay không. Nếu không bắt buộc, nó sẽ bị loại trừ”, Gavish nhấn mạnh. “Mục tiêu không phải là phát hiện — mà là giảm thiểu bề mặt tấn công xuống mức tối thiểu tuyệt đối. Ngay cả khi mối đe dọa không nhìn thấy được, nó cũng không có cơ hội. Điều này dựa trên hiểu biết sâu sắc về mặt tâm lý: Mọi người sợ những gì họ không hiểu — và chúng ta xử lý các tệp theo cùng một cách. Đó là một loại cơ chế sinh tồn”.
Cân bằng giữa an ninh mạng và tính khả dụng của thông tin
The technology Gavish describes — Content Disarm and Reconstruction, or CDR — is not new to the market, but OPSWAT has enhanced it to handle highly complex files, including archives, media files, and documents with active macros. This expanded capability earned it the name Deep CDR™ Technology.
Still, Gavish emphasizes that Deep CDR™ Technology is just one component in a complete platform designed to protect organizations — especially critical infrastructure — across all information exchange channels. This begins with email systems, extends to USB devices connected to endpoints, and includes internal system interfaces. Every file, from any source, undergoes a multi-layered security scan.
Điều này ngày càng trọng yếu khi các bề mặt tấn công mở rộng, đặc biệt là với các cuộc tấn công chuỗi cung ứng , nơi tin tặc nhắm mục tiêu vào bên thứ ba để có quyền truy cập vào một tổ chức. Tin tặc cũng xác định các điểm yếu của tổ chức — ví dụ, phòng nhân sự, nơi nhận được hàng chục bản lý lịch hàng ngày, thường là dưới dạng PDF hoặc hình ảnh, với hệ điều hành đầy đủ ẩn sau chúng. Các nhóm nhân sự có xu hướng là những người tiếp nhận nhiều tệp Office nhất — nhưng thường có nhận thức về an ninh mạng thấp nhất. Một điểm yếu khác: phương tiện di động, có thể chứa mã độc.
“We don’t rely only on Deep CDR™ Technology because no single module can address all challenges,” Gavish explains. “Before a file reaches CDR, it goes through multiple antivirus engines — over 30, depending on the package. Then it passes through Deep CDR™ Technology, and next to OPSWAT’s Sandbox system, which decodes the file, analyzes the code, and determines what it does — or would do — with specific input.”
The organizing principle is not to rely on a single detection mechanism, but on layered security: If antivirus misses something, Deep CDR™ Technology rebuilds the file. If Deep CDR™ Technology removes nothing suspicious or further clarity is needed, Sandbox analyzes its behavior. Only if nothing is deemed suspicious is the file allowed into the organization.
To demonstrate the power of OPSWAT as a comprehensive platform, Gavish compares the company’s security architecture to medieval castles — which used layered defenses to wear down attackers. “In cybersecurity, it’s all about layers. Like a castle: first a moat, then an iron gate, archers, and boiling oil poured from above. Deep CDR™ Technology isn’t magic — it’s another brick in the wall. And a castle without walls isn’t a castle.”
Vậy thì đây vừa là sự kết hợp công nghệ vừa là một chuỗi quy trình?
“Yes, because Deep CDR™ Technology is good for some things, Sandbox for others — together they provide full coverage. Alone, they can’t handle every scenario. For example, we combine Deep CDR™ Technology with antivirus scans and Sandbox to detect sophisticated attacks that each layer alone might miss. We’re not just offering a point security solution — but a multi-layered platform. We’ve built a circular security platform, not isolated barriers: multi-engine scanning, behavioral analysis, and the core — Deep CDR™ Technology that rebuilds each file cleanly, without asking questions.”
Nền tảng hiện hỗ trợ 190 loại tệp — DOC, PDF, ZIP, hình ảnh, âm thanh, video, v.v. — gấp đôi tiêu chuẩn của ngành. Nó cũng điều chỉnh mức độ bảo mật theo đường dẫn, cấu hình và đích của tệp.
“Bảo vệ bao trùm toàn bộ bối cảnh đe dọa, nhưng mỗi mối đe dọa đều có bản chất riêng”, Gavish nói. “Chúng tôi cũng không muốn dừng luồng dữ liệu hoặc trì hoãn các hoạt động. Ý tưởng không phải là chặn thế giới — mà là tái giới thiệu nó theo cách sạch sẽ — cân bằng giữa bảo mật và khả năng sử dụng. Giống như uống nước từ một dòng suối có khả năng bị ô nhiễm — bạn sử dụng một viên thuốc thanh lọc và từ bỏ khoáng chất trong quá trình này. Nhưng nếu viên thuốc thông minh hơn, nó có thể thanh lọc và bảo quản khoáng chất. Đó là mục tiêu của chúng tôi — cung cấp dữ liệu theo cấu trúc ban đầu, không có nội dung độc hại ẩn — luôn có thể tùy chỉnh theo nhu cầu của bạn”.
Bảo vệ mọi điểm vào của tổ chức
Được thành lập vào năm 2002 với tầm nhìn bảo vệ cơ sở hạ tầng trọng yếu từ các mối đe dọa mạng, OPSWAT hiện đang phục vụ khoảng 2.000 khách hàng tại hơn 80 quốc gia. Công ty có văn phòng tại Bắc Mỹ, Châu Âu (bao gồm Vương quốc Anh, Đức, Hungary, Thụy Sĩ, Romania, Pháp và Tây Ban Nha), Châu Á (Ấn Độ, Nhật Bản, Đài Loan, Việt Nam, Singapore và UAE) và nhiều nơi khác.
Ở Israel, OPSWAT cung cấp giải pháp an ninh mạng cho hàng trăm tổ chức hàng đầu.
Bản thân Gavish đã đắm mình vào an ninh mạng từ năm 2007, chuyển đổi giữa tấn công và phòng thủ. Ông bắt đầu trong ngành công nghiệp quốc phòng và sau đó làm việc ở cả hai vai trò "đội đỏ" và "đội xanh" tại các doanh nghiệp mạng. OPSWAT nổi tiếng vì sự bảo vệ của nó cơ sở hạ tầng trọng yếu — nước, điện, giao thông và quốc phòng — nhưng trên thực tế, nền tảng an ninh mạng của nó phù hợp với bất kỳ tổ chức nào.
“Tôi đề nghị mở rộng định nghĩa của ' cơ sở hạ tầng trọng yếu .' Mọi tổ chức đều có một điều gì đó trọng yếu. Nếu một tờ báo không thể in vì mã độc làm máy in ngừng hoạt động — đó là một thảm họa. Đối với họ, máy in là cơ sở hạ tầng trọng yếu . Nếu một doanh nghiệp bảo hiểm y tế rò rỉ dữ liệu khách hàng nhạy cảm — điều đó thật tàn khốc. Trong trường hợp đó, dữ liệu là cơ sở hạ tầng trọng yếu . Nếu tin tặc phá hỏng bộ điều khiển thang máy — một kịch bản rất thực tế — bộ điều khiển trở nên trọng yếu. Bất kỳ điểm tiếp xúc nào cho dữ liệu — vào hoặc ra — đều là rủi ro tiềm ẩn và chúng tôi đã chuẩn bị để bảo vệ nó. Tôi luôn nói: khi bảo vệ các hệ thống trọng yếu, đừng chỉ nghĩ đến internet — hãy nghĩ đến mọi cổng có thể. Đôi khi đó không phải là máy chủ hay cổng, mà là cửa sau ở tầng 30. Trong một thế giới mà bạn có thể bị tấn công thông qua một email hoặc một tệp có vẻ vô hại — chỉ những người suy nghĩ từ mọi góc độ mới thực sự sẵn sàng. OPSWAT Hệ thống của 'được xây dựng cho mục đích đó: bảo vệ các thiết bị đầu cuối, máy chủ email, ki-ốt để kết nối các thiết bị bên ngoài và thậm chí cả hệ thống truyền tệp một chiều (Data Diode). Trong một thế giới mà ngay cả một tệp hình ảnh đơn giản cũng có thể chứa mã tấn công nhúng, việc phá vỡ nó và xây dựng lại nó một cách sạch sẽ là điều hoàn toàn hợp lý — không phải là hoang tưởng.”
Theo thời đại, bạn sử dụng AI nhiều đến mức nào?
“AI đã trở thành một từ thông dụng hợp thời, nhưng OPSWAT không sử dụng nó chỉ để trình diễn — chỉ khi nó thực sự hữu ích. 99% các công cụ diệt vi rút tuyên bố sử dụng AI đều sử dụng ML — Học máy. Điều đó nói rằng, AI rất tuyệt vời trong việc xây dựng các kỹ thuật tấn công mới, vì vậy các biện pháp phòng thủ nhiều lớp là rất trọng yếu. Chúng tôi không chỉ dựa vào các chữ ký đã biết.”
Tuy nhiên, ngay cả bảo mật nhiều lớp cũng không phải là tuyệt đối. Trong an ninh mạng, không có thứ gì gọi là bảo vệ 100%.
“Đúng — và tại OPSWAT , chúng tôi hiểu điều đó. Đó là lý do tại sao cách tiếp cận của chúng tôi vô hiệu hóa các mối đe dọa bất kể chúng có được phát hiện, biết đến hay được liệt kê trong bất kỳ cơ sở dữ liệu nào hay không. Trò chơi mèo vờn chuột giữa những kẻ tấn công và những người phòng thủ sẽ không bao giờ kết thúc — vì vậy chúng tôi không cố gắng giành chiến thắng bằng một công cụ. Chúng tôi xây dựng các bức tường, cổng, cầu và bố trí cung thủ. Không có 100%, nhưng có một nền tảng mà bạn có thể tin tưởng.”
