Publié à l'origine dans The Marker, Cyber Magazine.
À une époque où les pirates dissimulent des codes malveillants dans les pixels et les métadonnées, OPSWAT utilise la technologie Deep CDR qui déconstruit chaque fichier jusqu'à ses éléments bruts et reconstruit une version entièrement propre. Noam Gavish, architecte en cybersécurité, explique la raison d'être de cette technologie et explique comment elle constitue un système de défense multicouche.
Dans l'une des organisations de sécurité israéliennes, l'équipe de cybersécurité interne s'est mise à trembler sur son siège en raison d'une menace venant d'une direction inattendue. Ils ne s'inquiétaient pas de l'infiltration - la cybermenace habituelle - mais plutôt de ce qui pourrait s 'échapper, sans qu'on s'en aperçoive. Ils craignaient que des informations sensibles, telles que des noms de code, des lieux et des identités, soient cachées dans des fichiers apparemment anodins : des documents Word, des métadonnées d'images, voire des pixels eux-mêmes. Les systèmes DLP ne parvenaient pas à les détecter, les experts ne savaient pas quoi chercher, et la situation ressemblait à une menace invisible sans solution. Cette lacune a été comblée par la technologie Deep CDR d'OPSWATqui décompose le fichier en ses composants essentiels et le reconstruit à partir des seuls objets nécessaires.
"L'idée est simple et repose sur l'hypothèse que chaque fichier est suspect, selon l'approche Zero Trust", explique Noam Gavish, architecte en cybersécurité chez OPSWAT. "Le système Deep CDR décompose chaque fichier, ne conserve que les éléments nécessaires à son fonctionnement et le reconstruit - identique à l'original, mais complètement propre. La capacité de l'utilisateur final à utiliser le fichier reste la même, et le système permet d'adapter le comportement du module en fonction du type de fichier et du canal spécifique. Nous n'essayons pas de déterminer si un élément du fichier est bon ou mauvais. S'il n'est pas essentiel, il n'est pas intégré.
Pour illustrer cette logique, M. Gavish fait référence à l'attaque à l'anthrax de septembre 2001 - une semaine après le 11 septembre - au cours de laquelle des lettres contenant des spores d'anthrax ont été envoyées à divers médias américains et à deux sénateurs, tuant cinq personnes et en infectant 17 autres. "Appliqué à notre technologie, si un client reçoit une lettre par la poste, notre système la réécrit mot à mot sur une nouvelle page, sans inclure la poudre blanche suspecte que quelqu'un aurait pu saupoudrer à l'intérieur.
Ainsi, au lieu de vérifier si un fichier est dangereux, vous supposez qu'il l'est - et vous ne le laissez pas entrer du tout ?
"Exactement. Tout ce qui n'est pas nécessaire - même si nous ne pouvons pas expliquer pourquoi - ne passe tout simplement pas. Il n'est pas nécessaire de déterminer si c'est malveillant. Si ce n'est pas nécessaire, c'est exclu", souligne M. Gavish. "L'objectif n'est pas la détection, mais la réduction de la surface d'attaque au strict minimum. Même si une menace n'est pas visible, elle n'a aucune chance. Cette approche repose sur des connaissances psychologiques approfondies : Les gens craignent ce qu'ils ne comprennent pas, et nous traitons les fichiers de la même manière. C'est une sorte de mécanisme de survie".
Équilibrer la cybersécurité et la disponibilité de l'information
La technologie décrite par M. Gavish - Content Disarm and Reconstruction(CDR) - n'est pas nouvelle sur le marché, mais OPSWAT l'a améliorée pour traiter des fichiers très complexes, notamment des archives, des fichiers multimédias et des documents contenant des macros actives. Cette capacité élargie lui a valu le nom de Deep CDR.
M. Gavish insiste néanmoins sur le fait que Deep CDR n'est qu'un élément d'une plateforme complète conçue pour protéger les organisations - en particulier les infrastructures critiques - sur tous les canaux d'échange d'informations. Cela commence par les systèmes de messagerie électronique, s'étend aux périphériques USB connectés aux terminaux et inclut les interfaces des systèmes internes. Chaque fichier, quelle que soit sa source, fait l'objet d'une analyse de sécurité multicouche.
Cela devient de plus en plus important à mesure que les surfaces d'attaque s'étendent, en particulier avec les attaques de la chaîne d'approvisionnement, où les pirates ciblent des tiers pour accéder à une organisation. Les pirates identifient également les points faibles des organisations - par exemple, les services des ressources humaines, qui reçoivent quotidiennement des dizaines de CV, souvent sous forme de PDF ou d'images, derrière lesquels se cachent des systèmes d'exploitation complets. Les équipes RH ont tendance à être celles qui reçoivent le plus de fichiers Office, alors qu'elles sont souvent les moins sensibilisées à la cybersécurité. Autre point faible : les supports amovibles, qui peuvent contenir des logiciels malveillants.
"Nous ne nous appuyons pas uniquement sur Deep CDR , car aucun module ne peut à lui seul relever tous les défis", explique M. Gavish. "Avant qu'un fichier n'atteigne le CDR, il passe par plusieurs moteurs antivirus - plus de 30, selon le paquet. Il passe ensuite par Deep CDR, puis par le système Sandbox d'OPSWAT, qui décode le fichier, analyse le code et détermine ce qu'il fait - ou ferait - avec des données spécifiques."
Le principe d'organisation consiste à ne pas s'appuyer sur un mécanisme de détection unique, mais sur une sécurité à plusieurs niveaux : Si l'antivirus manque quelque chose, Deep CDR reconstruit le fichier. Si Deep CDR ne supprime rien de suspect ou si des précisions sont nécessaires, Sandbox analyse son comportement. Ce n'est que si rien n'est jugé suspect que le fichier est autorisé à pénétrer dans l'organisation.
Pour démontrer la puissance d'OPSWAT en tant que plate-forme globale, M. Gavish compare l'architecture de sécurité de l'entreprise aux châteaux médiévaux, qui utilisaient des défenses à plusieurs niveaux pour vaincre les attaquants. "En matière de cybersécurité, tout est question de couches. Comme dans un château : d'abord un fossé, puis une porte en fer, des archers et de l'huile bouillante versée d'en haut. Le Deep CDR n'est pas magique, c'est une brique de plus dans le mur. Et un château sans murs n'est pas un château".
Il s'agit donc à la fois d'une combinaison technologique et d'une série de processus ?
"Oui, parce que le Deep CDR est utile pour certaines choses, le Sandbox pour d'autres - ensemble, ils fournissent une couverture complète. Seuls, ils ne peuvent pas répondre à tous les scénarios. Par exemple, nous combinons le Deep CDR avec des analyses antivirus et le Sandbox pour détecter des attaques sophistiquées que chaque couche seule pourrait manquer. Nous ne nous contentons pas d'offrir une solution de sécurité ponctuelle, mais une plateforme multicouche. Nous avons construit une plateforme de sécurité circulaire, et non des barrières isolées : analyse multi-moteurs, analyse comportementale, et le cœur - la technologie Deep CDR qui reconstruit chaque fichier proprement, sans poser de questions".
La plateforme prend actuellement en charge 190 types de fichiers (DOC, PDF, ZIP, images, audio, vidéo, etc.), soit le double de la norme du secteur. Elle adapte également les niveaux de sécurité au chemin d'accès, à la configuration et à la destination du fichier.
"La protection couvre l'ensemble du paysage des menaces, mais chaque menace a sa propre nature", explique M. Gavish. "Nous ne voulons pas non plus interrompre le flux de données ou retarder les opérations. L'idée n'est pas de bloquer le monde, mais de le réintroduire d'une manière propre, en équilibrant la sécurité et la disponibilité. C'est comme boire de l'eau d'un ruisseau potentiellement contaminé : on utilise une tablette de purification et on perd des minéraux dans le processus. Mais si la tablette était plus intelligente, elle pourrait purifier et préserver les minéraux. C'est notre objectif : fournir des données dans leur structure d'origine, sans le contenu malveillant caché, toujours en fonction de vos besoins.
Sécuriser chaque point d'entrée de l'organisation
Fondée en 2002 dans le but de protéger les infrastructures critiques contre les cybermenaces, OPSWAT compte aujourd'hui quelque 2 000 clients dans plus de 80 pays. L'entreprise possède des bureaux en Amérique du Nord, en Europe (notamment au Royaume-Uni, en Allemagne, en Hongrie, en Suisse, en Roumanie, en France et en Espagne), en Asie (Inde, Japon, Taïwan, Vietnam, Singapour et Émirats arabes unis), etc.
En Israël, OPSWAT fournit des solutions de cybersécurité à des centaines d'organisations de premier plan.
M. Gavish est lui-même plongé dans la cybersécurité depuis 2007, passant de l'offensive à la défensive. Il a commencé dans l'industrie de la défense et a ensuite travaillé dans des entreprises cybernétiques en tant qu'"équipe rouge" et "équipe bleue". OPSWAT est réputé pour sa protection des infrastructures critiques - eau, électricité, transport et défense - mais en fait, sa plateforme de cybersécurité convient à n'importe quelle organisation.
Je suggère d'élargir la définition d'"infrastructure critique". Chaque organisation a quelque chose de critique. Si un journal ne peut pas imprimer parce qu'un logiciel malveillant bloque les presses, c'est un désastre. Pour lui, les presses sont une infrastructure critique. Si un assureur maladie laisse filtrer des données sensibles sur ses clients, c'est un désastre. Dans ce cas, ce sont les données qui constituent l'infrastructure critique. Si un pirate informatique perturbe un contrôleur d'ascenseur - un scénario très réel - le contrôleur devient critique. Tout point de contact avec les données - entrée ou sortie - représente un risque potentiel, et nous sommes prêts à le protéger. Je dis toujours : lorsque vous défendez des systèmes critiques, ne pensez pas seulement à l'internet, mais à toutes les portes possibles. Parfois, il ne s'agit pas d'un serveur ou d'un port, mais d'une porte dérobée au 30e étage. Dans un monde où l'on peut être attaqué par le biais d'un courriel ou d'un fichier apparemment innocent, seuls ceux qui pensent sous tous les angles sont vraiment prêts. Le système OPSWATest conçu pour cela : il protège les terminaux, les serveurs de messagerie, les kiosques permettant de connecter des appareils externes et même les systèmes de transfert de fichiers à sens unique (Data Diode). Dans un monde où même un simple fichier image peut contenir un code d'attaque intégré, le fait de le décomposer et de le reconstruire proprement est parfaitement logique - ce n'est pas de la paranoïa".
En phase avec l'époque, dans quelle mesure utilisez-vous l'IA ?
"L'IA est devenue un mot à la mode, mais OPSWAT ne l'utilise pas pour la forme, mais uniquement lorsqu'elle est vraiment utile. 99 % des moteurs antivirus qui prétendent utiliser l'IA utilisent le ML (Machine Learning). Cela dit, l'IA est excellente pour créer de nouvelles techniques d'attaque, c'est pourquoi il est essentiel de mettre en place des défenses à plusieurs niveaux. Nous ne nous fions pas uniquement aux signatures connues".
Cependant, même une sécurité à plusieurs niveaux n'est pas étanche. En matière de cybersécurité, il n'existe pas de protection à 100 %.
"C'est exact - et chez OPSWAT, nous le comprenons. C'est pourquoi notre approche neutralise les menaces, qu'elles soient détectées, connues ou répertoriées dans une base de données. Le jeu du chat et de la souris entre les attaquants et les défenseurs ne s'arrêtera jamais - c'est pourquoi nous n'essayons pas de le gagner avec un seul outil. Nous construisons des murs, des portes, des ponts et nous plaçons des archers. Il n'y a pas de 100%, mais il y a une plateforme en laquelle vous pouvez avoir confiance".
