İlk olarak The Marker, Cyber Magazine'de yayınlanmıştır.
Hackerların kötü amaçlı kodları piksellerin ve meta verilerin içine gizlediği bir çağda, OPSWAT her dosyayı temel bileşenlerine ayıran ve tamamen temiz bir sürümünü yeniden oluşturan Deep CDR™ Teknolojisini OPSWAT . Siber güvenlik mimarı Noam Gavish, bu teknolojinin ardındaki mantığı açıklıyor ve bunların birlikte nasıl çok katmanlı bir savunma sistemi oluşturduğunu anlatıyor.
İsrail’deki bir güvenlik kuruluşunda, kurum içi siber güvenlik ekibi beklenmedik bir yönden gelen tehdit nedeniyle koltuklarında tedirgin bir şekilde kıpırdanmaya başladı. Endişeleri, yaygın bir siber tehdit olan sisteme sızma değil, fark edilmeden dışarı sızabilecek bilgilerdi. Kod adları, konumlar ve kimlikler gibi hassas bilgilerin, Word belgeleri, resim meta verileri veya hatta piksellerin içinde bile gizlenmiş olabileceğinden korkuyorlardı. DLP sistemleri bunu tespit edemedi, uzmanlar neyi aramaları gerektiğini bilmiyorlardı ve durum, çözümü olmayan görünmez bir tehdit gibi görünüyordu. Bu boşluk, dosyayı temel bileşenlerine ayıran ve yalnızca gerekli nesnelerden yeniden oluşturan OPSWATDeep CDR™ Teknolojisi ile dolduruldu.
OPSWAT siber güvenlik mimarı olarak görev yapan Noam Gavish, “Fikir basit ve ‘Sıfır Güven’ yaklaşımı çerçevesinde her dosyanın şüpheli olduğu varsayımına dayanıyor” diyor. “Deep CDR™ Teknolojisi sistemi, her dosyayı parçalara ayırıyor, işlevselliği için gerekli olan unsurları saklıyor ve dosyayı yeniden oluşturuyor — orijinaliyle aynı, ancak tamamen temiz bir şekilde. Son kullanıcının dosyayı kullanma yeteneği aynı kalır ve sistem, dosya türüne ve belirli kanala göre modülün davranışını özelleştirmeye izin verir. Dosyadaki bir şeyin iyi mi yoksa kötü mü olduğunu belirlemeye çalışmıyoruz. Eğer gerekli değilse — dosyaya girmez.”
Gavish mantığı açıklamak için Eylül 2001'de - 11 Eylül'den bir hafta sonra - çeşitli ABD medya kuruluşlarına ve iki senatöre şarbon sporları içeren mektupların gönderildiği, beş kişinin öldüğü ve 17 kişinin hastalandığı şarbon saldırısına atıfta bulunuyor. "Teknolojimize uygulandığında - bir müşteri postayla bir mektup alırsa, sistemimiz onu yeni bir sayfada kelimesi kelimesine yeniden yazar - birinin içine serpmiş olabileceği şüpheli beyaz tozu dahil etmeden."
Yani bir dosyanın tehlikeli olup olmadığını kontrol etmek yerine, tehlikeli olduğunu varsayıyor ve hiç girmesine izin vermiyor musunuz?
"Kesinlikle. Gereksiz herhangi bir şey - nedenini açıklayamasak bile - basitçe geçmez. Kötü niyetli olup olmadığını belirlemeye gerek yok. Gerekli değilse, hariç tutulur," diye vurguluyor Gavish. "Amaç tespit etmek değil - saldırı yüzeyini mutlak minimuma indirmektir. Bir tehdit görünür olmasa bile, hiç şansı yoktur. Bu derin bir psikolojik içgörüye dayanıyor: İnsanlar anlamadıkları şeylerden korkarlar - ve biz de dosyalara aynı şekilde davranırız. Bu bir tür hayatta kalma mekanizması."
Siber Güvenlik ve Bilgi Kullanılabilirliğinin Dengelenmesi
Gavish'in anlattığı teknoloji — İçerik Etkisizleştirme ve Yeniden Yapılandırma(CDR) — piyasada yeni bir teknoloji değildir, ancak OPSWAT bu teknolojiyi arşivler, medya dosyaları ve etkin makrolar içeren belgeler gibi son derece karmaşık dosyaları işleyebilecek şekilde OPSWAT . Bu genişletilmiş yetenek, teknolojiye Deep CDR™ Teknolojisi adını kazandırmıştır.
Yine de Gavish, Deep CDR™ Teknolojisinin, tüm bilgi alışverişi kanalları üzerinden kuruluşları — özellikle de kritik altyapıları — korumak üzere tasarlanmış kapsamlı bir platformun sadece bir bileşeni olduğunu vurguluyor. Bu süreç e-posta sistemleriyle başlıyor, uç noktalara bağlı USB kadar uzanıyor ve dahili sistem arayüzlerini de kapsıyor. Herhangi bir kaynaktan gelen her dosya, çok katmanlı bir güvenlik taramasından geçiyor.
Saldırı yüzeyleri genişledikçe, özellikle de bilgisayar korsanlarının bir kuruma erişim sağlamak için üçüncü tarafları hedef aldığı tedarik zinciri saldırılarında bu durum giderek daha önemli hale gelmektedir. Bilgisayar korsanları aynı zamanda kurumsal zayıf noktaları da tespit etmektedir - örneğin, her gün düzinelerce özgeçmiş alan İK departmanları, genellikle PDF veya resim olarak, arkalarına gizlenmiş tam işletim sistemleri ile. İK ekipleri Office dosyalarının en büyük alıcıları olma eğilimindedir - ancak genellikle en düşük siber güvenlik farkındalığına sahiptirler. Bir başka zayıf nokta: kötü amaçlı yazılım içerebilen çıkarılabilir medya.
“Sadece Deep CDR™ Teknolojisine güvenmiyoruz, çünkü tek bir modül tüm zorlukları çözemez,” diye açıklıyor Gavish. “Bir dosya CDR’ye ulaşmadan önce, pakete bağlı olarak 30’dan fazla antivirüs motorundan geçer. Ardından Deep CDR™ Teknolojisi’nden geçer ve daha sonra OPSWAT Sandbox ulaşır. Bu Sandbox dosyayı deşifre eder, kodu analiz eder ve belirli bir girdi ile ne yaptığını veya ne yapacağını belirler.”
Temel ilke, tek bir algılama mekanizmasına güvenmek değil, katmanlı güvenliktir: Antivirüs bir şeyi gözden kaçırırsa, Deep CDR™ Teknolojisi dosyayı yeniden oluşturur. Deep CDR™ Teknolojisi şüpheli hiçbir öğeyi kaldırmazsa veya daha fazla netlik gerekirse, Sandbox dosyayı davranış açısından Sandbox . Dosya, ancak hiçbir şeyin şüpheli bulunmaması durumunda kuruluşa kabul edilir.
OPSWAT kapsamlı bir platform OPSWAT gücünü ortaya koymak için Gavish, şirketin güvenlik mimarisini saldırganları yıpratmak için katmanlı savunma sistemleri kullanan ortaçağ kaleleriyle karşılaştırıyor. “Siber güvenlikte her şey katmanlarla ilgilidir. Tıpkı bir kale gibi: önce bir hendek, sonra demir bir kapı, okçular ve yukarıdan dökülen kaynar yağ. Deep CDR™ Teknolojisi sihir değildir — duvardaki bir başka tuğladır. Ve duvarları olmayan bir kale, kale değildir.”
Yani hem teknolojik bir kombinasyon hem de bir süreç serisi mi?
“Evet, çünkü Deep CDR™ Teknolojisi bazı durumlarda, Sandbox diğer Sandbox etkilidir — birlikte tam kapsam sağlarlar. Tek başlarına her senaryoyu ele alamazlar. Örneğin, her bir katmanın tek başına gözden kaçırabileceği sofistike saldırıları tespit etmek Sandbox Deep CDR™ Teknolojisini antivirüs taramaları ve Sandbox ile birleştiriyoruz. Sadece tek noktalı bir güvenlik çözümü sunmuyoruz, çok katmanlı bir platform sunuyoruz. İzole edilmiş bariyerler değil, döngüsel bir güvenlik platformu oluşturduk: çoklu motor tarama, davranış analizi ve her dosyayı sorgulamadan temiz bir şekilde yeniden oluşturan çekirdek Deep CDR™ Teknolojisi.”
Platform şu anda 190 dosya türünü (DOC, PDF, ZIP, resimler, ses, video ve daha fazlası) desteklemektedir - endüstri standardının iki katı. Ayrıca güvenlik seviyelerini dosyanın yoluna, yapılandırmasına ve hedefine göre uyarlıyor.
Gavish, "Koruma tüm tehdit ortamını kapsıyor, ancak her tehdidin kendine özgü bir yapısı var" diyor. "Ayrıca veri akışını durdurmak ya da operasyonları geciktirmek istemiyoruz. Buradaki fikir dünyayı engellemek değil, güvenlik ve kullanılabilirliği dengeleyerek temiz bir şekilde yeniden sunmaktır. Potansiyel olarak kirlenmiş bir akarsudan su içmek gibi - bir arıtma tableti kullanırsınız ve bu süreçte minerallerden vazgeçersiniz. Ancak tablet daha akıllı olsaydı, mineralleri arındırabilir ve koruyabilirdi. Bizim amacımız da bu - verileri orijinal yapısında, gizli kötü niyetli içerikten arındırılmış olarak sunmak - her zaman ihtiyaçlarınıza göre özelleştirilebilir."
Her Kurumsal Giriş Noktasının Güvenliğini Sağlama
2002 yılında kritik altyapıyı siber tehditlerden koruma vizyonuyla kurulan OPSWAT , bugün 80'den fazla ülkede yaklaşık 2.000 müşteriye hizmet vermektedir. Şirketin Kuzey Amerika, Avrupa (İngiltere, Almanya, Macaristan, İsviçre, Romanya, Fransa ve İspanya dahil), Asya (Hindistan, Japonya, Tayvan, Vietnam, Singapur ve BAE) ve daha birçok ülkede ofisleri bulunmaktadır.
OPSWAT , İsrail'de önde gelen yüzlerce kuruluşa siber güvenlik çözümleri sunmaktadır.
Gavish 2007'den bu yana siber güvenlik alanında çalışmakta ve saldırı ile savunma arasında gidip gelmektedir. İşe savunma sanayinde başlamış ve daha sonra siber firmalarda hem "kırmızı takım" hem de "mavi takım" rollerinde çalışmıştır. OPSWAT , su, elektrik, ulaşım ve savunma gibi kritik altyapıları korumasıyla tanınıyor ama aslında siber güvenlik platformu her kuruluş için uygun.
"Ben 'kritik altyapı' tanımının genişletilmesini öneriyorum. Her kuruluşun kritik bir şeyi vardır. Eğer bir gazete, kötü amaçlı yazılımlar baskı makinelerini kapattığı için baskı yapamıyorsa, bu bir felakettir. Onlar için baskı makineleri kritik altyapıdır. Bir sağlık sigortası şirketi hassas müşteri verilerini sızdırırsa bu yıkıcı bir durumdur. Bu durumda veriler kritik altyapıdır. Bir bilgisayar korsanı asansör kumandasını bozarsa - ki bu çok gerçek bir senaryodur - kumanda kritik hale gelir. Veri için herhangi bir temas noktası - giriş veya çıkış - potansiyel bir risktir ve biz bunu korumaya hazırız. Her zaman şunu söylerim: kritik sistemleri savunurken sadece interneti düşünmeyin - olası her kapıyı düşünün. Bazen bu bir sunucu ya da bağlantı noktası değil, 30. kattaki bir arka kapı olabilir. Bir e-posta ya da masum görünen bir dosya aracılığıyla saldırıya uğrayabileceğiniz bir dünyada, yalnızca her açıdan düşünenler gerçekten hazırdır. OPSWAT'ın sistemi bunun için tasarlanmıştır: uç noktaları, e-posta sunucularını, harici cihazları bağlamak için kioskları ve hatta tek yönlü dosya aktarım sistemlerini (Data Diode) korumak. Basit bir görüntü dosyasının bile gömülü saldırı kodu içerebileceği bir dünyada, onu parçalayıp temiz bir şekilde yeniden oluşturmak paranoya değil, mükemmel bir anlam ifade ediyor."
Zamana uygun olarak, yapay zekayı ne kadar kullanıyorsunuz?
"Yapay zeka moda bir sözcük haline geldi, ancak OPSWAT bunu sadece gösteriş için kullanmıyor - sadece gerçekten yardımcı olduğu yerlerde kullanıyor. Yapay zeka kullandığını iddia eden antivirüs motorlarının %99'u ML - Makine Öğrenimi kullanıyor. Bununla birlikte, yapay zeka yeni saldırı teknikleri oluşturmada mükemmeldir, bu nedenle katmanlı savunmalar kritik öneme sahiptir. Yalnızca bilinen imzalara güvenmiyoruz."
Yine de, katmanlı güvenlik bile hava geçirmez değildir. Siber güvenlikte %100 koruma diye bir şey yoktur.
"Doğru - ve OPSWAT olarak biz bunu anlıyoruz. Bu nedenle yaklaşımımız tehditlerin tespit edilip edilmediğine, bilinip bilinmediğine ya da herhangi bir veritabanında listelenip listelenmediğine bakmaksızın onları etkisiz hale getirir. Saldırganlar ve savunmacılar arasındaki kedi-fare oyunu asla bitmeyecek - bu yüzden tek bir araçla kazanmaya çalışmıyoruz. Duvarlar, kapılar, köprüler inşa ediyor ve okçuları yerleştiriyoruz. 100 yok ama güvenebileceğiniz bir platform var."
