Bài viết gốc được đăng trên tạp chí The Marker, Cyber.
Trong thời đại mà tin tặc ẩn giấu mã độc hại trong các pixel và siêu dữ liệu, OPSWAT sử dụng Deep CDR công nghệ phân tích mọi tệp thành các thành phần thô và xây dựng lại phiên bản hoàn toàn sạch. Noam Gavish, một kiến trúc sư an ninh mạng, giải thích lý do đằng sau công nghệ này và cách chúng tạo thành hệ thống phòng thủ nhiều lớp.
Tại một trong những tổ chức an ninh của Israel, nhóm an ninh mạng nội bộ bắt đầu dịch chuyển một cách khó khăn trên ghế của họ do một mối đe dọa từ một hướng bất ngờ. Mối quan tâm của họ không phải là về sự xâm nhập — mối đe dọa mạng phổ biến — mà là về những gì có thể bị rò rỉ , mà không bị phát hiện. Họ lo sợ rằng thông tin nhạy cảm — chẳng hạn như tên mã, vị trí và danh tính — có thể được ẩn bên trong các tệp có vẻ vô hại: tài liệu Word, siêu dữ liệu hình ảnh hoặc thậm chí trong chính các pixel. Các hệ thống DLP không phát hiện ra điều đó, các chuyên gia không biết phải tìm kiếm điều gì và tình hình giống như một mối đe dọa vô hình không có giải pháp. Khoảng cách đó đã được thu hẹp bởi OPSWAT 'S Deep CDR công nghệ phân chia tệp thành các thành phần thiết yếu và chỉ xây dựng lại từ các đối tượng cần thiết.
Noam Gavish, một kiến trúc sư an ninh mạng tại cho biết: “Ý tưởng này rất đơn giản và dựa trên giả định rằng mọi tệp đều đáng ngờ, theo phương pháp Zero Trust”. OPSWAT . “Các Deep CDR hệ thống phân tích từng tệp, chỉ giữ lại các thành phần cần thiết cho chức năng của nó và xây dựng lại nó — giống hệt với bản gốc, nhưng hoàn toàn sạch sẽ. Khả năng sử dụng tệp của người dùng cuối vẫn như vậy và hệ thống cho phép điều chỉnh hành vi của mô-đun dựa trên loại tệp và kênh cụ thể. Chúng tôi không cố gắng xác định xem một cái gì đó trong tệp là tốt hay xấu. Nếu nó không cần thiết — nó sẽ không được đưa vào.”
Để minh họa cho logic, Gavish nhắc đến vụ tấn công bằng Anthrax vào tháng 9 năm 2001 — một tuần sau vụ 11/9 — trong đó các lá thư chứa bào tử Anthrax được gửi đến nhiều cơ quan truyền thông Hoa Kỳ và hai thượng nghị sĩ, giết chết năm người và lây nhiễm cho 17 người khác. “Áp dụng vào công nghệ của chúng tôi — nếu một khách hàng nhận được một lá thư qua đường bưu điện, hệ thống của chúng tôi sẽ viết lại từng chữ một trên một trang mới — mà không bao gồm bột trắng đáng ngờ mà ai đó có thể đã rắc vào bên trong.”
Vậy thay vì kiểm tra xem một tập tin có nguy hiểm hay không, bạn lại cho rằng nó nguy hiểm và không cho nó vào?
“Chính xác. Bất cứ thứ gì không cần thiết — ngay cả khi chúng ta không thể giải thích tại sao — đơn giản là không vượt qua. Không cần phải xác định xem nó có độc hại hay không. Nếu không bắt buộc, nó sẽ bị loại trừ”, Gavish nhấn mạnh. “Mục tiêu không phải là phát hiện — mà là giảm thiểu bề mặt tấn công xuống mức tối thiểu tuyệt đối. Ngay cả khi mối đe dọa không nhìn thấy được, nó cũng không có cơ hội. Điều này dựa trên hiểu biết sâu sắc về mặt tâm lý: Mọi người sợ những gì họ không hiểu — và chúng ta xử lý các tệp theo cùng một cách. Đó là một loại cơ chế sinh tồn”.
Cân bằng giữa an ninh mạng và tính khả dụng của thông tin
Công nghệ mà Gavish mô tả — Content Disarm and Reconstruction , hay CDR — không phải là công nghệ mới trên thị trường, nhưng OPSWAT đã cải tiến nó để xử lý các tệp cực kỳ phức tạp, bao gồm các tệp lưu trữ, tệp phương tiện và tài liệu có macro đang hoạt động. Khả năng mở rộng này đã mang lại cho nó cái tên Deep CDR .
Tuy nhiên, Gavish nhấn mạnh rằng Deep CDR chỉ là một thành phần trong một nền tảng hoàn chỉnh được thiết kế để bảo vệ các tổ chức — đặc biệt là cơ sở hạ tầng trọng yếu — trên tất cả các kênh trao đổi thông tin. Điều này bắt đầu với hệ thống email, mở rộng đến USB thiết bị được kết nối với điểm cuối và bao gồm giao diện hệ thống nội bộ. Mọi tệp, từ bất kỳ nguồn nào, đều trải qua quá trình quét bảo mật nhiều lớp.
Điều này ngày càng quan trọng khi các bề mặt tấn công mở rộng, đặc biệt là với các cuộc tấn công chuỗi cung ứng , nơi tin tặc nhắm mục tiêu vào bên thứ ba để có quyền truy cập vào một tổ chức. Tin tặc cũng xác định các điểm yếu của tổ chức — ví dụ, phòng nhân sự, nơi nhận được hàng chục bản lý lịch hàng ngày, thường là dưới dạng PDF hoặc hình ảnh, với hệ điều hành đầy đủ ẩn sau chúng. Các nhóm nhân sự có xu hướng là những người tiếp nhận nhiều tệp Office nhất — nhưng thường có nhận thức về an ninh mạng thấp nhất. Một điểm yếu khác: phương tiện di động, có thể chứa phần mềm độc hại.
“Chúng tôi không chỉ dựa vào Deep CDR vì không có mô-đun đơn lẻ nào có thể giải quyết được mọi thách thức”, Gavish giải thích. “Trước khi một tệp đến CDR, nó phải trải qua nhiều công cụ diệt vi-rút — hơn 30, tùy thuộc vào gói. Sau đó, nó phải trải qua Deep CDR và bên cạnh OPSWAT 'S Sandbox hệ thống giải mã tệp, phân tích mã và xác định chức năng của nó — hoặc sẽ thực hiện — với dữ liệu đầu vào cụ thể.”
Nguyên tắc tổ chức không phải là dựa vào một cơ chế phát hiện duy nhất mà là bảo mật nhiều lớp: Nếu phần mềm diệt vi-rút bỏ sót điều gì đó, Deep CDR xây dựng lại tập tin. Nếu Deep CDR không xóa bỏ bất cứ điều gì đáng ngờ hoặc cần làm rõ thêm, Sandbox phân tích hành vi của nó. Chỉ khi không có gì được coi là đáng ngờ thì tệp mới được phép vào tổ chức.
Để chứng minh sức mạnh của OPSWAT Là một nền tảng toàn diện, Gavish so sánh kiến trúc bảo mật của công ty với các lâu đài thời trung cổ — sử dụng các lớp phòng thủ để đánh bại kẻ tấn công. “Trong an ninh mạng, tất cả đều là về các lớp. Giống như một lâu đài: đầu tiên là hào, sau đó là cổng sắt, cung thủ và dầu sôi đổ từ trên xuống. Deep CDR không phải là phép thuật — mà là một viên gạch nữa trong bức tường. Và một lâu đài không có tường thì không phải là lâu đài.”
Vậy thì đây vừa là sự kết hợp công nghệ vừa là một chuỗi quy trình?
“Vâng, bởi vì Deep CDR tốt cho một số thứ, Sandbox đối với những người khác — cùng nhau họ cung cấp phạm vi bảo hiểm đầy đủ. Riêng lẻ, họ không thể xử lý mọi tình huống. Ví dụ, chúng tôi kết hợp Deep CDR với quét vi-rút và Sandbox để phát hiện các cuộc tấn công tinh vi mà mỗi lớp riêng lẻ có thể bỏ sót. Chúng tôi không chỉ cung cấp giải pháp bảo mật điểm — mà là nền tảng nhiều lớp. Chúng tôi đã xây dựng một nền tảng bảo mật tuần hoàn, không phải là các rào cản riêng biệt: quét nhiều động cơ, phân tích hành vi và cốt lõi — Deep CDR công nghệ xây dựng lại từng tệp một cách sạch sẽ, mà không cần đặt câu hỏi.”
Nền tảng hiện hỗ trợ 190 loại tệp — DOC, PDF, ZIP, hình ảnh, âm thanh, video, v.v. — gấp đôi tiêu chuẩn của ngành. Nó cũng điều chỉnh mức độ bảo mật theo đường dẫn, cấu hình và đích của tệp.
“Bảo vệ bao trùm toàn bộ bối cảnh đe dọa, nhưng mỗi mối đe dọa đều có bản chất riêng”, Gavish nói. “Chúng tôi cũng không muốn dừng luồng dữ liệu hoặc trì hoãn các hoạt động. Ý tưởng không phải là chặn thế giới — mà là tái giới thiệu nó theo cách sạch sẽ — cân bằng giữa bảo mật và khả năng sử dụng. Giống như uống nước từ một dòng suối có khả năng bị ô nhiễm — bạn sử dụng một viên thuốc thanh lọc và từ bỏ khoáng chất trong quá trình này. Nhưng nếu viên thuốc thông minh hơn, nó có thể thanh lọc và bảo quản khoáng chất. Đó là mục tiêu của chúng tôi — cung cấp dữ liệu theo cấu trúc ban đầu, không có nội dung độc hại ẩn — luôn có thể tùy chỉnh theo nhu cầu của bạn”.
Bảo vệ mọi điểm vào của tổ chức
Được thành lập vào năm 2002 với tầm nhìn bảo vệ cơ sở hạ tầng trọng yếu từ các mối đe dọa mạng, OPSWAT hiện đang phục vụ khoảng 2.000 khách hàng tại hơn 80 quốc gia. Công ty có văn phòng tại Bắc Mỹ, Châu Âu (bao gồm Vương quốc Anh, Đức, Hungary, Thụy Sĩ, Romania, Pháp và Tây Ban Nha), Châu Á (Ấn Độ, Nhật Bản, Đài Loan, Việt Nam, Singapore và UAE) và nhiều nơi khác.
Ở Israel, OPSWAT cung cấp giải pháp an ninh mạng cho hàng trăm tổ chức hàng đầu.
Bản thân Gavish đã đắm mình vào an ninh mạng từ năm 2007, chuyển đổi giữa tấn công và phòng thủ. Ông bắt đầu trong ngành công nghiệp quốc phòng và sau đó làm việc ở cả hai vai trò "đội đỏ" và "đội xanh" tại các công ty mạng. OPSWAT nổi tiếng vì sự bảo vệ của nó cơ sở hạ tầng trọng yếu — nước, điện, giao thông và quốc phòng — nhưng trên thực tế, nền tảng an ninh mạng của nó phù hợp với bất kỳ tổ chức nào.
“Tôi đề nghị mở rộng định nghĩa của ' cơ sở hạ tầng trọng yếu .' Mọi tổ chức đều có một điều gì đó quan trọng. Nếu một tờ báo không thể in vì phần mềm độc hại làm máy in ngừng hoạt động — đó là một thảm họa. Đối với họ, máy in là cơ sở hạ tầng trọng yếu . Nếu một công ty bảo hiểm y tế rò rỉ dữ liệu khách hàng nhạy cảm — điều đó thật tàn khốc. Trong trường hợp đó, dữ liệu là cơ sở hạ tầng trọng yếu . Nếu tin tặc phá hỏng bộ điều khiển thang máy — một kịch bản rất thực tế — bộ điều khiển trở nên quan trọng. Bất kỳ điểm tiếp xúc nào cho dữ liệu — vào hoặc ra — đều là rủi ro tiềm ẩn và chúng tôi đã chuẩn bị để bảo vệ nó. Tôi luôn nói: khi bảo vệ các hệ thống quan trọng, đừng chỉ nghĩ đến internet — hãy nghĩ đến mọi cổng có thể. Đôi khi đó không phải là máy chủ hay cổng, mà là cửa sau ở tầng 30. Trong một thế giới mà bạn có thể bị tấn công thông qua một email hoặc một tệp có vẻ vô hại — chỉ những người suy nghĩ từ mọi góc độ mới thực sự sẵn sàng. OPSWAT Hệ thống của 'được xây dựng cho mục đích đó: bảo vệ các điểm cuối, máy chủ email, ki-ốt để kết nối các thiết bị bên ngoài và thậm chí cả hệ thống truyền tệp một chiều (Data Diode). Trong một thế giới mà ngay cả một tệp hình ảnh đơn giản cũng có thể chứa mã tấn công nhúng, việc phá vỡ nó và xây dựng lại nó một cách sạch sẽ là điều hoàn toàn hợp lý — không phải là hoang tưởng.”
Theo thời đại, bạn sử dụng AI nhiều đến mức nào?
“AI đã trở thành một từ thông dụng hợp thời, nhưng OPSWAT không sử dụng nó chỉ để trình diễn — chỉ khi nó thực sự hữu ích. 99% các công cụ diệt vi-rút tuyên bố sử dụng AI đều sử dụng ML — Học máy. Điều đó nói rằng, AI rất tuyệt vời trong việc xây dựng các kỹ thuật tấn công mới, vì vậy các biện pháp phòng thủ nhiều lớp là rất quan trọng. Chúng tôi không chỉ dựa vào các chữ ký đã biết.”
Tuy nhiên, ngay cả bảo mật nhiều lớp cũng không phải là tuyệt đối. Trong an ninh mạng, không có thứ gì gọi là bảo vệ 100%.
“Đúng — và tại OPSWAT , chúng tôi hiểu điều đó. Đó là lý do tại sao cách tiếp cận của chúng tôi vô hiệu hóa các mối đe dọa bất kể chúng có được phát hiện, biết đến hay được liệt kê trong bất kỳ cơ sở dữ liệu nào hay không. Trò chơi mèo vờn chuột giữa những kẻ tấn công và những người phòng thủ sẽ không bao giờ kết thúc — vì vậy chúng tôi không cố gắng giành chiến thắng bằng một công cụ. Chúng tôi xây dựng các bức tường, cổng, cầu và bố trí cung thủ. Không có 100%, nhưng có một nền tảng mà bạn có thể tin tưởng.”
