Ursprünglich veröffentlicht in The Marker, Cyber Magazine.
In einer Zeit, in der Hacker bösartigen Code in Pixeln und Metadaten verstecken, setzt OPSWAT die Deep CDR ein, die jede Datei in ihre Rohelemente zerlegt und eine komplett saubere Version wiederherstellt. Noam Gavish, ein Cybersicherheitsarchitekt, erklärt die Gründe für diese Technologie und wie sie zusammen ein mehrschichtiges Verteidigungssystem bilden.
Bei einer israelischen Sicherheitsorganisation begann das interne Cybersicherheitsteam aufgrund einer Bedrohung aus einer unerwarteten Richtung unruhig auf seinen Plätzen zu rutschen. Ihre Sorge galt nicht der Infiltration - der üblichen Cyber-Bedrohung - sondern vielmehr dem, was unbemerkt nach außen dringen könnte. Sie befürchteten, dass sensible Informationen - wie Codenamen, Standorte und Identitäten - in scheinbar harmlosen Dateien versteckt sein könnten: Word-Dokumente, Bild-Metadaten oder sogar in den Pixeln selbst. DLP-Systeme konnten dies nicht erkennen, Experten wussten nicht, wonach sie suchen sollten, und die Situation fühlte sich wie eine unsichtbare Bedrohung an, für die es keine Lösung gab. Diese Lücke wurde durch die Deep CDR von OPSWATgeschlossen, die die Datei in ihre wesentlichen Bestandteile zerlegt und sie nur aus den notwendigen Objekten wiederherstellt.
"Die Idee ist einfach und basiert auf der Annahme, dass jede Datei im Rahmen des Zero-Trust-Ansatzes verdächtig ist", sagt Noam Gavish, ein Cybersicherheitsarchitekt bei OPSWAT. "Das Deep CDR zerlegt jede Datei, behält nur die Elemente bei, die für ihre Funktionalität notwendig sind, und baut sie neu auf - identisch mit dem Original, aber völlig sauber. Die Fähigkeit des Endbenutzers, die Datei zu verwenden, bleibt dieselbe, und das System ermöglicht es, das Verhalten des Moduls auf der Grundlage des Dateityps und des spezifischen Kanals anzupassen. Wir versuchen nicht zu bestimmen, ob etwas in der Datei gut oder schlecht ist. Wenn es nicht wichtig ist, wird es nicht aufgenommen.
Zur Veranschaulichung dieser Logik verweist Gavish auf den Milzbrandanschlag im September 2001 - eine Woche nach dem 11. September -, bei dem Briefe mit Milzbrandsporen an verschiedene US-Medien und zwei Senatoren geschickt wurden, wobei fünf Menschen getötet und 17 weitere infiziert wurden. "Übertragen auf unsere Technologie - wenn ein Kunde einen Brief mit der Post erhält, schreibt unser System ihn Wort für Wort auf eine neue Seite um - ohne das verdächtige weiße Pulver, das jemand hineingestreut haben könnte."
Anstatt also zu prüfen, ob eine Datei gefährlich ist, gehen Sie davon aus, dass sie es ist - und lassen sie gar nicht erst zu?
"Ganz genau. Alles, was unnötig ist - auch wenn wir nicht erklären können, warum - wird einfach nicht akzeptiert. Wir brauchen nicht zu prüfen, ob es bösartig ist. Wenn es nicht erforderlich ist, wird es ausgeschlossen", betont Gavish. "Das Ziel ist nicht die Erkennung, sondern die Minimierung der Angriffsfläche auf das absolute Minimum. Selbst wenn eine Bedrohung nicht sichtbar ist, hat sie keine Chance. Dies beruht auf einer tiefen psychologischen Erkenntnis: Die Menschen fürchten sich vor dem, was sie nicht verstehen - und so behandeln wir auch Dateien. Es ist eine Art Überlebensmechanismus."
Gleichgewicht zwischen Cybersicherheit und Informationsverfügbarkeit
Die von Gavish beschriebene Technologie - Content Disarm and Reconstruction(CDR) - ist nicht neu auf dem Markt, aber OPSWAT hat sie erweitert, um hochkomplexe Dateien zu verarbeiten, darunter Archive, Mediendateien und Dokumente mit aktiven Makros. Diese erweiterte Fähigkeit brachte ihr den Namen Deep CDR.
Gavish betont jedoch, dass Deep CDR nur eine Komponente einer kompletten Plattform ist, die Unternehmen - insbesondere kritische Infrastrukturen - über alle Informationsaustauschkanäle hinweg schützen soll. Dies beginnt bei E-Mail-Systemen, erstreckt sich auf USB , die mit Endgeräten verbunden sind, und schließt interne Systemschnittstellen ein. Jede Datei, egal aus welcher Quelle, wird einem mehrschichtigen Sicherheitsscan unterzogen.
Dies wird immer wichtiger, da sich die Angriffsflächen vergrößern, insbesondere bei Angriffen auf die Lieferkette, bei denen Hacker auf Dritte abzielen, um sich Zugang zu einem Unternehmen zu verschaffen. Hacker erkennen auch organisatorische Schwachstellen - zum Beispiel Personalabteilungen, die täglich Dutzende von Lebensläufen erhalten, oft als PDFs oder Bilder, hinter denen sich vollständige Betriebssysteme verbergen. HR-Teams sind in der Regel die größten Empfänger von Office-Dateien - haben aber oft das geringste Bewusstsein für Cybersicherheit. Ein weiterer Schwachpunkt: Wechseldatenträger, die Malware enthalten können.
"Wir verlassen uns nicht nur auf Deep CDR , weil kein einzelnes Modul alle Herausforderungen bewältigen kann", erklärt Gavish. "Bevor eine Datei das CDR erreicht, durchläuft sie mehrere Antiviren-Engines - je nach Paket über 30. Dann durchläuft sie Deep CDR und anschließend das Sandbox von OPSWAT, das die Datei dekodiert, den Code analysiert und feststellt, was sie bei bestimmten Eingaben tut - oder tun würde."
Das Organisationsprinzip besteht darin, sich nicht auf einen einzigen Erkennungsmechanismus zu verlassen, sondern auf mehrschichtige Sicherheit: Wenn das Antivirenprogramm etwas übersieht, baut Deep CDR die Datei neu auf. Wenn Deep CDR nichts Verdächtiges entfernt oder weitere Klarheit erforderlich ist, analysiert Sandbox das Verhalten der Datei. Nur wenn nichts Verdächtiges gefunden wird, wird die Datei für das Unternehmen zugelassen.
Um die Leistungsfähigkeit von OPSWAT als umfassende Plattform zu verdeutlichen, vergleicht Gavish die Sicherheitsarchitektur des Unternehmens mit mittelalterlichen Burgen, in denen Angreifer durch mehrschichtige Verteidigungsmaßnahmen in Schach gehalten wurden. "Bei der Cybersicherheit dreht sich alles um Schichten. Wie bei einer Burg: zuerst ein Graben, dann ein eisernes Tor, Bogenschützen und kochendes Öl, das von oben gegossen wird. Deep CDR ist keine Magie - es ist ein weiterer Baustein in der Mauer. Und eine Burg ohne Mauern ist keine Burg."
Es handelt sich also sowohl um eine technologische Kombination als auch um eine Prozessreihe?
"Ja, denn Deep CDR ist für einige Dinge gut, Sandbox für andere - zusammen bieten sie eine vollständige Abdeckung. Alleine können sie nicht jedes Szenario abdecken. Wir kombinieren zum Beispiel Deep CDR mit Antiviren-Scans und Sandbox , um ausgeklügelte Angriffe zu erkennen, die jede Ebene für sich genommen übersehen könnte. Wir bieten nicht nur eine punktuelle Sicherheitslösung, sondern eine mehrschichtige Plattform. Wir haben eine kreisförmige Sicherheitsplattform aufgebaut, keine isolierten Barrieren: Multi-Engine-Scanning, Verhaltensanalyse und das Herzstück - die Deep CDR , die jede Datei sauber wiederherstellt, ohne Fragen zu stellen."
Die Plattform unterstützt derzeit 190 Dateitypen - DOC, PDF, ZIP, Bilder, Audio, Video und mehr - und verdoppelt damit den Industriestandard. Außerdem werden die Sicherheitsstufen an den Pfad, die Konfiguration und das Ziel der Datei angepasst.
"Der Schutz erstreckt sich über die gesamte Bedrohungslandschaft, aber jede Bedrohung hat ihren eigenen Charakter", sagt Gavish. "Wir wollen auch nicht den Datenfluss stoppen oder den Betrieb verzögern. Die Idee ist nicht, die Welt zu blockieren, sondern sie auf saubere Weise wiederherzustellen - mit einem Gleichgewicht zwischen Sicherheit und Verfügbarkeit. Das ist so, als würde man aus einem potenziell verunreinigten Fluss trinken - man nimmt eine Reinigungstablette und gibt dabei Mineralien auf. Aber wenn die Tablette intelligenter wäre, könnte sie die Mineralien reinigen und erhalten. Das ist unser Ziel - die Daten in ihrer ursprünglichen Struktur zu liefern, ohne die versteckten bösartigen Inhalte - immer anpassbar an Ihre Bedürfnisse."
Sicherung jedes organisatorischen Eintrittspunktes
OPSWAT wurde 2002 mit der Vision gegründet, kritische Infrastrukturen vor Cyber-Bedrohungen zu schützen, und betreut heute rund 2.000 Kunden in über 80 Ländern. Das Unternehmen hat Niederlassungen in Nordamerika, Europa (einschließlich Großbritannien, Deutschland, Ungarn, der Schweiz, Rumänien, Frankreich und Spanien), Asien (Indien, Japan, Taiwan, Vietnam, Singapur und den Vereinigten Arabischen Emiraten) und anderen Ländern.
In Israel bietet OPSWAT Cybersicherheitslösungen für Hunderte von führenden Unternehmen an.
Gavish selbst ist seit 2007 im Bereich Cybersicherheit tätig, wobei er zwischen Offensive und Defensive wechselte. Er begann in der Verteidigungsindustrie und arbeitete später sowohl im "roten Team" als auch im "blauen Team" von Cyberfirmen. OPSWAT ist bekannt für den Schutz kritischer Infrastrukturen - Wasser, Strom, Verkehr und Verteidigung -, aber eigentlich ist seine Cybersicherheitsplattform für jede Organisation geeignet.
"Ich schlage vor, die Definition von 'kritischer Infrastruktur' zu erweitern. Jede Organisation hat etwas Kritisches. Wenn eine Zeitung nicht drucken kann, weil Malware die Druckmaschinen lahmlegt, ist das eine Katastrophe. Für sie sind die Druckmaschinen kritische Infrastrukturen. Wenn einem Krankenversicherer sensible Kundendaten entgehen, ist das verheerend. In diesem Fall sind die Daten die kritische Infrastruktur. Wenn ein Hacker die Steuerung eines Aufzugs stört - ein sehr reales Szenario - wird die Steuerung kritisch. Jeder Berührungspunkt für Daten - Eingang oder Ausgang - ist ein potenzielles Risiko, und wir sind darauf vorbereitet, sie zu schützen. Ich sage immer: Wenn Sie kritische Systeme verteidigen, denken Sie nicht nur an das Internet, sondern an alle möglichen Einfallstore. Manchmal handelt es sich nicht um einen Server oder einen Port, sondern um eine Hintertür im 30. In einer Welt, in der man durch eine E-Mail oder eine scheinbar harmlose Datei angegriffen werden kann, ist nur derjenige wirklich bereit, der in alle Richtungen denkt. Das System von OPSWATist darauf ausgelegt: Es schützt Endpunkte, E-Mail-Server, Kioske zum Anschluss externer Geräte und sogar Einweg-Dateiübertragungssysteme (Data Diode). In einer Welt, in der selbst eine einfache Bilddatei eingebetteten Angriffscode enthalten kann, ist es absolut sinnvoll, sie zu zerlegen und sauber wiederherzustellen - keine Paranoia."
Wie sehr nutzen Sie die KI im Einklang mit der Zeit?
"KI ist zu einem trendigen Schlagwort geworden, aber OPSWAT setzt sie nicht nur zur Show ein - nur dort, wo sie wirklich hilft. 99 % der Antiviren-Engines, die behaupten, KI zu verwenden, nutzen ML - Machine Learning. Allerdings ist KI hervorragend in der Lage, neue Angriffstechniken zu entwickeln, daher ist eine mehrschichtige Abwehr entscheidend. Wir verlassen uns nicht nur auf bekannte Signaturen."
Dennoch ist auch eine mehrschichtige Sicherheit nicht hieb- und stichfest. Im Bereich der Cybersicherheit gibt es keinen 100-prozentigen Schutz.
"Richtig - und bei OPSWAT verstehen wir das. Deshalb neutralisiert unser Ansatz Bedrohungen unabhängig davon, ob sie entdeckt, bekannt oder in einer Datenbank aufgeführt sind. Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern wird nie enden - deshalb versuchen wir nicht, es mit einem einzigen Tool zu gewinnen. Wir bauen Mauern, Tore, Brücken und stellen Bogenschützen auf. Es gibt keine 100 %ige Sicherheit, aber es gibt eine Plattform, der man vertrauen kann."
