Pubblicato originariamente su The Marker, Cyber Magazine.
In un'epoca in cui gli hacker nascondono codice dannoso all'interno dei pixel e dei metadati, OPSWAT la tecnologia Deep CDR™, che scompone ogni file nei suoi elementi grezzi e ne ricostruisce una versione completamente pulita. Noam Gavish, architetto di sicurezza informatica, spiega i principi alla base di questa tecnologia e come essa contribuisca a formare un sistema di difesa a più livelli.
In una delle organizzazioni di sicurezza israeliane, il team interno di sicurezza informatica ha iniziato a sentirsi a disagio a causa di una minaccia proveniente da una direzione inaspettata. La loro preoccupazione non riguardava le infiltrazioni — la tipica minaccia informatica — ma piuttosto ciò che avrebbe potuto trapelare, passando inosservato. Temevano che informazioni sensibili — come nomi in codice, ubicazioni e identità — potessero essere nascoste all’interno di file apparentemente innocui: documenti Word, metadati delle immagini o persino all’interno dei pixel stessi. I sistemi DLP non riuscivano a rilevarle, gli esperti non sapevano cosa cercare e la situazione sembrava una minaccia invisibile senza soluzione. Quel divario è stato colmato dalla tecnologia Deep CDR™ OPSWAT, che scompone il file nei suoi componenti essenziali e lo ricostruisce utilizzando solo gli oggetti necessari.
«L’idea è semplice e si basa sul presupposto che ogni file sia sospetto, secondo l’approccio Zero Trust», afferma Noam Gavish, architetto di sicurezza informatica presso OPSWAT. «Il sistema Deep CDR™ Technology scompone ogni file, conserva solo gli elementi necessari al suo funzionamento e lo ricostruisce: identico all’originale, ma completamente pulito. La possibilità per l’utente finale di utilizzare il file rimane la stessa e il sistema consente di personalizzare il comportamento del modulo in base al tipo di file e al canale specifico. Non cerchiamo di determinare se qualcosa nel file sia buono o cattivo. Se non è essenziale, non viene inserito.”
Per illustrare la logica, Gavish fa riferimento all'attacco all'antrace del settembre 2001, una settimana dopo l'11 settembre, durante il quale vennero inviate lettere contenenti spore di antrace a vari organi di informazione statunitensi e a due senatori, uccidendo cinque persone e infettandone altre 17. "Applicato alla nostra tecnologia, se un cliente riceve una lettera per posta, il nostro sistema la riscrive parola per parola su una nuova pagina, senza includere la polvere bianca sospetta che qualcuno potrebbe aver cosparso all'interno".
Quindi, invece di verificare se un file è pericoloso, si presume che lo sia e non lo si lascia entrare affatto?
"Esattamente. Tutto ciò che non è necessario - anche se non riusciamo a spiegarne il motivo - semplicemente non passa. Non c'è bisogno di determinare se è dannoso. Se non è necessario, viene escluso", sottolinea Gavish. "L'obiettivo non è il rilevamento, ma la riduzione della superficie di attacco al minimo assoluto. Anche se una minaccia non è visibile, non ha alcuna possibilità. Questo si basa su una profonda conoscenza psicologica: Le persone temono ciò che non capiscono e noi trattiamo i file allo stesso modo. È una sorta di meccanismo di sopravvivenza".
Bilanciare la sicurezza informatica e la disponibilità delle informazioni
La tecnologia descritta da Gavish — Content Disarm and Reconstruction, o CDR — non è una novità sul mercato, ma OPSWAT potenziata per gestire file estremamente complessi, tra cui archivi, file multimediali e documenti con macro attive. Questa funzionalità ampliata le è valsa il nome di Deep CDR™ Technology.
Tuttavia, Gavish sottolinea che la tecnologia Deep CDR™ è solo uno dei componenti di una piattaforma completa progettata per proteggere le organizzazioni — in particolare le infrastrutture critiche — su tutti i canali di scambio di informazioni. Ciò inizia dai sistemi di posta elettronica, si estende ai USB collegati agli endpoint e include le interfacce interne dei sistemi. Ogni file, indipendentemente dalla fonte, viene sottoposto a una scansione di sicurezza a più livelli.
Questo aspetto è sempre più importante con l'espandersi delle superfici di attacco, in particolare con gli attacchi alla supply chain, in cui gli hacker prendono di mira terze parti per ottenere l'accesso a un'organizzazione. Gli hacker identificano anche i punti deboli dell'organizzazione, come ad esempio i reparti delle risorse umane, che ricevono quotidianamente decine di curriculum, spesso in formato PDF o immagini, con sistemi operativi completi nascosti dietro di essi. I team delle risorse umane tendono ad essere i maggiori destinatari di file di Office, ma spesso hanno la più bassa consapevolezza della cybersicurezza. Un altro punto debole: i supporti rimovibili, che possono contenere malware.
«Non ci affidiamo esclusivamente alla tecnologia Deep CDR™, perché nessun modulo è in grado di affrontare da solo tutte le sfide», spiega Gavish. «Prima che un file raggiunga il CDR, passa attraverso diversi motori antivirus — oltre 30, a seconda del pacchetto. Successivamente passa attraverso la tecnologia Deep CDR™ e poi attraverso Sandbox OPSWAT, che decodifica il file, ne analizza il codice e determina cosa fa — o cosa farebbe — con un input specifico».
Il principio guida non è quello di affidarsi a un unico meccanismo di rilevamento, bensì a una sicurezza a più livelli: se l'antivirus non rileva qualcosa, la tecnologia Deep CDR™ ricostruisce il file. Se la tecnologia Deep CDR™ non individua nulla di sospetto o se occorre un ulteriore chiarimento, Sandbox ne Sandbox il comportamento. Solo se nulla viene ritenuto sospetto, il file viene ammesso all'interno dell'organizzazione.
Per dimostrare la potenza di OPSWAT piattaforma completa, Gavish paragona l’architettura di sicurezza dell’azienda ai castelli medievali, che utilizzavano difese a più livelli per sfinire gli assalitori. “Nella sicurezza informatica, tutto ruota attorno ai livelli. Proprio come un castello: prima un fossato, poi un cancello di ferro, gli arcieri e l’olio bollente versato dall’alto. La tecnologia Deep CDR™ non è magia: è un altro mattone nel muro. E un castello senza mura non è un castello.”
Quindi si tratta sia di una combinazione tecnologica che di una serie di processi?
«Sì, perché la tecnologia Deep CDR™ è efficace in alcuni casi, mentre Sandbox altri: insieme garantiscono una copertura completa. Da sole, non sono in grado di gestire ogni scenario. Ad esempio, combiniamo la tecnologia Deep CDR™ con le scansioni antivirus e Sandbox rilevare attacchi sofisticati che ogni singolo livello, da solo, potrebbe non individuare. Non offriamo solo una soluzione di sicurezza puntuale, ma una piattaforma a più livelli. Abbiamo creato una piattaforma di sicurezza circolare, non barriere isolate: scansione multi-motore, analisi comportamentale e il cuore della soluzione — la tecnologia Deep CDR™ che ricostruisce ogni file in modo pulito, senza fare domande.”
La piattaforma supporta attualmente 190 tipi di file (DOC, PDF, ZIP, immagini, audio, video e altro), raddoppiando lo standard del settore. Inoltre, adatta i livelli di sicurezza al percorso, alla configurazione e alla destinazione del file.
"La protezione copre l'intero panorama delle minacce, ma ogni minaccia ha una propria natura", spiega Gavish. "Inoltre, non vogliamo bloccare il flusso dei dati o ritardare le operazioni. L'idea non è quella di bloccare il mondo, ma di reintrodurlo in modo pulito, bilanciando sicurezza e disponibilità. È come bere da un ruscello potenzialmente contaminato: si usa una tavoletta di purificazione e si rinuncia ai minerali nel processo. Ma se la compressa fosse più intelligente, potrebbe purificare e conservare i minerali. Questo è il nostro obiettivo: fornire i dati nella loro struttura originale, senza i contenuti dannosi nascosti, sempre personalizzabili in base alle vostre esigenze".
Proteggere ogni punto di accesso all'organizzazione
Fondata nel 2002 con l'obiettivo di proteggere le infrastrutture critiche dalle minacce informatiche, OPSWAT serve oggi circa 2.000 clienti in oltre 80 Paesi. L'azienda ha uffici in Nord America, Europa (tra cui Regno Unito, Germania, Ungheria, Svizzera, Romania, Francia e Spagna), Asia (India, Giappone, Taiwan, Vietnam, Singapore ed Emirati Arabi) e altro ancora.
In Israele, OPSWAT fornisce soluzioni di cybersecurity a centinaia di organizzazioni leader.
Gavish stesso è immerso nella cybersecurity dal 2007, passando dall'attacco alla difesa. Ha iniziato nel settore della difesa e successivamente ha lavorato sia in ruoli di "red team" che di "blue team" presso aziende informatiche. OPSWAT è rinomata per la protezione delle infrastrutture critiche - acqua, elettricità, trasporti e difesa - ma in realtà la sua piattaforma di cybersecurity è adatta a qualsiasi organizzazione.
Suggerisco di ampliare la definizione di "infrastruttura critica". Ogni organizzazione ha qualcosa di critico. Se un giornale non può stampare perché un malware blocca le rotative, è un disastro. Per loro, le rotative sono un'infrastruttura critica. Se una compagnia di assicurazione sanitaria perde i dati sensibili dei clienti, è un disastro. In questo caso, i dati sono l'infrastruttura critica. Se un hacker interrompe il controllo di un ascensore - uno scenario molto reale - il controllo diventa critico. Qualsiasi punto di contatto con i dati, in entrata o in uscita, è un rischio potenziale e noi siamo pronti a proteggerlo. Dico sempre: quando difendete i sistemi critici, non pensate solo a Internet, ma a tutti i possibili gate. A volte non si tratta di un server o di una porta, ma di una porta secondaria al 30° piano. In un mondo in cui si può essere attaccati attraverso un'e-mail o un file apparentemente innocente, solo chi pensa da ogni angolazione è veramente pronto. Il sistema OPSWATè costruito per questo: proteggere endpoint, server di posta elettronica, chioschi per la connessione di dispositivi esterni e persino sistemi di trasferimento di file unidirezionali (Data Diode). In un mondo in cui anche un semplice file immagine può contenere codice di attacco incorporato, scomporlo e ricostruirlo in modo pulito ha perfettamente senso, non è paranoia".
Al passo con i tempi, quanto utilizzate l'IA?
"L'intelligenza artificiale è diventata una parola di moda, ma OPSWAT non la usa solo per fare scena, ma solo quando è veramente utile. Il 99% degli antivirus che dichiarano di utilizzare l'intelligenza artificiale utilizzano l'apprendimento automatico (ML). Detto questo, l'intelligenza artificiale è eccellente nel creare nuove tecniche di attacco, quindi le difese a strati sono fondamentali. Non ci affidiamo solo alle firme note".
Tuttavia, anche la sicurezza a più livelli non è a prova di bomba. Nella sicurezza informatica, non esiste una protezione al 100%.
"Esatto, e noi di OPSWAT lo capiamo. Ecco perché il nostro approccio neutralizza le minacce indipendentemente dal fatto che siano rilevate, conosciute o elencate in qualsiasi database. Il gioco del gatto e del topo tra attaccanti e difensori non finirà mai, quindi non cerchiamo di vincerlo con un solo strumento. Costruiamo muri, cancelli, ponti e posizioniamo gli arcieri. Non c'è il 100%, ma c'è una piattaforma di cui fidarsi".
