最初发表于《网络杂志》The Marker。
在黑客将恶意代码隐藏在像素和元数据中的时代,OPSWAT 利用Deep CDR 技术将每个文件解构为原始元素,并重建一个完全干净的版本。网络安全架构师诺姆-加维什(Noam Gavish)解释了这项技术背后的原理,并介绍了它们是如何形成多层防御系统的。
在以色列的一家安全机构中,内部网络安全团队由于受到来自意外方向的威胁而开始不安地坐立不安。他们担心的不是常见的网络威胁--渗透,而是可能在不经意间泄露的信息。他们担心敏感信息(如代号、位置和身份)可能隐藏在看似无害的文件中:Word 文档、图像元数据,甚至像素本身。DLP 系统无法检测到这些信息,专家们也不知道应该查找什么,这种情况就像是一种无形的威胁,没有任何解决方案。OPSWAT的Deep CDR 技术弥补了这一缺陷,该技术可将文件分解为基本组件,并仅从必要对象重建文件。
"OPSWAT 的网络安全架构师 Noam Gavish 说:"这个想法很简单,它基于这样一个假设,即在零信任方法下,每个文件都是可疑的。"Deep CDR 系统会分解每个文件,只保留其功能所需的元素,然后重建文件--与原始文件相同,但完全干净。最终用户使用文件的能力保持不变,而且系统可以根据文件类型和特定通道定制模块行为。我们不会去判断文件中的内容是好是坏。如果不是必需的,就不会输入。
为了说明其中的道理,加维什提到了 2001 年 9 月的炭疽袭击事件--911 事件发生一周后--在那次事件中,含有炭疽孢子的信件被寄给了美国多家媒体和两名参议员,造成 5 人死亡,17 人感染。"应用到我们的技术中--如果客户收到邮寄的信件,我们的系统会在新的一页上一字不差地重写信件--不包括有人可能撒在里面的可疑白色粉末"。
所以,你不是检查文件是否危险,而是假定它是危险的,根本不让它进入?
"没错。任何不必要的东西--即使我们无法解释原因--都不能通过。没有必要确定它是否是恶意的。如果不需要,就排除在外,"Gavish 强调说。"目标不是检测,而是将攻击面降到最低。即使威胁不可见,也不会有机会。这是基于深刻的心理洞察力:人们害怕他们不了解的东西,我们对待文件也是如此。这是一种生存机制。
平衡网络安全与信息可用性
Gavish 所描述的技术--内容解除和重构(或称 CDR)--在市场上并不新鲜,但OPSWAT 对其进行了改进,以处理高度复杂的文件,包括档案、媒体文件和带有活动宏的文档。这一扩展功能为它赢得了以下名称 Deep CDR.
不过,Gavish 强调说,Deep CDR 只是一个完整平台中的一个组成部分,该平台旨在通过所有信息交换渠道保护组织(尤其是关键基础设施)。这从电子邮件系统开始,延伸到连接到终端的USB 设备,还包括内部系统接口。来自任何来源的每个文件都要经过多层次的安全扫描。
随着攻击面的扩大,这一点变得越来越重要,尤其是在供应链攻击中,黑客会以第三方为目标进入企业。黑客还会找出组织的薄弱点,例如,人力资源部门每天都会收到几十份简历,这些简历通常是 PDF 或图片,背后隐藏着完整的操作系统。人力资源团队往往是 Office 文件的最大接收者,但他们的网络安全意识往往最低。另一个薄弱点:可移动媒体,其中可能包含恶意软件。
"Gavish 解释说:"我们并不只依赖于Deep CDR ,因为没有一个模块可以应对所有挑战。"在文件到达 CDR 之前,它会经过多个防病毒引擎--根据软件包的不同有 30 多个。然后通过Deep CDR,接着进入OPSWAT的Sandbox 系统,该系统会对文件进行解码、分析代码,并确定文件在特定输入情况下会做什么或会做什么。
其组织原则是不依赖单一的检测机制,而是采用分层安全机制:如果杀毒软件漏掉了什么,Deep CDR 就会重建文件。如果Deep CDR 没有发现可疑之处或需要进一步澄清,Sandbox 会分析其行为。只有在没有可疑之处的情况下,才允许文件进入组织。
为了证明OPSWAT 作为一个综合平台的威力,Gavish 将公司的安全架构比作中世纪的城堡--城堡使用分层防御来击溃攻击者。"在网络安全中,最重要的就是分层。就像一座城堡:首先是护城河,然后是铁门、弓箭手和从上面浇下的沸油。Deep CDR 并不神奇,它只是城墙上的另一块砖。没有城墙的城堡不是城堡"。
因此,它既是一种技术组合,也是一个工艺系列?
"是的,因为Deep CDR 适合某些情况,Sandbox 适合其他情况--它们一起提供了全面的覆盖。单独使用它们无法应对所有情况。例如,我们将Deep CDR 与防病毒扫描和Sandbox 结合起来,可以检测到每一层都可能漏掉的复杂攻击。我们提供的不仅仅是一个点安全解决方案,而是一个多层次平台。我们建立的是一个循环安全平台,而不是孤立的壁垒:多引擎扫描、行为分析以及核心--Deep CDR 技术,该技术可以干净利落地重建每个文件,而无需提出问题。
该平台目前支持 190 种文件类型,包括 DOC、PDF、ZIP、图像、音频、视频等,是行业标准的两倍。它还可根据文件路径、配置和目的地定制安全级别。
"Gavish 说:"保护范围涵盖整个威胁环境,但每种威胁都有其自身的性质。"我们也不想阻止数据流或延迟运行。我们的想法不是封锁世界,而是以一种干净的方式重新引入世界,同时兼顾安全性和可用性。就像饮用可能受到污染的溪水一样--你使用了净水药片,却在此过程中放弃了矿物质。但如果药片更聪明,它就能净化并保存矿物质。这就是我们的目标--以原始结构提供数据,去除隐藏的恶意内容--始终根据您的需求进行定制。
确保每个组织入口的安全
OPSWAT 成立于 2002 年,其愿景是保护关键基础设施免受网络威胁,目前为 80 多个国家的约 2000 家客户提供服务。公司在北美、欧洲(包括英国、德国、匈牙利、瑞士、罗马尼亚、法国和西班牙)、亚洲(印度、日本、台湾、越南、新加坡和阿联酋)等地设有办事处。
在以色列,OPSWAT 为数百家领先机构提供网络安全解决方案。
自 2007 年以来,Gavish 本人一直沉浸在网络安全领域,在进攻和防御之间转换。他最初在国防工业工作,后来在网络公司担任 "红队 "和 "蓝队 "的角色。OPSWAT 以保护关键基础设施(水、电、交通和国防)而闻名,但事实上,其网络安全平台适用于任何组织。
"我建议扩大'关键基础设施'的定义。每个组织都有关键的东西。如果一家报纸因为恶意软件关闭了印刷机而无法印刷,那就是一场灾难。对他们来说,印刷机就是关键基础设施。如果一家医疗保险公司泄露了敏感的客户数据,那将是毁灭性的。在这种情况下,数据就是关键基础设施。如果黑客破坏了电梯控制器(这是一个非常真实的场景),控制器就会变得至关重要。数据的任何接触点--入口或出口--都是潜在的风险,我们已经做好了保护数据的准备。我总是说:在保护关键系统时,不要只考虑互联网,要考虑每一个可能的关口。有时,它不是服务器或端口,而是 30 楼的后门。在这个世界上,你可以通过一封电子邮件或一个看似无辜的文件受到攻击,只有那些从各个角度考虑问题的人才能真正做好准备。OPSWAT系统就是为此而生:保护端点、电子邮件服务器、连接外部设备的自助终端,甚至单向文件传输系统(数据二极管)。在这个世界上,即使是一个简单的图像文件也可能包含嵌入式攻击代码,将其分解并重建干净是完全合理的,而不是妄想。
与时俱进,您使用人工智能的程度如何?
"人工智能已成为一个时髦的流行词,但OPSWAT 并不把人工智能当作摆设,而是将其用于真正有帮助的地方。99%声称使用人工智能的杀毒引擎都在使用 ML(机器学习)。也就是说,人工智能在构建新的攻击技术方面非常出色,因此分层防御至关重要。我们不能仅仅依靠已知签名"。
不过,即使是分层安全也不是密不透风的。在网络安全领域,不存在 100% 的保护。
"没错,在OPSWAT,我们明白这一点。这就是为什么我们的方法能够消除威胁,而不管它们是否被检测到、是否为已知或是否列在任何数据库中。攻击者和防御者之间的 "猫捉老鼠 "游戏永远不会结束,因此我们不会试图用一种工具来赢得这场游戏。我们建造城墙、城门、桥梁,并部署弓箭手。没有百分之百的成功,但有一个值得信赖的平台。
