原文は『The Marker』(サイバーマガジン)。
ハッカーがピクセルやメタデータの中に悪意のあるコードを隠す時代において、OPSWAT 、すべてのファイルを生の要素まで分解し、完全にクリーンなバージョンを再構築するDeep CDR 技術を利用している。サイバーセキュリティ・アーキテクトのノアム・ガビッシュが、この技術の根拠と、それらがどのように多層防御システムを形成しているかを説明する。
イスラエルのあるセキュリティ組織では、社内のサイバーセキュリティ・チームが、予期せぬ方向からの脅威のために、席を不安げに移動し始めた。彼らの懸念は、一般的なサイバー脅威である侵入ではなく、むしろ気付かれずに漏れるかもしれないものだった。一見何の変哲もないファイルの中に、コードネームや所在地、身元などの機密情報が隠されていることを恐れたのだ:ワード文書、画像のメタデータ、あるいはピクセルそのものにさえ。DLPシステムはそれを検出できず、専門家は何を探せばよいのかわからず、状況は解決策のない目に見えない脅威のように感じられた。OPSWAT Deep CDR テクノロジーは、ファイルを本質的な構成要素に分解し、必要なオブジェクトのみから再構築します。
OPSWATサイバーセキュリティ・アーキテクトであるノアム・ガビッシュは言う。「このアイデアはシンプルで、ゼロ・トラスト・アプローチに基づき、すべてのファイルが疑わしいという前提に基づいています。「Deep CDR システムは、各ファイルを分解し、その機能に必要な要素のみを残し、オリジナルと同一で完全にクリーンな状態に再構築する。エンドユーザーがファイルを使用する機能はそのままで、システムはファイルの種類と特定のチャンネルに基づいてモジュールの動作を調整することができます。私たちは、ファイルの中の何かが良いか悪いかを判断しようとはしません。必要不可欠なものでないなら、それは入らないのです」。
このロジックを説明するために、ガビッシュは2001年9月、つまり9.11の1週間後に起こった炭疽菌攻撃について言及している。この炭疽菌攻撃では、炭疽菌の胞子を含む手紙が米国のさまざまなメディアと2人の上院議員に送られ、5人が死亡、17人が感染した。「私たちの技術に当てはめると、もし顧客が手紙を受け取った場合、私たちのシステムは新しいページに一字一句書き直します。
では、危険なファイルかどうかをチェックする代わりに、危険だと決めつけ、一切入れないというのか?
「その通りだ。不必要なものは、たとえその理由が説明できなくても、単に通過しない。悪意があるかどうかを判断する必要はない。不要なものは除外される」とガビッシュは強調する。「ゴールは検知ではなく、攻撃対象領域を極限まで小さくすることです。脅威が目に見えなくても、チャンスはない。これは深い心理的洞察に基づいている:人は理解できないものを恐れるものであり、ファイルも同じように扱う。これは一種の生存メカニズムなのです」。
サイバーセキュリティと情報可用性のバランス
Gavish氏が説明する技術、CDR(Content Disarm and Reconstruction)は、市場で目新しいものではないが、OPSWAT 、アーカイブ、メディア・ファイル、アクティブ・マクロを含むドキュメントなど、非常に複雑なファイルを扱うために、この技術を強化した。この拡張機能により、次のような名前が付けられました。 Deep CDR.
それでもガビッシュは、Deep CDR 、あらゆる情報交換チャネルにわたって組織(特に重要なインフラ)を保護するために設計された完全なプラットフォームの一要素に過ぎないと強調する。これは、電子メール・システムから始まり、エンドポイントに接続されたUSB デバイス、そして内部システムのインターフェイスにまで及ぶ。あらゆるソースからのあらゆるファイルが、多層的なセキュリティ・スキャンを受けます。
特に、ハッカーが組織へのアクセスを得るために第三者を標的にするサプライ・チェーン攻撃では、攻撃対象が拡大するにつれて、このことがますます重要になっている。ハッカーはまた、組織の弱点を特定する。例えば、人事部門は毎日何十通もの履歴書を受け取るが、その多くはPDFや画像であり、その背後には完全なオペレーティング・システムが隠されている。人事部門は、Officeファイルの最大の受け手でありながら、サイバーセキュリティに対する意識が最も低い傾向があります。もう1つの弱点は、マルウェアが含まれている可能性のあるリムーバブル・メディアです。
「単一のモジュールではすべての課題に対処できないため、Deep CDR いるわけではありません」とGavish氏は説明する。「ファイルがCDRに到達する前に、複数のアンチウイルスエンジンを通過します。そして、Deep CDR通過し、次にOPSWAT Sandbox ・システムを通過します。サンドボックス・システムは、ファイルをデコードし、コードを分析し、特定の入力に対して何が行われるか(あるいは行われるであろうか)を判断します」。
組織的な原則は、単一の検出メカニズムに依存するのではなく、重層的なセキュリティに依存することである:アンチウイルスが何かを見逃した場合、Deep CDR ファイルを再構築する。もしDeep CDR 不審なものを取り除いたり、さらに明確にする必要があれば、Sandbox その動作を分析する。不審な点がないと判断された場合のみ、そのファイルは組織への侵入が許可される。
包括的なプラットフォームとしてのOPSWAT 威力を示すために、ガビッシュは同社のセキュリティ・アーキテクチャを中世の城に例えている。「サイバーセキュリティでは、レイヤーが重要です。城のように、まず堀があり、次に鉄の門があり、弓矢隊がいて、上から煮えたぎる油が注がれる。Deep CDR 魔法ではありません。壁のない城は城ではない」。
技術的な組み合わせであり、プロセスシリーズでもあるわけですね?
Deep CDR 得意なこともあれば、Sandbox 得意なこともある。単独では、すべてのシナリオに対応できるわけではありません。例えば、Deep CDR アンチウイルススキャンやSandbox 組み合わせることで、それぞれのレイヤーだけでは見逃してしまうような高度な攻撃を検知することができます。私たちは、単なるポイント・セキュリティ・ソリューションではなく、マルチレイヤー・プラットフォームを提供しています。マルチエンジンスキャン、行動分析、そして中核となるDeep CDR テクノロジーは、問答無用で各ファイルをクリーンに再構築します。"
このプラットフォームは現在、DOC、PDF、ZIP、画像、オーディオ、ビデオなど、業界標準の2倍にあたる190種類のファイルをサポートしている。また、ファイルのパス、構成、保存先に合わせてセキュリティ・レベルを調整します。
「ガビッシュは言う。「保護は脅威の全体像に及びますが、それぞれの脅威には固有の性質があります。「また、データの流れを止めたり、オペレーションを遅らせたりもしたくありません。セキュリティと可用性のバランスをとりながら、クリーンな方法で再導入するのです。汚染された可能性のある小川から水を飲むように、あなたは浄化タブレットを使い、その過程でミネラルを諦める。しかし、もしタブレットがもっと賢ければ、ミネラルを浄化し、保存することができる。それが私たちの目標です。隠された悪意のあるコンテンツを除いて、データを元の構造で提供することです。
組織のあらゆるエントリー・ポイントを保護する
重要インフラをサイバー脅威から守るというビジョンを掲げて2002年に設立されたOPSWAT 、現在80カ国以上で約2,000社の顧客にサービスを提供している。北米、ヨーロッパ(英国、ドイツ、ハンガリー、スイス、ルーマニア、フランス、スペインを含む)、アジア(インド、日本、台湾、ベトナム、シンガポール、アラブ首長国連邦)などにオフィスを構えている。
イスラエルでは、OPSWAT 何百もの大手企業にサイバーセキュリティ・ソリューションを提供している。
ガビッシュ自身は2007年からサイバーセキュリティに没頭し、攻撃と防御の間を行き来してきた。彼は防衛産業からスタートし、その後サイバー企業で「レッドチーム」と「ブルーチーム」の両方の職務に就いた。OPSWAT 、水、電気、輸送、防衛といった重要インフラの保護で有名だが、実はそのサイバーセキュリティ・プラットフォームはあらゆる組織に適している。
私は、"重要インフラ "の定義を広げることを提案する。どの組織にも重要なものがある。マルウェアによって印刷機が停止し、新聞社が印刷できなくなったとしたら、それは大惨事です。新聞社にとって、印刷機は重要なインフラなのです。医療保険会社が機密性の高い顧客データを流出させれば、壊滅的な打撃を受ける。その場合、データは重要なインフラである。ハッカーがエレベーターの制御装置を破壊した場合(非常に現実的なシナリオだが)、制御装置が重要なものになる。データの出入口など、あらゆるタッチポイントが潜在的なリスクであり、私たちはそれを守るための準備をしています。私がいつも言っているのは、重要なシステムを守るには、インターネットだけを考えるのではなく、あらゆる可能性のあるゲートを考えるべきだということです。時には、サーバーやポートではなく、30階にあるバックドアであることもあります。電子メールや一見何の変哲もないファイルから攻撃される可能性があるこの世界では、あらゆる角度から物事を考える者だけが真の意味で準備ができているのです。OPSWATシステムは、エンドポイント、電子メール・サーバー、外部デバイスを接続するキオスク端末、さらには一方通行のファイル転送システム(Data Diode)を保護するために構築されている。単純な画像ファイルにさえ攻撃コードが埋め込まれている可能性がある世界では、それを分解してクリーンな状態に再構築することは、パラノイアではなく、完全に理にかなっている。"
時代に合わせて、AIをどの程度活用していますか?
「AIは流行のバズワードとなったが、OPSWAT 単に見せかけのためにAIを使用するのではなく、本当に役立つ場合にのみ使用する。AIを使用していると主張するウイルス対策エンジンの99%はML(機械学習)を使用している。とはいえ、AIは新たな攻撃テクニックを構築することに長けているため、何重もの防御が重要になる。私たちは既知のシグネチャだけに頼ることはありません」。
しかし、レイヤー化されたセキュリティであっても、完全ではありません。サイバーセキュリティにおいて、100%の保護というものは存在しない。
OPSWATそのことを理解しています。だからこそ私たちのアプローチは、脅威が検出されたかどうか、既知かどうか、データベースに登録されているかどうかに関係なく、脅威を無力化するのです。攻撃者と防御者の駆け引きに終わりはありません。私たちは壁を作り、門を作り、橋を架け、射手を配置する。100%はないが、信頼できるプラットフォームはある。"
