نُشر في الأصل في مجلة ذا ماركر، مجلة سايبر.
في عصر يخفي فيه المتسللون الرموز الخبيثة داخل وحدات البكسل والبيانات الوصفية، OPSWAT تقنية Deep CDR™ التي تفكك كل ملف إلى عناصره الأولية وتعيد بناء نسخة نظيفة تمامًا. يشرح نوام جافيش، مهندس الأمن السيبراني، الأساس المنطقي وراء هذه التقنية وكيف تشكل معًا نظام دفاع متعدد الطبقات.
في إحدى المؤسسات الأمنية الإسرائيلية، بدأ فريق الأمن السيبراني الداخلي يتحرك بقلق في مقاعده بسبب تهديد من اتجاه غير متوقع. لم يكن قلقهم يتعلق بالتسلل — التهديد السيبراني الشائع — بل بما قد يتسرب دون أن يلاحظه أحد. كانوا يخشون أن المعلومات الحساسة — مثل الأسماء الرمزية والمواقع والهويات — قد تكون مخبأة داخل ملفات تبدو بريئة: مستندات Word أو بيانات تعريف الصور أو حتى داخل البكسلات نفسها. فشلت أنظمة DLP في اكتشافها، ولم يعرف الخبراء ما الذي يجب البحث عنه، وبدت الحالة وكأنها تهديد غير مرئي لا حل له. تم سد هذه الفجوة بواسطة تقنية Deep CDR™ OPSWATالتي تقسم الملف إلى مكوناته الأساسية وتعيد بنائه من العناصر الضرورية فقط.
يقول نوام جافيش، مهندس الأمن السيبراني في OPSWAT: "الفكرة بسيطة وتستند إلى افتراض أن كل ملف مشبوه، وفقًا لنهج Zero Trust. يقوم نظام Deep CDR™ Technology بتفكيك كل ملف، والاحتفاظ فقط بالعناصر الضرورية لوظائفه، ثم إعادة بنائه — ليصبح مطابقًا للأصل، ولكن نظيفًا تمامًا. تظل قدرة المستخدم النهائي على استخدام الملف كما هي، ويسمح النظام بتخصيص سلوك الوحدة النمطية بناءً على نوع الملف والقناة المحددة. نحن لا نحاول تحديد ما إذا كان شيء ما في الملف جيدًا أم سيئًا. إذا لم يكن ضروريًا — فلن يتم إدراجه".
لتوضيح هذا المنطق، يشير غافيش إلى هجوم الجمرة الخبيثة في سبتمبر 2001 - بعد أسبوع من أحداث 11 سبتمبر - حيث أُرسلت رسائل تحتوي على جراثيم الجمرة الخبيثة إلى وسائل إعلام أمريكية مختلفة واثنين من أعضاء مجلس الشيوخ، مما أسفر عن مقتل خمسة أشخاص وإصابة 17 آخرين. "بالتطبيق على تقنيتنا - إذا تلقى أحد العملاء رسالة في البريد، يقوم نظامنا بإعادة كتابتها كلمة بكلمة على صفحة جديدة - دون تضمين المسحوق الأبيض المشبوه الذي قد يكون شخص ما قد رشه في الداخل."
إذن بدلاً من التحقق مما إذا كان الملف خطيرًا، تفترض أنه خطير - ولا تسمح له بالدخول على الإطلاق؟
"بالضبط. أي شيء غير ضروري - حتى لو لم نتمكن من تفسير السبب - ببساطة لا يمر. ليست هناك حاجة لتحديد ما إذا كان ضارًا. إذا لم يكن مطلوبًا، فسيتم استبعاده"، يؤكد غافيش. "الهدف ليس الكشف - بل تقليل سطح الهجوم إلى الحد الأدنى المطلق. حتى لو لم يكن التهديد مرئيًا، فإنه لا يحصل على فرصة. يعتمد هذا على رؤية نفسية عميقة: يخشى الناس ما لا يفهمونه - ونحن نتعامل مع الملفات بنفس الطريقة. إنه نوع من آلية البقاء على قيد الحياة."
الموازنة بين الأمن السيبراني وتوافر المعلومات
التقنية التي يصفها جافيش — Content Disarm and Reconstruction، أو CDR — ليست جديدة في السوق، لكن OPSWAT بتحسينها لتتعامل مع الملفات شديدة التعقيد، بما في ذلك الأرشيفات وملفات الوسائط والوثائق التي تحتوي على ماكروات نشطة. وقد أكسبتها هذه القدرة الموسعة اسم Deep CDR™ Technology.
ومع ذلك، يؤكد جافيش أن تقنية Deep CDR™ ليست سوى أحد مكونات منصة كاملة مصممة لحماية المؤسسات — لا سيما البنية التحتية الحيوية — عبر جميع قنوات تبادل المعلومات. ويبدأ ذلك بأنظمة البريد الإلكتروني، ويمتد إلى USB المتصلة بنقاط النهاية، ويشمل واجهات النظام الداخلية. ويخضع كل ملف، من أي مصدر، لفحص أمني متعدد الطبقات.
وتزداد أهمية هذا الأمر مع توسع نطاق الهجمات، خاصةً مع هجمات سلسلة التوريد، حيث يستهدف القراصنة أطرافاً ثالثة للوصول إلى المؤسسة. كما يحدد القراصنة أيضاً نقاط الضعف التنظيمية - على سبيل المثال، أقسام الموارد البشرية، التي تتلقى عشرات السير الذاتية يومياً، وغالباً ما تكون على شكل ملفات PDF أو صور، مع إخفاء أنظمة تشغيل كاملة خلفها. تميل فرق الموارد البشرية إلى أن تكون أكبر متلقٍ لملفات أوفيس - ومع ذلك غالباً ما يكون لديها أدنى مستوى من الوعي بالأمن السيبراني. نقطة ضعف أخرى: الوسائط القابلة للإزالة، والتي قد تحتوي على برمجيات خبيثة.
يوضح جافيش: "نحن لا نعتمد فقط على تقنية Deep CDR™ لأن لا يوجد وحدة واحدة قادرة على مواجهة جميع التحديات". "قبل أن يصل الملف إلى CDR، يمر عبر عدة محركات مكافحة فيروسات — أكثر من 30 محركًا، حسب الحزمة. ثم يمر عبر تقنية Deep CDR™، ثم Sandbox الذي يقوم بفك تشفير الملف وتحليل الكود وتحديد ما يفعله — أو ما سيفعله — مع مدخلات محددة."
المبدأ التنظيمي هو عدم الاعتماد على آلية كشف واحدة، بل على أمان متعدد الطبقات: إذا فاتت برنامج مكافحة الفيروسات شيء ما، فإن تقنية Deep CDR™ تعيد بناء الملف. إذا لم تقم تقنية Deep CDR™ بإزالة أي شيء مشبوه أو كانت هناك حاجة إلى مزيد من الوضوح، Sandbox سلوكه. فقط إذا لم يتم اعتبار أي شيء مشبوهًا، يُسمح للملف بالدخول إلى المؤسسة.
لإثبات قوة OPSWAT شاملة، يقارن جافيش بنية الأمان الخاصة بالشركة بالقصور في العصور الوسطى — التي كانت تستخدم دفاعات متعددة الطبقات لإضعاف المهاجمين. "في مجال الأمن السيبراني، كل شيء يتعلق بالطبقات. مثل القلعة: أولاً خندق مائي، ثم بوابة حديدية، ورماة السهام، والزيت المغلي الذي يُسكب من أعلى. تقنية Deep CDR™ ليست سحرية — إنها لبنة أخرى في الجدار. والقلعة بدون جدران ليست قلعة."
إذن، هل هي مزيج تكنولوجي وسلسلة عمليات؟
"نعم، لأن تقنية Deep CDR™ جيدة لبعض الأمور، و Sandbox أخرى — ومعًا يوفران تغطية كاملة. بمفردهما، لا يمكنهما التعامل مع كل السيناريوهات. على سبيل المثال، نحن نجمع بين تقنية Deep CDR™ وعمليات الفحص المضادة للفيروسات و Sandbox الهجمات المعقدة التي قد تفوت كل طبقة بمفردها. نحن لا نقدم حل أمان محددًا فحسب — بل منصة متعددة الطبقات. لقد أنشأنا منصة أمان دائرية، وليس حواجز معزولة: فحص متعدد المحركات، وتحليل سلوكي، والجزء الأساسي — تقنية Deep CDR™ التي تعيد بناء كل ملف بشكل نظيف، دون طرح أسئلة."
تدعم المنصة حاليًا 190 نوعًا من الملفات - DOC وPDF وZIP والصور والصوت والفيديو وغيرها - ضعف معيار الصناعة. كما أنها تصمم مستويات الأمان حسب مسار الملف وتكوينه ووجهته.
"يقول غافيش: "تمتد الحماية لتشمل جميع أنواع التهديدات، ولكن لكل تهديد طبيعته الخاصة. "لا نريد أيضًا إيقاف تدفق البيانات أو تأخير العمليات. فالفكرة ليست منع العالم - بل إعادة تقديمه بطريقة نظيفة - وتحقيق التوازن بين الأمن والتوافر. مثل الشرب من مجرى مائي يحتمل أن يكون ملوثًا - فأنت تستخدم قرص تنقية وتتخلى عن المعادن في هذه العملية. ولكن إذا كان القرص أكثر ذكاءً، يمكنه تنقية المعادن والحفاظ عليها. هذا هو هدفنا - أن نقدم البيانات في بنيتها الأصلية، بدون المحتوى الخبيث المخفي - قابل للتخصيص دائمًا حسب احتياجاتك."
تأمين كل نقطة دخول تنظيمية
تأسست OPSWAT في عام 2002 بهدف حماية البنية التحتية الحيوية من التهديدات السيبرانية، وتقدم خدماتها OPSWAT لحوالي 2000 العملاء أكثر من 80 دولة. وللشركة مكاتب في أمريكا الشمالية وأوروبا (بما في ذلك المملكة المتحدة وألمانيا والمجر وسويسرا ورومانيا وفرنسا وإسبانيا) وآسيا (الهند واليابان وتايوان وفيتنام وسنغافورة والإمارات العربية المتحدة) وغيرها.
في إسرائيل، OPSWAT حلول الأمن السيبراني لمئات من المؤسسات الرائدة.
وقد انغمس غافيش نفسه في مجال الأمن السيبراني منذ عام 2007، متنقلاً بين الهجوم والدفاع. بدأ عمله في مجال الدفاع، ثم عمل لاحقاً في كل من "الفريق الأحمر" و"الفريق الأزرق" في شركات الإنترنت. تشتهر OPSWAT بحماية البنية التحتية الحيوية - المياه والكهرباء والنقل والدفاع - ولكن في الواقع، فإن منصة الأمن السيبراني الخاصة بها مناسبة لأي مؤسسة.
"أقترح توسيع تعريف "البنية التحتية الحيوية". كل منظمة لديها شيء بالغ الأهمية. إذا لم تتمكن صحيفة ما من الطباعة لأن البرمجيات الخبيثة أغلقت المطابع - فهذه كارثة. بالنسبة لهم، تعتبر المطابع بنية تحتية حرجة. إذا قامت شركة تأمين صحي بتسريب بيانات العملاء الحساسة - فهذا أمر مدمر. في هذه الحالة، البيانات هي البنية التحتية الحيوية. إذا قام أحد القراصنة بتعطيل وحدة التحكم في المصاعد - وهو سيناريو حقيقي للغاية - تصبح وحدة التحكم حرجة. إن أي نقطة اتصال للبيانات - دخولاً أو خروجاً - تشكل خطراً محتملاً، ونحن مستعدون لحمايتها. أقول دائمًا: عند الدفاع عن الأنظمة الحرجة، لا تفكر فقط في الإنترنت - فكر في كل بوابة ممكنة. في بعض الأحيان لا يكون الخادم أو المنفذ، بل الباب الخلفي في الطابق الثلاثين. في عالم يمكن أن تتعرض فيه للهجوم من خلال بريد إلكتروني أو ملف يبدو بريئًا - فقط أولئك الذين يفكرون من كل زاوية هم المستعدون حقًا. وقد صُمم نظام OPSWATمن أجل ذلك: حماية نقاط النهاية وخوادم البريد الإلكتروني والأكشاك الخاصة بتوصيل الأجهزة الخارجية وحتى أنظمة نقل الملفات أحادية الاتجاه (Data Diode). في عالم قد يحتوي فيه حتى ملف صورة بسيط على كود هجوم مضمن، فإن تفكيكه وإعادة بنائه نظيفًا أمر منطقي تمامًا - وليس جنون العظمة."
تماشياً مع العصر، ما مدى استخدامك للذكاء الاصطناعي؟
"لقد أصبح الذكاء الاصطناعي كلمة رنانة رائجة، لكن OPSWAT لا تستخدمه لمجرد الاستعراض، بل تستخدمه فقط في الحالات التي يساعد فيها حقًا. 99% من محركات مكافحة الفيروسات التي تدّعي استخدام الذكاء الاصطناعي تستخدم التعلم الآلي - التعلم الآلي. ومع ذلك، فإن الذكاء الاصطناعي ممتاز في بناء تقنيات هجوم جديدة، لذا فإن الدفاعات متعددة الطبقات أمر بالغ الأهمية. نحن لا نعتمد على التواقيع المعروفة وحدها."
ومع ذلك، حتى الأمن متعدد الطبقات ليس محكم الإغلاق. في الأمن السيبراني، لا يوجد شيء اسمه حماية بنسبة 100%.
"صحيح - ونحن في OPSWAT نتفهم ذلك. لهذا السبب يعمل نهجنا على تحييد التهديدات بغض النظر عما إذا كانت مكتشفة أو معروفة أو مدرجة في أي قاعدة بيانات. لعبة القط والفأر بين المهاجمين والمدافعين لن تنتهي أبدًا - لذلك نحن لا نحاول الفوز بها بأداة واحدة. نبني الجدران والبوابات والجسور ونضع الرماة في مواقعهم. لا يوجد 100%، ولكن هناك منصة يمكنك الوثوق بها."
