最初发表于《网络杂志》The Marker。
在黑客将恶意代码隐藏于像素和元数据之中的时代OPSWAT Deep CDR™ 技术,将每个文件分解为原始元素,并重建一个完全干净的版本。网络安全架构师诺姆·加维什(Noam Gavish)阐述了该技术背后的原理,并解释了这些技术如何共同构建起一个多层防御系统。
在以色列某安全机构内,内部网络安全团队因来自意想不到方向的威胁而开始坐立不安。他们担心的并非渗透——这种常见的网络威胁——而是那些可能在无人察觉的情况下泄露出去的信息。他们担心敏感信息——例如代号、位置和身份——可能隐藏在看似无害的文件中:Word文档、图像元数据,甚至直接隐藏在像素之中。 数据泄露防护(DLP)系统未能检测到这些威胁,专家们也无从下手,整个局面仿佛是一场无解的隐形危机。OPSWATCDR™技术填补了这一空白,该技术将文件分解为基本组件,并仅利用必要的对象将其重建。
“这个想法很简单,基于‘零信任’方法论中‘每个文件都是可疑的’这一假设OPSWAT 的网络安全架构师 Noam Gavish 表示。“Deep CDR™ 技术系统会将每个文件拆解,仅保留其功能所需的元素,然后重新构建——与原文件完全相同,但已彻底清除恶意内容。 终端用户对文件的使用体验保持不变,系统还能根据文件类型和具体传输通道来定制模块的行为。我们并不试图判断文件中的内容是好是坏。如果某部分非必要——它就不会被保留。”
为了说明其中的道理,加维什提到了 2001 年 9 月的炭疽袭击事件--911 事件发生一周后--在那次事件中,含有炭疽孢子的信件被寄给了美国多家媒体和两名参议员,造成 5 人死亡,17 人感染。"应用到我们的技术中--如果客户收到邮寄的信件,我们的系统会在新的一页上一字不差地重写信件--不包括有人可能撒在里面的可疑白色粉末"。
所以,你不是检查文件是否危险,而是假定它是危险的,根本不让它进入?
"没错。任何不必要的东西--即使我们无法解释原因--都不能通过。没有必要确定它是否是恶意的。如果不需要,就排除在外,"Gavish 强调说。"目标不是检测,而是将攻击面降到最低。即使威胁不可见,也不会有机会。这是基于深刻的心理洞察力:人们害怕他们不了解的东西,我们对待文件也是如此。这是一种生存机制。
平衡网络安全与信息可用性
加维什所描述的技术——内容解除武装与重建(CDR)——在市场上并非新鲜事物,OPSWAT 对其OPSWAT 增强,使其能够处理高度复杂的文件,包括压缩包、媒体文件以及包含活动宏的文档。这一扩展功能使其被命名为Deep CDR™技术。
尽管如此,加维什强调,Deep CDR™ 技术仅仅是完整平台中的一个组成部分,该平台旨在保护各类组织——尤其是关键基础设施——在所有信息交换渠道上的安全。这一保护范围始于电子邮件系统,延伸至连接终端设备的USB ,并涵盖内部系统接口。无论源自何处,每个文件都会经过多层安全扫描。
随着攻击面的扩大,这一点变得越来越重要,尤其是在供应链攻击中,黑客会以第三方为目标进入企业。黑客还会找出组织的薄弱点,例如,人力资源部门每天都会收到几十份简历,这些简历通常是 PDF 或图片,背后隐藏着完整的操作系统。人力资源团队往往是 Office 文件的最大接收者,但他们的网络安全意识往往最低。另一个薄弱点:可移动媒体,其中可能包含恶意软件。
“我们并不完全依赖 Deep CDR™ 技术,因为没有任何单一模块能够解决所有难题,”加维什解释道。 “在文件进入CDR之前,它会经过多个杀毒引擎的检测——具体数量超过30个,具体取决于软件包。随后,文件会通过Deep CDR™技术,接着OPSWAT Sandbox ,该系统会对文件进行解码、分析代码,并判断其在特定输入条件下会执行什么操作——或者本应执行什么操作。”
其核心原则并非依赖单一检测机制,而是采用分层安全防护:如果杀毒软件未能检测到某些威胁,Deep CDR™ 技术将重建该文件;如果 Deep CDR™ 技术未移除任何可疑内容,或需要进一步确认Sandbox 对其行为Sandbox 。只有当确认文件没有任何可疑之处时,才会允许其进入组织内部。
为了展示OPSWAT 综合平台的强大功能,加维什将该公司的安全架构比作中世纪城堡——后者通过多层防御来消耗攻击者的攻势。 “在网络安全领域,关键在于层级防御。就像一座城堡:先是护城河,接着是铁门、弓箭手,还有从高处倾泻而下的滚烫热油。Deep CDR™ 技术并非魔法——它只是城墙上的一块砖。而没有城墙的城堡,就称不上是城堡。”
因此,它既是一种技术组合,也是一个工艺系列?
“是的,因为 Deep CDR™ 技术在某些方面表现出色,Sandbox 另一些Sandbox ——二者结合才能实现全面防护。单独使用时,它们无法应对所有场景。例如,我们将 Deep CDR™ 技术与杀毒扫描及Sandbox 相结合Sandbox 检测到单个防护层可能遗漏的复杂攻击。 我们提供的不仅仅是一个点式安全解决方案,而是一个多层级平台。我们构建的是一个环形安全平台,而非孤立的屏障:多引擎扫描、行为分析,以及核心——Deep CDR™ 技术,它能干净利落地重建每个文件,无需多问。”
该平台目前支持 190 种文件类型,包括 DOC、PDF、ZIP、图像、音频、视频等,是行业标准的两倍。它还可根据文件路径、配置和目的地定制安全级别。
"Gavish 说:"保护范围涵盖整个威胁环境,但每种威胁都有其自身的性质。"我们也不想阻止数据流或延迟运行。我们的想法不是封锁世界,而是以一种干净的方式重新引入世界,同时兼顾安全性和可用性。就像饮用可能受到污染的溪水一样--你使用了净水药片,却在此过程中放弃了矿物质。但如果药片更聪明,它就能净化并保存矿物质。这就是我们的目标--以原始结构提供数据,去除隐藏的恶意内容--始终根据您的需求进行定制。
确保每个组织入口的安全
OPSWAT 成立于 2002 年,其愿景是保护关键基础设施免受网络威胁,目前为 80 多个国家的约 2000 家客户提供服务。公司在北美、欧洲(包括英国、德国、匈牙利、瑞士、罗马尼亚、法国和西班牙)、亚洲(印度、日本、台湾、越南、新加坡和阿联酋)等地设有办事处。
在以色列,OPSWAT 为数百家领先机构提供网络安全解决方案。
自 2007 年以来,Gavish 本人一直沉浸在网络安全领域,在进攻和防御之间转换。他最初在国防工业工作,后来在网络公司担任 "红队 "和 "蓝队 "的角色。OPSWAT 以保护关键基础设施(水、电、交通和国防)而闻名,但事实上,其网络安全平台适用于任何组织。
"我建议扩大'关键基础设施'的定义。每个组织都有关键的东西。如果一家报纸因为恶意软件关闭了印刷机而无法印刷,那就是一场灾难。对他们来说,印刷机就是关键基础设施。如果一家医疗保险公司泄露了敏感的客户数据,那将是毁灭性的。在这种情况下,数据就是关键基础设施。如果黑客破坏了电梯控制器(这是一个非常真实的场景),控制器就会变得至关重要。数据的任何接触点--入口或出口--都是潜在的风险,我们已经做好了保护数据的准备。我总是说:在保护关键系统时,不要只考虑互联网,要考虑每一个可能的关口。有时,它不是服务器或端口,而是 30 楼的后门。在这个世界上,你可以通过一封电子邮件或一个看似无辜的文件受到攻击,只有那些从各个角度考虑问题的人才能真正做好准备。OPSWAT系统就是为此而生:保护端点、电子邮件服务器、连接外部设备的自助终端,甚至单向文件传输系统(数据二极管)。在这个世界上,即使是一个简单的图像文件也可能包含嵌入式攻击代码,将其分解并重建干净是完全合理的,而不是妄想。
与时俱进,您使用人工智能的程度如何?
"人工智能已成为一个时髦的流行词,但OPSWAT 并不把人工智能当作摆设,而是将其用于真正有帮助的地方。99%声称使用人工智能的杀毒引擎都在使用 ML(机器学习)。也就是说,人工智能在构建新的攻击技术方面非常出色,因此分层防御至关重要。我们不能仅仅依靠已知签名"。
不过,即使是分层安全也不是密不透风的。在网络安全领域,不存在 100% 的保护。
"没错,在OPSWAT,我们明白这一点。这就是为什么我们的方法能够消除威胁,而不管它们是否被检测到、是否为已知或是否列在任何数据库中。攻击者和防御者之间的 "猫捉老鼠 "游戏永远不会结束,因此我们不会试图用一种工具来赢得这场游戏。我们建造城墙、城门、桥梁,并部署弓箭手。没有百分之百的成功,但有一个值得信赖的平台。
