באחד מארגוני הביטחון של ישראל החלו אנשי הסייבר הארגוני לנוע באי נוחות בכיסאם בשל איום מכיוון לא צפוי. החשש היה לא מחדירה פנימה - איום הסייבר המוכר - אלא דווקא ממה שעלול לדלוף החוצה, מבלי לעורר חשד. הם חששו שמידע רגיש, כמו שמות קוד, מיקומים וזהויות, עשוי להיות מוסווה בתוך קבצים תמימים: מסמכי Word, מטא-דאטה של תמונות, אולי אפילו בתוך הפיקסלים עצמם. מערכות ה-DLP לא זיהו, המומחים לא ידעו לחפש, והתחושה הייתה של איום סמוי שאין לו מענה. את הפער סגרה טכנולוגיית Deep CDR של OPSWAT, שהיתרון שלה הוא בכך שהיא לא מנחשת ולא מתווכחת מה מסתתר בכל קובץ, אלא פשוט משאירה רק את החלקים החיוניים של הקובץ ומוחקת את כל השאר.
"הרעיון הוא פשוט והוא מבוסס על ההנחה שכל קובץ הוא חשוד, תחת הגישה הכללית של Zero Trust", אומר נעם גביש, ארכיטקט אבטחת מידע ב-OPSWAT. "לכן, מערכת ה-Deep CDR מפרקת כל קובץ לגורמים, שומרת רק את הרכיבים ההכרחיים לפונקציונליות שלו, ובונה ממנו קובץ חדש - זהה לחלוטין למקורי, אך נקי לחלוטין מרכיבים חשודים או עודפים. למשתמש הקצה יכולת השימוש בקובץ תישאר זהה ואף ניתנת היכולת לערוך את פעולת המודול לפי סוג הקובץ ולפי הערוץ הספציפי. אנחנו לא מנסים להבין אם משהו בקובץ הוא טוב או רע. אם הוא לא חיוני - הוא פשוט לא נכנס".
כדי להמחיש את הרציונל, גביש מחזיר אותי למתקפת האנתרקס בספטמבר 2001 - שבוע לאחר פיגועי ה-11 בספטמבר - במסגרתה מכתבים שהכילו נבגי גחלת (אנתרקס) נשלחו למספר משרדי תקשורת בארה"ב ולשני סנאטורים אמריקנים, דבר שגרם למותם של חמישה אנשים והדבקתם של 17 אחרים בחיידק. "בהשלכה לטכנולוגיה שלנו - אם הלקוח מקבל מכתב בדואר, המערכת משכתבת אותו מחדש, מילה במילה, על דף אחר, בלי להכניס את האבקה הלבנה שייתכן שמישהו פיזר בפנים".
כלומר, במקום לבדוק אם קובץ מסוכן, מניחים מראש שהוא מסוכן ולא מאפשרים לו לחדור לארגון.
"אכן. כל מה שלא צריך להיות שם - גם אם אנחנו לא יודעים להסביר למה ומדוע - פשוט לא עובר. לא צריך להבין אם זה פוגען או לא. אם זה לא הכרחי - זה לא נכנס", מדגיש גביש. "המטרה אינה לזהות, אלא לצמצם את משטח ההתקפה למינימום ההכרחי. גם אם הסכנה לא נראית לעין, היא פשוט לא מקבלת סיכוי. זה מבוסס גם על תובנה פסיכולוגית עמוקה. אנשים הרי מפחדים ממה שהם לא מבינים וזה נכון מבחינתנו גם לגבי קבצים. זה מעין מנגנון הישרדותי, אם תרצה".
איזון בין אבטחת מידע לזמינות מידע
הטכנולוגיה שגביש מתאר - Content Disarm and Reconstruction או בקיצור CDR - איננה חדשה בשוק, אך ב-OPSWAT הרחיבו את יכולותיה כך שהיא יודעת לפרק גם קבצים מורכבים במיוחד, כולל ארכיונים, קבצי מדיה ואפילו מסמכים עם רכיבי מאקרו פעילים. זה מסביר גם את השם המעודכן, Deep CDR.
עם זאת, גביש מקפיד לציין ש-OPSWAT רואה ב-Deep CDR רכיב אחד בפלטפורמה שלמה, שנועדה להגן על ארגונים - ובמיוחד על תשתיות קריטיות - בכל ערוץ שבו מידע נכנס או יוצא. זה מתחיל במערכות הדוא"ל, נמשך בהתקני USB שמתחברים לעמדות קצה, ומגיע עד ממשקים בין מערכות פנימיות. כל קובץ, מכל מקור, עובר סריקה במערכת מרובת שכבות הגנה.
יש לכך חשיבות רבה, כי היקף משטחי התקיפה גדל וכיום מתבצעות לא מעט מתקפות דרך שרשרת האספקה (Supply chain attacks), שבהן האקרים עושים שימוש בצד ג' כדי לתקוף את הארגון, לאחר שטירגטו את הצד השלישי וזיהו את נתיב הכניסה שלו לארגון. האקרים גם יודעים לזהות נקודות תורפה בארגון. תחשבו למשל על פונקציית ה-HR שמקבלת מידי יום עשרות קורות חיים של מועמדים לעבודה, לעיתים עם תמונות, לעיתים בקבצי PDF - שמאחוריהם עומדת מערכת הפעלה שלמה. מחלקות משאבי אנוש ידועות בכך שהן מקבלות הכי הרבה קבצי אופיס, אבל גם שהמודעות שלהן לאיומי סייבר היא נמוכה. נקודת תורפה נוספת היא כאמור רכיבים נתיקים שעלולים להכיל פוגענים.
"אנחנו לא מסתפקים רק ב-Deep CDR, כי אי אפשר להסתפק במודול אחד שבנוי להתמודד עם אתגר מסוים", מבהיר גביש. "לפני שהקובץ מגיע לשם, הוא עובר דרך מספר מנועי אנטי-וירוס - יותר מ-30 מנועים, לפי החבילה. אחרי זה - אל מערכת ה-Deep DCR ובשלב הבא אל מערכת ה-SANDBOX של OPSWAT, שמבצעת decoding לקובץ כדי לקרוא את הקוד עצמו ולהבהיר מה הוא עושה, או היה עושה, בהינתן קלט מסוים.
"העיקרון המארגן הוא לא להסתמך על זיהוי אחד, אלא על שילוב של שכבות: אם האנטי-וירוס לא זיהה בעיה ה-Deep CDR יבנה מחדש את הקובץ. אם ה-Deep CDR לא הסיר שום אובייקט, או שאתה רוצה להבין בדיוק מה הקובץ היה עושה ולהחליט לבד, ה- SANDBOX יבדוק את ההתנהגות בפועל. אם שום דבר לא חשוד - רק אז הקובץ ייכנס לארגון".
כדי להמחיש את יתרונה של OPSWAT כפלטפורמה שלמה ומקיפה, גביש מפליג על כנפי הדמיון ומדמה את הארכיטקטורה ההגנתית שבנתה החברה למערכות ההגנה של טירות בימי הביניים, והאמת? זה עושה שכל בהתחשב בכך שאלה היו מערכות הגנה מורכבות ורב-שכבתיות, שתוכננו לשחוק את התוקפים ולדחות אותם שוב ושוב. "בסוף, אבטחת מידע זה משחק של שכבות. כמו בטירה - יש קודם כל חפיר, אחר כך יש שער ברזל עם בריח ענק, בדרך יש קשתים ולבסוף יש שמן רותח שנזרק מלמעלה על התוקפים. במובן זה, CDR היא לא מילת קסם - היא עוד אבן בחומת הטירה. אבל טירה בלי חומה זו לא טירה".
מעניין. בשני המקרים מדובר גם על שילוב בין טכנולוגיות וגם על סדרה של פעולות.
"נכון, כי Deep CDR טוב לדברים מסוימים, SANDBOX טוב לדברים אחרים וביחד הם מספקים הגנה כוללת ומקיפה. לבדם הם לא יוכלו להתמודד מול כל התרחישים. אתן לך דוגמה שימושית: "אנחנו לא מסתפקים רק ב-CDR כי לרוב לא נכון יהיה להסתפק במודול אחד שבנוי להתמודד עם אתגר מסוים שילוב בין CDR לסריקות אנטי-וירוס ול-SANDBOX מאפשר גילוי מתקפות מתוחכמות שלא מזוהות באף אחת מהשכבות לבדן. כאמור, אנחנו לא מספקים רק מוצר אבטחת מידע נקודתי אלא פלטפורמה רב-שכבתית. בחרנו לבנות פלטפורמת אבטחת מידע שמורכבת ממעגלים, לא ממחסומים בודדים: סריקה מרובת מנועים, ניתוח התנהגות, ולב הפתרון - טכנולוגיית CDR שפשוט מפרקת כל קובץ ובונה אותו מחדש, נקי לגמרי, בלי לשאול שאלות".
הפלטפורמה תומכת כיום ב-190 סוגי קבצים - DOC ,PDF, ZIP, תמונות, אודיו, וידיאו ורבים נוספים - וכל קובץ נבדק לפי המבנה הספציפי שלו. זו כמות כפולה של סוגי קבצים מזו המקובלת בשוק. המערכת גם יודעת להתאים את רמת האבטחה לנתיב שבו נע הקובץ, לקונפיגורציה וליעד שאליו הוא מכוון.
"ההגנה היא על כל מרחב האיומים, אך לכל איום יש לו עולם משלו", מציין גביש. "אנחנו גם לא רוצים למנוע את זרימת המידע בארגון ולעכב את העבודה השוטפת או להכביד - הרעיון הוא לא לחסום את העולם, אלא להכניס אותו מחדש, באופן נקי - תוך איזון בין אבטחת מידע לזמינות מידע. זה כמו שאתה הולך באזור נידח ורוצה לשתות מים מנחל כלשהו שסביר שהוא מזוהם. אתה תשתמש בגלולת ניקוי ותאלץ לוותר בגלל זה על המינרלים שבמים. ויתור שהוא הכרחי אבל שווה כדי לשתות את המים. אך אם הייתה לך גלולה חכמה יותר, היית יכול גם לנקות את המים וגם ליהנות מהמינרלים. כך גם אצלנו - אתה תקבל את המידע באותו מבנה, ללא הקובץ שרץ מאחורי הקלעים, ותמיד ניתן להתאים את המערכת לצרכים שלך".
להגן על כל שער כניסה לארגון
OPSWAT, שהוקמה בשנת 2002 עם חזון להגן על תשתיות קריטיות מפני איומי סייבר, משרתת כיום כ-2,000 לקוחות בכ-80 מדינות ברחבי העולם. לחברה משרדים בצפון אמריקה, אירופה (כולל בריטניה, גרמניה, הונגריה, שוויץ, רומניה, צרפת וספרד), אסיה (הודו, יפן, טייוואן, וייטנאם, סינגפור ואיחוד האמירויות) ועוד. בישראל, OPSWAT פועלת כבר שנים רבות ומספקת פתרונות אבטחת סייבר למאות ארגונים מובילים. גביש עצמו חי את עולם אבטחת המידע מאז 2007 ובמסגרת תפקידיו השונים הוא דילג מצד התוקפים לצד המגינים. הוא החל את דרכו בתעשייה הביטחונית, ועבר בדרך בחברות סייבר שונות בדרך עבד בחברות סייבר הן בצד "האדום" והן בצד "הכחול".
OPSWAT ידועה כמי שמתמחה בהגנה על תשתיות קריטיות - מערכות מים, חשמל, תחבורה וביטחון. אבל בעצם אתם מספקים מערכת הגנת סייבר לכל ארגון.
"אני מציע להרחיב את ההגדרה של מה זו 'תשתית קריטית'. לכל ארגון יש משהו שהוא קריטי לו. עיתון שלא מצליח להדפיס גיליונות להפצה בבוקר, בגלל שווירוס חדר למערכות המחשוב שלו ושיתק את מכונות הדפוס, זה אסון. מבחינתו, המכונות הן תשתית קריטית. חברת ביטוח בריאות שדלף ממנה מידע רגיש על לקוחות - זו פגיעה אנושה. במקרה זה הדאטה היא התשתית הקריטית. אם האקר מצליח לשבש בקר של מעלית - וזה תרחיש שעלול לקרות - זה עשוי להסתיים באסון כבד וכאן הבקר הוא התשתית הקריטית.
"מבחינתנו, כל נקודת מגע עם מידע - בין אם זו כניסה או יציאה - היא פוטנציאל לסיכון, ולכן אנחנו ערוכים להגן עליה. אני תמיד אומר: כשאתה מגן על מערכת קריטית, אל תחשוב רק על האינטרנט - תחשוב על כל שער אפשרי. לפעמים זה לא שרת או פורט, אלא דווקא הדלת האחורית בקומה ה-30. בעולם שבו אפשר לתקוף דרך מייל, קובץ תמים או הורדה פשוטה - רק מי שחושב על כל זווית, באמת מוכן.המערכת של OPSWAT נבנתה בהתאם: היא כוללת מערכות לכל סוגי המקורות, מאפשרת הגנה על נקודות קצה, שרתי מייל, תחנות קיוסק לחיבור התקנים חיצוניים ואפילו מערכות להעברת קבצים חד-כיוונית (Data Diode). כאשר גם קובץ תמונה פשוט עשוי להכיל קוד תקיפה חבוי, הרעיון לפרק כל קובץ עד יסודותיו ולבנות אותו מחדש נשמע פחות כמו פרנויה ויותר כמו היגיון בריא".
ברוח הזמן, באיזה מידה אתם עושים שימוש ב-AI?
"AI הפך במידה רבה ל'באזז וורד' אופנתי, אך OPSWAT לא משתמשת בבינה מלאכותית רק כדי להתגאות בשימוש בה, אלא רק היכן שהיא באמת מועילה. אגב, 99% ממנועי האנטי וירוסים שמצהירים שיש להם AI, בעצם משתמשים ב-ML, למידת מכונה (Machine Learning). עם זאת, AI מעולה בבניית תקיפות חדשות ולכן חשוב לבנות מערך רב-שכבתי ולא לסמוך רק על חתימות מוכרות".
אבל גם מערך רב-שכבתי אינו הרמטי. בסייבר, כידוע, אין ביטחון מוחלט.
"נכון, וב-OPSWAT אנחנו מבינים זאת ומציגים גישה שמנטרלת את הסכנה מראש, בלי קשר לשאלה אם האיום מזוהה, ידוע או חתום במאגר כלשהו. למעשה, המשחק הזה של חתול ועכבר בין התקפות והגנות לא ייגמר אף פעם, ולכן אנחנו לא מנסים לנצח אותו עם כלי אחד. אנחנו בונים חומות, שערים, גשרים מבוקרים ומעמידים קשתים על החומות. אין 100%, אבל יש פלטפורמה שאפשר לבטוח בה.
"העוצמה של OPSWAT טמונה בפלטפורמה רבת-מעגלים, שמספקת מענה מקיף לכל אתגר אבטחה. כל רכיב - כמו Deep CDR ,SANDBOX ואחרים - פועל ברובד משלו, אך כשהם משתלבים יחד, נבנית שכבת הגנה עוצמתית במיוחד. כי בעולם הסייבר, השלם שווה הרבה יותר מסכום חלקיו. במיוחד כשכל חלק נבנה כדי להשלים ולהעצים את האחר".
הצצה לעתיד: מעבדת הסייבר החדשנית בישראל
ב-OPSWAT מזמינים את הלקוחות - כמו גם את קהילת הסייבר הישראלית - לבקר במעבדת הסייבר הייחודית של החברה במשרדים בפתח תקווה, שמהווה חלק מרשת מעבדות הסייבר המתקדמות בסניפי החברה ברחבי העולם. המעבדה החדשה הוקמה במטרה לספק ללקוחותינו סביבה ייחודית ללמידה מעשית, התנסות וחשיבה משותפת עם אנשי המקצוע.
הביקור במעבדה יאפשר למבקרים לבצע בדיקות ספציפיות המותאמות לצרכיהם, להתרשם ממוצרים חדשניים וללמוד על כלי מניעה ושיטות הגנה מתקדמות. אחת המטרות העיקריות של החברה בהקמת המעבדה היא לאפשר ללקוחות להשתתף בסימולציות ריאליסטיות של מתקפות סייבר על תשתיות קריטיות, ולחוות ממקור ראשון את דרכי ההתמודדות והמענה בזמן אמת. במעבדה מציגים מגוון רחב של תרחישי תקיפה ומראים כיצד הפלטפורמה הרב-שכבתית של החברה מגינה על מערכות חיוניות.
בשיתוף OPSWAT
