Pubblicato originariamente su The Marker, Cyber Magazine.
In un'epoca in cui gli hacker nascondono codice dannoso all'interno di pixel e metadati, OPSWAT utilizza la tecnologia Deep CDR che decostruisce ogni file fino ai suoi elementi grezzi e ne ricostruisce una versione completamente pulita. Noam Gavish, architetto della cybersecurity, spiega le motivazioni alla base di questa tecnologia e spiega insieme come si forma un sistema di difesa a più livelli.
In una delle organizzazioni israeliane che si occupano di sicurezza, il team interno di cybersecurity ha iniziato a muoversi con disagio sulle proprie poltrone a causa di una minaccia proveniente da una direzione inaspettata. La loro preoccupazione non era l'infiltrazione - la minaccia informatica comune - ma piuttosto ciò che poteva trapelare, inosservato. Temevano che informazioni sensibili, come nomi in codice, luoghi e identità, potessero essere nascoste all'interno di file apparentemente innocenti: documenti di Word, metadati di immagini o persino all'interno dei pixel stessi. I sistemi DLP non riuscivano a rilevarle, gli esperti non sapevano cosa cercare e la situazione sembrava una minaccia invisibile senza soluzione. Questa lacuna è stata colmata dalla tecnologia Deep CDR di OPSWAT, che scompone il file nei suoi componenti essenziali e lo ricostruisce solo a partire dagli oggetti necessari.
"L'idea è semplice e si basa sul presupposto che ogni file sia sospetto, secondo l'approccio Zero Trust", spiega Noam Gavish, architetto della sicurezza informatica presso OPSWAT. "Il sistema Deep CDR scompone ogni file, conserva solo gli elementi necessari alla sua funzionalità e lo ricostruisce, identico all'originale, ma completamente pulito. La capacità dell'utente finale di utilizzare il file rimane invariata e il sistema consente di personalizzare il comportamento del modulo in base al tipo di file e al canale specifico. Non cerchiamo di determinare se qualcosa nel file sia buono o cattivo. Se non è essenziale, non viene inserito".
Per illustrare la logica, Gavish fa riferimento all'attacco all'antrace del settembre 2001, una settimana dopo l'11 settembre, durante il quale vennero inviate lettere contenenti spore di antrace a vari organi di informazione statunitensi e a due senatori, uccidendo cinque persone e infettandone altre 17. "Applicato alla nostra tecnologia, se un cliente riceve una lettera per posta, il nostro sistema la riscrive parola per parola su una nuova pagina, senza includere la polvere bianca sospetta che qualcuno potrebbe aver cosparso all'interno".
Quindi, invece di verificare se un file è pericoloso, si presume che lo sia e non lo si lascia entrare affatto?
"Esattamente. Tutto ciò che non è necessario - anche se non riusciamo a spiegarne il motivo - semplicemente non passa. Non c'è bisogno di determinare se è dannoso. Se non è necessario, viene escluso", sottolinea Gavish. "L'obiettivo non è il rilevamento, ma la riduzione della superficie di attacco al minimo assoluto. Anche se una minaccia non è visibile, non ha alcuna possibilità. Questo si basa su una profonda conoscenza psicologica: Le persone temono ciò che non capiscono e noi trattiamo i file allo stesso modo. È una sorta di meccanismo di sopravvivenza".
Bilanciare la sicurezza informatica e la disponibilità delle informazioni
La tecnologia descritta da Gavish - Content Disarm and Reconstruction, o CDR - non è nuova sul mercato, ma OPSWAT l'ha migliorata per gestire file molto complessi, tra cui archivi, file multimediali e documenti con macro attive. Questa capacità ampliata gli è valsa il nome di Deep CDR.
Tuttavia, Gavish sottolinea che Deep CDR è solo un componente di una piattaforma completa progettata per proteggere le organizzazioni, in particolare le infrastrutture critiche, attraverso tutti i canali di scambio delle informazioni. Questo inizia con i sistemi di posta elettronica, si estende ai dispositivi USB collegati agli endpoint e include le interfacce interne dei sistemi. Ogni file, da qualsiasi fonte, viene sottoposto a una scansione di sicurezza a più livelli.
Questo aspetto è sempre più importante con l'espandersi delle superfici di attacco, in particolare con gli attacchi alla supply chain, in cui gli hacker prendono di mira terze parti per ottenere l'accesso a un'organizzazione. Gli hacker identificano anche i punti deboli dell'organizzazione, come ad esempio i reparti delle risorse umane, che ricevono quotidianamente decine di curriculum, spesso in formato PDF o immagini, con sistemi operativi completi nascosti dietro di essi. I team delle risorse umane tendono ad essere i maggiori destinatari di file di Office, ma spesso hanno la più bassa consapevolezza della cybersicurezza. Un altro punto debole: i supporti rimovibili, che possono contenere malware.
"Non ci affidiamo solo a Deep CDR perché nessun modulo può affrontare tutte le sfide", spiega Gavish. "Prima che un file raggiunga il CDR, passa attraverso diversi motori antivirus - oltre 30, a seconda del pacchetto. Poi passa attraverso Deep CDR e quindi al sistema Sandbox di OPSWAT, che decodifica il file, analizza il codice e determina cosa fa o farebbe con un input specifico".
Il principio organizzativo è quello di non affidarsi a un singolo meccanismo di rilevamento, ma a una sicurezza stratificata: Se all'antivirus sfugge qualcosa, Deep CDR ricostruisce il file. Se Deep CDR non rimuove nulla di sospetto o sono necessari ulteriori chiarimenti, Sandbox analizza il suo comportamento. Solo se nulla è ritenuto sospetto, il file viene ammesso nell'organizzazione.
Per dimostrare la potenza di OPSWAT come piattaforma completa, Gavish paragona l'architettura di sicurezza dell'azienda a quella dei castelli medievali, che utilizzavano difese a strati per mettere in ginocchio gli aggressori. "Nella cybersecurity è tutta una questione di livelli. Come in un castello: prima il fossato, poi il cancello di ferro, gli arcieri e l'olio bollente versato dall'alto. Deep CDR non è una magia, è un altro mattone nel muro. E un castello senza mura non è un castello".
Quindi si tratta sia di una combinazione tecnologica che di una serie di processi?
"Sì, perché Deep CDR va bene per alcune cose, il Sandbox per altre: insieme forniscono una copertura completa. Da soli non possono gestire tutti gli scenari. Ad esempio, combiniamo il Deep CDR con le scansioni antivirus e Sandbox per rilevare attacchi sofisticati che ogni livello da solo potrebbe ignorare. Non offriamo solo una soluzione di sicurezza puntuale, ma una piattaforma a più livelli. Abbiamo costruito una piattaforma di sicurezza circolare, non barriere isolate: scansione multi-motore, analisi comportamentale e il cuore della tecnologia Deep CDR che ricostruisce ogni file in modo pulito, senza fare domande".
La piattaforma supporta attualmente 190 tipi di file (DOC, PDF, ZIP, immagini, audio, video e altro), raddoppiando lo standard del settore. Inoltre, adatta i livelli di sicurezza al percorso, alla configurazione e alla destinazione del file.
"La protezione copre l'intero panorama delle minacce, ma ogni minaccia ha una propria natura", spiega Gavish. "Inoltre, non vogliamo bloccare il flusso dei dati o ritardare le operazioni. L'idea non è quella di bloccare il mondo, ma di reintrodurlo in modo pulito, bilanciando sicurezza e disponibilità. È come bere da un ruscello potenzialmente contaminato: si usa una tavoletta di purificazione e si rinuncia ai minerali nel processo. Ma se la compressa fosse più intelligente, potrebbe purificare e conservare i minerali. Questo è il nostro obiettivo: fornire i dati nella loro struttura originale, senza i contenuti dannosi nascosti, sempre personalizzabili in base alle vostre esigenze".
Proteggere ogni punto di accesso all'organizzazione
Fondata nel 2002 con l'obiettivo di proteggere le infrastrutture critiche dalle minacce informatiche, OPSWAT serve oggi circa 2.000 clienti in oltre 80 Paesi. L'azienda ha uffici in Nord America, Europa (tra cui Regno Unito, Germania, Ungheria, Svizzera, Romania, Francia e Spagna), Asia (India, Giappone, Taiwan, Vietnam, Singapore ed Emirati Arabi) e altro ancora.
In Israele, OPSWAT fornisce soluzioni di cybersecurity a centinaia di organizzazioni leader.
Gavish stesso è immerso nella cybersecurity dal 2007, passando dall'attacco alla difesa. Ha iniziato nel settore della difesa e successivamente ha lavorato sia in ruoli di "red team" che di "blue team" presso aziende informatiche. OPSWAT è rinomata per la protezione delle infrastrutture critiche - acqua, elettricità, trasporti e difesa - ma in realtà la sua piattaforma di cybersecurity è adatta a qualsiasi organizzazione.
Suggerisco di ampliare la definizione di "infrastruttura critica". Ogni organizzazione ha qualcosa di critico. Se un giornale non può stampare perché un malware blocca le rotative, è un disastro. Per loro, le rotative sono un'infrastruttura critica. Se una compagnia di assicurazione sanitaria perde i dati sensibili dei clienti, è un disastro. In questo caso, i dati sono l'infrastruttura critica. Se un hacker interrompe il controllo di un ascensore - uno scenario molto reale - il controllo diventa critico. Qualsiasi punto di contatto con i dati, in entrata o in uscita, è un rischio potenziale e noi siamo pronti a proteggerlo. Dico sempre: quando difendete i sistemi critici, non pensate solo a Internet, ma a tutti i possibili gate. A volte non si tratta di un server o di una porta, ma di una porta secondaria al 30° piano. In un mondo in cui si può essere attaccati attraverso un'e-mail o un file apparentemente innocente, solo chi pensa da ogni angolazione è veramente pronto. Il sistema OPSWATè costruito per questo: proteggere endpoint, server di posta elettronica, chioschi per la connessione di dispositivi esterni e persino sistemi di trasferimento di file unidirezionali (Data Diode). In un mondo in cui anche un semplice file immagine può contenere codice di attacco incorporato, scomporlo e ricostruirlo in modo pulito ha perfettamente senso, non è paranoia".
Al passo con i tempi, quanto utilizzate l'IA?
"L'intelligenza artificiale è diventata una parola di moda, ma OPSWAT non la usa solo per fare scena, ma solo quando è veramente utile. Il 99% degli antivirus che dichiarano di utilizzare l'intelligenza artificiale utilizzano l'apprendimento automatico (ML). Detto questo, l'intelligenza artificiale è eccellente nel creare nuove tecniche di attacco, quindi le difese a strati sono fondamentali. Non ci affidiamo solo alle firme note".
Tuttavia, anche la sicurezza a più livelli non è a prova di bomba. Nella sicurezza informatica, non esiste una protezione al 100%.
"Esatto, e noi di OPSWAT lo capiamo. Ecco perché il nostro approccio neutralizza le minacce indipendentemente dal fatto che siano rilevate, conosciute o elencate in qualsiasi database. Il gioco del gatto e del topo tra attaccanti e difensori non finirà mai, quindi non cerchiamo di vincerlo con un solo strumento. Costruiamo muri, cancelli, ponti e posizioniamo gli arcieri. Non c'è il 100%, ma c'è una piattaforma di cui fidarsi".
