İlk olarak The Marker, Cyber Magazine'de yayınlanmıştır.
Bilgisayar korsanlarının kötü amaçlı kodları pikseller ve meta veriler içinde gizlediği bir çağda OPSWAT , her dosyayı ham öğelerine ayıran ve tamamen temiz bir sürümü yeniden oluşturan Deep CDR teknolojisini kullanıyor. Bir siber güvenlik mimarı olan Noam Gavish, teknolojinin arkasındaki mantığı ve birlikte nasıl çok katmanlı bir savunma sistemi oluşturduklarını açıklıyor.
İsrail'in güvenlik kuruluşlarından birinde, şirket içi siber güvenlik ekibi beklenmedik bir yönden gelen bir tehdit nedeniyle koltuklarında huzursuzca kaymaya başladı. Endişeleri genel siber tehdit olan sızma değil, fark edilmeden dışarı sızabilecek bilgilerdi. Kod adları, konumlar ve kimlikler gibi hassas bilgilerin masum görünen dosyaların içine gizlenebileceğinden korkuyorlardı: Word belgeleri, resim meta verileri ve hatta piksellerin kendi içlerinde. DLP sistemleri bunu tespit edemiyordu, uzmanlar neye bakacaklarını bilmiyordu ve bu durum çözümü olmayan görünmez bir tehdit gibi hissediliyordu. Bu boşluk, dosyayı temel bileşenlerine ayıran ve yalnızca gerekli nesnelerden yeniden oluşturan OPSWAT'ın Deep CDR teknolojisi ile kapatıldı.
OPSWAT'ta siber güvenlik mimarı olan Noam Gavish, "Fikir basit ve Sıfır Güven yaklaşımı altında her dosyanın şüpheli olduğu varsayımına dayanıyor" diyor. " Deep CDR sistemi her dosyayı parçalara ayırır, yalnızca işlevselliği için gerekli unsurları korur ve orijinaliyle aynı, ancak tamamen temiz bir şekilde yeniden oluşturur. Son kullanıcının dosyayı kullanma becerisi aynı kalır ve sistem, modülün davranışını dosya türüne ve belirli kanala göre uyarlamaya izin verir. Dosyadaki bir şeyin iyi ya da kötü olup olmadığını belirlemeye çalışmıyoruz. Eğer gerekli değilse dosyaya girmiyor."
Gavish mantığı açıklamak için Eylül 2001'de - 11 Eylül'den bir hafta sonra - çeşitli ABD medya kuruluşlarına ve iki senatöre şarbon sporları içeren mektupların gönderildiği, beş kişinin öldüğü ve 17 kişinin hastalandığı şarbon saldırısına atıfta bulunuyor. "Teknolojimize uygulandığında - bir müşteri postayla bir mektup alırsa, sistemimiz onu yeni bir sayfada kelimesi kelimesine yeniden yazar - birinin içine serpmiş olabileceği şüpheli beyaz tozu dahil etmeden."
Yani bir dosyanın tehlikeli olup olmadığını kontrol etmek yerine, tehlikeli olduğunu varsayıyor ve hiç girmesine izin vermiyor musunuz?
"Kesinlikle. Gereksiz herhangi bir şey - nedenini açıklayamasak bile - basitçe geçmez. Kötü niyetli olup olmadığını belirlemeye gerek yok. Gerekli değilse, hariç tutulur," diye vurguluyor Gavish. "Amaç tespit etmek değil - saldırı yüzeyini mutlak minimuma indirmektir. Bir tehdit görünür olmasa bile, hiç şansı yoktur. Bu derin bir psikolojik içgörüye dayanıyor: İnsanlar anlamadıkları şeylerden korkarlar - ve biz de dosyalara aynı şekilde davranırız. Bu bir tür hayatta kalma mekanizması."
Siber Güvenlik ve Bilgi Kullanılabilirliğinin Dengelenmesi
Gavish' in tanımladığı teknoloji ( Content Disarm and Reconstruction ya da CDR) piyasada yeni değil, ancak OPSWAT bu teknolojiyi arşivler, medya dosyaları ve aktif makrolar içeren belgeler gibi son derece karmaşık dosyaları işleyecek şekilde geliştirdi. Bu genişletilmiş kabiliyet ona şu ismi kazandırdı Deep CDR.
Yine de Gavish, Deep CDR 'ın tüm bilgi alışverişi kanallarında kuruluşları - özellikle de kritik altyapıları - korumak için tasarlanmış eksiksiz bir platformun sadece bir bileşeni olduğunu vurguluyor. Bu, e-posta sistemleriyle başlar, uç noktalara bağlı USB cihazlarına kadar uzanır ve dahili sistem arayüzlerini içerir. Herhangi bir kaynaktan gelen her dosya çok katmanlı bir güvenlik taramasından geçirilir.
Saldırı yüzeyleri genişledikçe, özellikle de bilgisayar korsanlarının bir kuruma erişim sağlamak için üçüncü tarafları hedef aldığı tedarik zinciri saldırılarında bu durum giderek daha önemli hale gelmektedir. Bilgisayar korsanları aynı zamanda kurumsal zayıf noktaları da tespit etmektedir - örneğin, her gün düzinelerce özgeçmiş alan İK departmanları, genellikle PDF veya resim olarak, arkalarına gizlenmiş tam işletim sistemleri ile. İK ekipleri Office dosyalarının en büyük alıcıları olma eğilimindedir - ancak genellikle en düşük siber güvenlik farkındalığına sahiptirler. Bir başka zayıf nokta: kötü amaçlı yazılım içerebilen çıkarılabilir medya.
Gavish, "Sadece Deep CDR 'ye güvenmiyoruz çünkü tek bir modül tüm zorlukların üstesinden gelemez," diye açıklıyor. "Bir dosya CDR'ye ulaşmadan önce birden fazla antivirüs motorundan geçiyor - pakete bağlı olarak 30'dan fazla. Daha sonra Deep CDR'den ve OPSWAT'ın Sandbox sisteminden geçerek dosyanın kodunu çözer, kodu analiz eder ve belirli bir girdi ile ne yaptığını veya yapacağını belirler."
Düzenleme ilkesi tek bir tespit mekanizmasına değil, katmanlı güvenliğe dayanmaktır: Antivirüs bir şeyi gözden kaçırırsa, Deep CDR dosyayı yeniden oluşturur. Deep CDR şüpheli bir şey bulamazsa veya daha fazla açıklığa ihtiyaç duyulursa Sandbox dosyanın davranışını analiz eder. Yalnızca hiçbir şey şüpheli görülmezse dosyanın kuruluşa girmesine izin verilir.
Gavish, OPSWAT 'in kapsamlı bir platform olarak gücünü göstermek için şirketin güvenlik mimarisini, saldırganları yıpratmak için katmanlı savunmalar kullanan ortaçağ kalelerine benzetiyor. "Siber güvenlikte her şey katmanlarla ilgilidir. Bir kale gibi: önce bir hendek, sonra demir bir kapı, okçular ve yukarıdan dökülen kaynar yağ. Deep CDR sihir değildir - duvardaki bir başka tuğladır. Ve duvarları olmayan bir kale, kale değildir."
Yani hem teknolojik bir kombinasyon hem de bir süreç serisi mi?
"Evet, çünkü Deep CDR bazı şeyler için iyidir, Sandbox ise diğerleri için - birlikte tam kapsam sağlarlar. Tek başlarına her senaryonun üstesinden gelemezler. Örneğin, her katmanın tek başına gözden kaçırabileceği karmaşık saldırıları tespit etmek için Deep CDR 'yi antivirüs taramaları ve Sandbox ile birleştiriyoruz. Biz sadece noktasal bir güvenlik çözümü değil, çok katmanlı bir platform sunuyoruz. İzole bariyerler değil, dairesel bir güvenlik platformu oluşturduk: çok motorlu tarama, davranışsal analiz ve çekirdek - her dosyayı soru sormadan temiz bir şekilde yeniden oluşturan Deep CDR teknolojisi."
Platform şu anda 190 dosya türünü (DOC, PDF, ZIP, resimler, ses, video ve daha fazlası) desteklemektedir - endüstri standardının iki katı. Ayrıca güvenlik seviyelerini dosyanın yoluna, yapılandırmasına ve hedefine göre uyarlıyor.
Gavish, "Koruma tüm tehdit ortamını kapsıyor, ancak her tehdidin kendine özgü bir yapısı var" diyor. "Ayrıca veri akışını durdurmak ya da operasyonları geciktirmek istemiyoruz. Buradaki fikir dünyayı engellemek değil, güvenlik ve kullanılabilirliği dengeleyerek temiz bir şekilde yeniden sunmaktır. Potansiyel olarak kirlenmiş bir akarsudan su içmek gibi - bir arıtma tableti kullanırsınız ve bu süreçte minerallerden vazgeçersiniz. Ancak tablet daha akıllı olsaydı, mineralleri arındırabilir ve koruyabilirdi. Bizim amacımız da bu - verileri orijinal yapısında, gizli kötü niyetli içerikten arındırılmış olarak sunmak - her zaman ihtiyaçlarınıza göre özelleştirilebilir."
Her Kurumsal Giriş Noktasının Güvenliğini Sağlama
2002 yılında kritik altyapıyı siber tehditlerden koruma vizyonuyla kurulan OPSWAT , bugün 80'den fazla ülkede yaklaşık 2.000 müşteriye hizmet vermektedir. Şirketin Kuzey Amerika, Avrupa (İngiltere, Almanya, Macaristan, İsviçre, Romanya, Fransa ve İspanya dahil), Asya (Hindistan, Japonya, Tayvan, Vietnam, Singapur ve BAE) ve daha birçok ülkede ofisleri bulunmaktadır.
OPSWAT , İsrail'de önde gelen yüzlerce kuruluşa siber güvenlik çözümleri sunmaktadır.
Gavish 2007'den bu yana siber güvenlik alanında çalışmakta ve saldırı ile savunma arasında gidip gelmektedir. İşe savunma sanayinde başlamış ve daha sonra siber firmalarda hem "kırmızı takım" hem de "mavi takım" rollerinde çalışmıştır. OPSWAT , su, elektrik, ulaşım ve savunma gibi kritik altyapıları korumasıyla tanınıyor ama aslında siber güvenlik platformu her kuruluş için uygun.
"Ben 'kritik altyapı' tanımının genişletilmesini öneriyorum. Her kuruluşun kritik bir şeyi vardır. Eğer bir gazete, kötü amaçlı yazılımlar baskı makinelerini kapattığı için baskı yapamıyorsa, bu bir felakettir. Onlar için baskı makineleri kritik altyapıdır. Bir sağlık sigortası şirketi hassas müşteri verilerini sızdırırsa bu yıkıcı bir durumdur. Bu durumda veriler kritik altyapıdır. Bir bilgisayar korsanı asansör kumandasını bozarsa - ki bu çok gerçek bir senaryodur - kumanda kritik hale gelir. Veri için herhangi bir temas noktası - giriş veya çıkış - potansiyel bir risktir ve biz bunu korumaya hazırız. Her zaman şunu söylerim: kritik sistemleri savunurken sadece interneti düşünmeyin - olası her kapıyı düşünün. Bazen bu bir sunucu ya da bağlantı noktası değil, 30. kattaki bir arka kapı olabilir. Bir e-posta ya da masum görünen bir dosya aracılığıyla saldırıya uğrayabileceğiniz bir dünyada, yalnızca her açıdan düşünenler gerçekten hazırdır. OPSWAT'ın sistemi bunun için tasarlanmıştır: uç noktaları, e-posta sunucularını, harici cihazları bağlamak için kioskları ve hatta tek yönlü dosya aktarım sistemlerini (Data Diode) korumak. Basit bir görüntü dosyasının bile gömülü saldırı kodu içerebileceği bir dünyada, onu parçalayıp temiz bir şekilde yeniden oluşturmak paranoya değil, mükemmel bir anlam ifade ediyor."
Zamana uygun olarak, yapay zekayı ne kadar kullanıyorsunuz?
"Yapay zeka moda bir sözcük haline geldi, ancak OPSWAT bunu sadece gösteriş için kullanmıyor - sadece gerçekten yardımcı olduğu yerlerde kullanıyor. Yapay zeka kullandığını iddia eden antivirüs motorlarının %99'u ML - Makine Öğrenimi kullanıyor. Bununla birlikte, yapay zeka yeni saldırı teknikleri oluşturmada mükemmeldir, bu nedenle katmanlı savunmalar kritik öneme sahiptir. Yalnızca bilinen imzalara güvenmiyoruz."
Yine de, katmanlı güvenlik bile hava geçirmez değildir. Siber güvenlikte %100 koruma diye bir şey yoktur.
"Doğru - ve OPSWAT olarak biz bunu anlıyoruz. Bu nedenle yaklaşımımız tehditlerin tespit edilip edilmediğine, bilinip bilinmediğine ya da herhangi bir veritabanında listelenip listelenmediğine bakmaksızın onları etkisiz hale getirir. Saldırganlar ve savunmacılar arasındaki kedi-fare oyunu asla bitmeyecek - bu yüzden tek bir araçla kazanmaya çalışmıyoruz. Duvarlar, kapılar, köprüler inşa ediyor ve okçuları yerleştiriyoruz. 100 yok ama güvenebileceğiniz bir platform var."
