نُشر في الأصل في مجلة ذا ماركر، مجلة سايبر.
في عصر يقوم فيه القراصنة بإخفاء التعليمات البرمجية الخبيثة داخل وحدات البكسل والبيانات الوصفية؛ تستخدم OPSWAT تقنية Deep CDR التي تفكك كل ملف إلى عناصره الخام وتعيد بناء نسخة نظيفة تماماً. يشرح نعوم غافيش، مهندس الأمن السيبراني، الأساس المنطقي وراء هذه التقنية وكيف تشكل معاً نظاماً دفاعياً متعدد الطبقات.
في إحدى المؤسسات الأمنية في إسرائيل، بدأ فريق الأمن السيبراني الداخلي يتقلبون في مقاعدهم بقلق بسبب تهديد من جهة غير متوقعة. لم يكن قلقهم يتعلق بالاختراق - وهو التهديد السيبراني الشائع - بل كان قلقهم بشأن ما قد يتسرب دون أن يلاحظه أحد. كانوا يخشون من أن المعلومات الحساسة - مثل الأسماء الرمزية والمواقع والهويات - يمكن أن تكون مخبأة داخل ملفات تبدو بريئة: مستندات Word، أو البيانات الوصفية للصور، أو حتى داخل وحدات البكسل نفسها. فشلت أنظمة DLP في اكتشافها، ولم يكن الخبراء يعرفون ما الذي يبحثون عنه، وبدا الوضع وكأنه تهديد خفي لا حل له. تم سد هذه الفجوة من خلال تقنية OPSWAT Deep CDR التي تعمل على تفكيك الملف إلى مكوناته الأساسية وإعادة بنائه من العناصر الضرورية فقط.
يقول نعوم غافيش، مهندس الأمن السيبراني في شركة OPSWAT: "الفكرة بسيطة وتقوم على افتراض أن كل ملف مشبوه، في إطار نهج الثقة الصفرية". "يقوم نظام Deep CDR بتفكيك كل ملف، ويحتفظ فقط بالعناصر الضرورية لوظائفه، ويعيد بناءه - مطابقًا للملف الأصلي، ولكن نظيفًا تمامًا. وتبقى قدرة المستخدم النهائي على استخدام الملف كما هي، ويسمح النظام بتخصيص سلوك الوحدة بناءً على نوع الملف والقناة المحددة. نحن لا نحاول تحديد ما إذا كان هناك شيء ما في الملف جيدًا أو سيئًا. إذا لم يكن ضروريًا - لا يتم إدخاله."
لتوضيح هذا المنطق، يشير غافيش إلى هجوم الجمرة الخبيثة في سبتمبر 2001 - بعد أسبوع من أحداث 11 سبتمبر - حيث أُرسلت رسائل تحتوي على جراثيم الجمرة الخبيثة إلى وسائل إعلام أمريكية مختلفة واثنين من أعضاء مجلس الشيوخ، مما أسفر عن مقتل خمسة أشخاص وإصابة 17 آخرين. "بالتطبيق على تقنيتنا - إذا تلقى أحد العملاء رسالة في البريد، يقوم نظامنا بإعادة كتابتها كلمة بكلمة على صفحة جديدة - دون تضمين المسحوق الأبيض المشبوه الذي قد يكون شخص ما قد رشه في الداخل."
إذن بدلاً من التحقق مما إذا كان الملف خطيرًا، تفترض أنه خطير - ولا تسمح له بالدخول على الإطلاق؟
"بالضبط. أي شيء غير ضروري - حتى لو لم نتمكن من تفسير السبب - ببساطة لا يمر. ليست هناك حاجة لتحديد ما إذا كان ضارًا. إذا لم يكن مطلوبًا، فسيتم استبعاده"، يؤكد غافيش. "الهدف ليس الكشف - بل تقليل سطح الهجوم إلى الحد الأدنى المطلق. حتى لو لم يكن التهديد مرئيًا، فإنه لا يحصل على فرصة. يعتمد هذا على رؤية نفسية عميقة: يخشى الناس ما لا يفهمونه - ونحن نتعامل مع الملفات بنفس الطريقة. إنه نوع من آلية البقاء على قيد الحياة."
الموازنة بين الأمن السيبراني وتوافر المعلومات
إن التقنية التي يصفها غافيش، وهي تقنية نزع المحتوى وإعادة بنائه، أو CDR، ليست جديدة على السوق، ولكن قامت OPSWAT بتعزيزها للتعامل مع الملفات شديدة التعقيد، بما في ذلك الأرشيفات وملفات الوسائط والمستندات ذات وحدات الماكرو النشطة. هذه القدرة الموسعة أكسبته اسم Deep CDR.
ومع ذلك، يؤكد جافيش على أن Deep CDR هو مجرد مكون واحد في منصة كاملة مصممة لحماية المؤسسات - خاصة البنية التحتية الحيوية - عبر جميع قنوات تبادل المعلومات. يبدأ ذلك بأنظمة البريد الإلكتروني، ويمتد إلى أجهزة USB المتصلة بنقاط النهاية، ويشمل واجهات النظام الداخلية. يخضع كل ملف، من أي مصدر، لفحص أمني متعدد الطبقات.
وتزداد أهمية هذا الأمر مع توسع نطاق الهجمات، خاصةً مع هجمات سلسلة التوريد، حيث يستهدف القراصنة أطرافاً ثالثة للوصول إلى المؤسسة. كما يحدد القراصنة أيضاً نقاط الضعف التنظيمية - على سبيل المثال، أقسام الموارد البشرية، التي تتلقى عشرات السير الذاتية يومياً، وغالباً ما تكون على شكل ملفات PDF أو صور، مع إخفاء أنظمة تشغيل كاملة خلفها. تميل فرق الموارد البشرية إلى أن تكون أكبر متلقٍ لملفات أوفيس - ومع ذلك غالباً ما يكون لديها أدنى مستوى من الوعي بالأمن السيبراني. نقطة ضعف أخرى: الوسائط القابلة للإزالة، والتي قد تحتوي على برمجيات خبيثة.
ويوضح غافيش: "نحن لا نعتمد فقط على برنامج Deep CDR لأنه لا توجد وحدة واحدة يمكنها معالجة جميع التحديات". "قبل أن يصل الملف إلى وحدة CDR، يمر عبر العديد من محركات مكافحة الفيروسات - أكثر من 30 محركًا، اعتمادًا على الحزمة. ثم يمر عبر Deep CDR CDR، ثم إلى نظام Sandbox الخاص ب OPSWATالذي يفك تشفير الملف ويحلل الشيفرة ويحدد ما يفعله - أو ما قد يفعله - مع مدخلات محددة."
المبدأ التنظيمي هو عدم الاعتماد على آلية كشف واحدة، بل على الأمان متعدد الطبقات: إذا فات برنامج مكافحة الفيروسات شيء ما، يقوم برنامج Deep CDR بإعادة بناء الملف. إذا لم يزيل Deep CDR أي شيء مشبوه أو كانت هناك حاجة إلى مزيد من التوضيح، يقوم Sandbox بتحليل سلوكه. فقط إذا لم يُعتبر أي شيء مريب، يُسمح للملف بالدخول إلى المؤسسة.
ولإظهار قوة OPSWAT كمنصة شاملة، يقارن غافيش البنية الأمنية للشركة بقلاع القرون الوسطى - التي كانت تستخدم دفاعات متعددة الطبقات لإضعاف المهاجمين. "في الأمن السيبراني، الأمر كله يتعلق بالطبقات. مثل القلعة: أولاً خندق مائي، ثم بوابة حديدية، ورماة، وزيت مغلي يُسكب من الأعلى. Deep CDR العميق ليس سحراً - إنه لبنة أخرى في الجدار. والقلعة بدون أسوار ليست قلعة."
إذن، هل هي مزيج تكنولوجي وسلسلة عمليات؟
"نعم، لأن Deep CDR جيد لبعض الأشياء، وبرنامج Sandbox لأشياء أخرى - فهما يوفران معًا تغطية كاملة. لا يمكنهما بمفردهما التعامل مع كل السيناريوهات. على سبيل المثال، نحن نجمع بين Deep CDR مع فحوصات مكافحة الفيروسات Sandbox لاكتشاف الهجمات المعقدة التي قد تفوتها كل طبقة بمفردها. نحن لا نقدم حلاً أمنياً نقطياً فحسب، بل منصة متعددة الطبقات. لقد قمنا ببناء منصة أمنية دائرية، وليس حواجز معزولة: الفحص متعدد المحركات، والتحليل السلوكي، والجوهر - تقنية Deep CDR التي تعيد بناء كل ملف بشكل نظيف، دون طرح أسئلة."
تدعم المنصة حاليًا 190 نوعًا من الملفات - DOC وPDF وZIP والصور والصوت والفيديو وغيرها - ضعف معيار الصناعة. كما أنها تصمم مستويات الأمان حسب مسار الملف وتكوينه ووجهته.
"يقول غافيش: "تمتد الحماية لتشمل جميع أنواع التهديدات، ولكن لكل تهديد طبيعته الخاصة. "لا نريد أيضًا إيقاف تدفق البيانات أو تأخير العمليات. فالفكرة ليست منع العالم - بل إعادة تقديمه بطريقة نظيفة - وتحقيق التوازن بين الأمن والتوافر. مثل الشرب من مجرى مائي يحتمل أن يكون ملوثًا - فأنت تستخدم قرص تنقية وتتخلى عن المعادن في هذه العملية. ولكن إذا كان القرص أكثر ذكاءً، يمكنه تنقية المعادن والحفاظ عليها. هذا هو هدفنا - أن نقدم البيانات في بنيتها الأصلية، بدون المحتوى الخبيث المخفي - قابل للتخصيص دائمًا حسب احتياجاتك."
تأمين كل نقطة دخول تنظيمية
تأسست OPSWAT في عام 2002 برؤية لحماية البنية التحتية الحيوية من التهديدات السيبرانية، وتخدم الآن حوالي 2,000 عميل في أكثر من 80 دولة. وللشركة مكاتب في جميع أنحاء أمريكا الشمالية وأوروبا (بما في ذلك المملكة المتحدة وألمانيا والمجر وسويسرا ورومانيا وفرنسا وإسبانيا) وآسيا (الهند واليابان وتايوان وفيتنام وسنغافورة والإمارات العربية المتحدة) وغيرها.
في إسرائيل، توفر OPSWAT حلول الأمن السيبراني لمئات المؤسسات الرائدة.
وقد انغمس غافيش نفسه في مجال الأمن السيبراني منذ عام 2007، متنقلاً بين الهجوم والدفاع. بدأ عمله في مجال الدفاع، ثم عمل لاحقاً في كل من "الفريق الأحمر" و"الفريق الأزرق" في شركات الإنترنت. تشتهر OPSWAT بحماية البنية التحتية الحيوية - المياه والكهرباء والنقل والدفاع - ولكن في الواقع، فإن منصة الأمن السيبراني الخاصة بها مناسبة لأي مؤسسة.
"أقترح توسيع تعريف "البنية التحتية الحيوية". كل منظمة لديها شيء بالغ الأهمية. إذا لم تتمكن صحيفة ما من الطباعة لأن البرمجيات الخبيثة أغلقت المطابع - فهذه كارثة. بالنسبة لهم، تعتبر المطابع بنية تحتية حرجة. إذا قامت شركة تأمين صحي بتسريب بيانات العملاء الحساسة - فهذا أمر مدمر. في هذه الحالة، البيانات هي البنية التحتية الحيوية. إذا قام أحد القراصنة بتعطيل وحدة التحكم في المصاعد - وهو سيناريو حقيقي للغاية - تصبح وحدة التحكم حرجة. إن أي نقطة اتصال للبيانات - دخولاً أو خروجاً - تشكل خطراً محتملاً، ونحن مستعدون لحمايتها. أقول دائمًا: عند الدفاع عن الأنظمة الحرجة، لا تفكر فقط في الإنترنت - فكر في كل بوابة ممكنة. في بعض الأحيان لا يكون الخادم أو المنفذ، بل الباب الخلفي في الطابق الثلاثين. في عالم يمكن أن تتعرض فيه للهجوم من خلال بريد إلكتروني أو ملف يبدو بريئًا - فقط أولئك الذين يفكرون من كل زاوية هم المستعدون حقًا. وقد صُمم نظام OPSWATمن أجل ذلك: حماية نقاط النهاية وخوادم البريد الإلكتروني والأكشاك الخاصة بتوصيل الأجهزة الخارجية وحتى أنظمة نقل الملفات أحادية الاتجاه (Data Diode). في عالم قد يحتوي فيه حتى ملف صورة بسيط على كود هجوم مضمن، فإن تفكيكه وإعادة بنائه نظيفًا أمر منطقي تمامًا - وليس جنون العظمة."
تماشياً مع العصر، ما مدى استخدامك للذكاء الاصطناعي؟
"لقد أصبح الذكاء الاصطناعي كلمة رنانة رائجة، لكن OPSWAT لا تستخدمه لمجرد الاستعراض، بل تستخدمه فقط في الحالات التي يساعد فيها حقًا. 99% من محركات مكافحة الفيروسات التي تدّعي استخدام الذكاء الاصطناعي تستخدم التعلم الآلي - التعلم الآلي. ومع ذلك، فإن الذكاء الاصطناعي ممتاز في بناء تقنيات هجوم جديدة، لذا فإن الدفاعات متعددة الطبقات أمر بالغ الأهمية. نحن لا نعتمد على التواقيع المعروفة وحدها."
ومع ذلك، حتى الأمن متعدد الطبقات ليس محكم الإغلاق. في الأمن السيبراني، لا يوجد شيء اسمه حماية بنسبة 100%.
"صحيح - ونحن في OPSWAT نتفهم ذلك. لهذا السبب يعمل نهجنا على تحييد التهديدات بغض النظر عما إذا كانت مكتشفة أو معروفة أو مدرجة في أي قاعدة بيانات. لعبة القط والفأر بين المهاجمين والمدافعين لن تنتهي أبدًا - لذلك نحن لا نحاول الفوز بها بأداة واحدة. نبني الجدران والبوابات والجسور ونضع الرماة في مواقعهم. لا يوجد 100%، ولكن هناك منصة يمكنك الوثوق بها."
