Managed File Transfer rețelele IT, OT și DMZ

Transferul de fișiere IT/OT printr-o zonă DMZ industrială devine o problemă de securitate și operațională, deoarece schimbul operațional de fișiere trebuie să treacă peste limitele de segmentare create pentru a reduce riscul cibernetic. Industrial necesită în continuare ca patch-urile, rețetele, jurnalele, livrabilele furnizorilor, copiile de rezervă și rapoartele să fie transferate între zone conform unor programe prestabilite.

Canalele ad-hoc, precum e-mailul, unitățile de stocare partajate, serverele intermediare și suporturile amovibile, sporesc riscul de expunere la programe malware transmise prin fișiere și reduc trasabilitatea. Fluxurile de lucru Industrial (IDMZ) necesită, de asemenea, dovezi de audit, alinierea controlului modificărilor și aplicarea consecventă a politicilor în toate locațiile, pentru a evita excepțiile punctuale.

Printre cele mai frecvente cazuri de utilizare a transferului de fișiere între IT și OT se numără pachetele de lucrări de inginerie, actualizările PLC și HMI, extrase din bazele de date istorice, actualizările semnăturilor antivirus, copiile de rezervă și pachetele de firmware ale furnizorilor. Documentele tehnice și actualizările de firmware necesită, de obicei, dovezi mai stricte privind lanțul de custodie decât rapoartele de rutină sau exporturile periodice de jurnale.

Fluxurile periodice includ, de obicei, copiile de siguranță programate, actualizările antivirus și livrarea rapoartelor standard. Fluxurile urgente includ, de obicei, remedieri de urgență pentru firmware, extragerea datelor în cadrul răspunsului la incidente sau modificări ale rețetelor care necesită o reacție rapidă. Cerințele privind lanțul de custodie devin mai stricte atunci când fișierele pot modifica comportamentul critic pentru siguranță sau pot afecta în mod semnificativ calitatea producției.

Un model tradițional de DMZ pentru întreprinderi nu se aplică în mod direct la OT, deoarece o DMZ conectată la internet gestionează în principal accesul extern, în timp ce o DMZ industrială asigură în primul rând operațiuni deterministe, un control strict al modificărilor și protecția proceselor critice pentru siguranță. Scopul segmentării de nivel 3.5 a Purdue este de a limita căile de acces către OT și de a reduce încrederea implicită între zone. 

Riscul asociat fișierelor este amplificat în domeniul OT, deoarece sistemele vechi, intervalele limitate de aplicare a patch-urilor și constrângerile legate de disponibilitate reduc toleranța față de remedierea reactivă. De asemenea, Industrial necesită căi de transfer previzibile și procese de aprobare repetabile, care pot fi auditate fără a crea sesiuni directe între IT și OT. 

Faptul că toate conexiunile se încheie în zona DMZ înseamnă că transferurile de fișiere între IT și OT trebuie să evite sesiunile directe de tip end-to-end între terminalele întreprinderii și terminalele OT dincolo de granița de încredere. De asemenea, faptul că toate conexiunile se încheie în zona DMZ înseamnă că proiectele trebuie să evite utilizarea serverelor cu două conexiuni care fac legătura între zone și să evite regulile de firewall care permit conexiunile client-server între zone.

Acest principiu se concretizează în restricții justificate: sistemele IT comunică exclusiv cu serviciile din zona DMZ, sistemele OT comunică exclusiv cu serviciile din zona DMZ, iar transferul de fișiere se realizează prin fluxuri de lucru de tip „store-and-forward” gestionate de un intermediar. Punctele de terminare din zona DMZ industrială devin puncte de control pentru inspecție, carantină, aprobări și înregistrarea datelor de audit.

Pentru a preveni sesiunile directe între rețelele IT și OT fără a afecta automatizarea, sunt necesare modele de transfer intermediat, în care expeditorul se conectează doar la serviciile de transfer aflate în DMZ, iar destinatarul din OT se conectează doar la serviciile de recuperare aflate în DMZ. Transferul de fișiere intermediat utilizează de obicei o etapă de „push-to-DMZ” urmată de o etapă de „pull-to-OT”, astfel încât să nu existe nicio sesiune între zone.

Expunerea porturilor rămâne minimă prin utilizarea porturilor blocate, a listelor de permisiuni stricte și a identităților de serviciu delimitate la nivelul fiecărui flux de lucru. Conturile de serviciu alocate fiecărui flux de lucru reduc riscul de mișcare laterală și facilitează recertificarea regulilor de acces în cadrul revizuirilor periodice.

Configurarea cu două plăci de rețea și stocarea partajată generează legături accidentale între zone, deoarece o gazdă cu două plăci de rețea poate deveni un punct de tranzit pentru rutare sau autentificare peste limitele segmentării. Partajările de fișiere SMB și datele de autentificare replicate pot, de asemenea, să submineze scopul segmentării, permițând căi implicite de acces între zone, care sunt greu de identificat și de recertificat.

Printre modelele de comportament care trebuie evitate se numără serverele de fișiere cu conexiuni duale care interacționează simultan cu rețelele IT și OT, folderele SMB partajate utilizate ca puncte de „transfer” între zone, precum și transferul de fișiere prin intermediul unor servere intermediare care ocolesc punctele de control. Asigurarea respectării limitelor se bazează pe terminare, inspecție și autorizare explicită, mai degrabă decât pe căi de acces bazate pe comoditate.

O arhitectură DMZ industrială de nivel 3.5 conform clasificării Purdue pentru transferul de fișiere plasează IDMZ-ul ca graniță de inspecție și aplicare a politicilor între rețelele IT și OT ale întreprinderii. De asemenea, o astfel de arhitectură DMZ industrială de nivel 3.5 conform clasificării Purdue asigură integrarea terminalelor IT și OT cu serviciile DMZ, în loc să se integreze între ele.

Serviciile DMZ de bază includ, de obicei, o poartă de transfer de fișiere sau un server de transfer gestionat de fișiere, spațiu de stocare pentru carantină, niveluri de inspecție și înregistrare centralizată. Funcționalitatea de stocare și redirecționare intermediată permite desfășurarea operațiunilor deterministe, menținând în același timp intactă structura de segmentare.

Serviciile care fac parte din zona DMZ industrială pentru schimbul securizat de fișiere includ o poartă de transfer de fișiere sau un server de transfer gestionat de fișiere, niveluri de scanare a programelor malware și de izolare în medii de testare, niveluri de dezarmare și reconstrucție a conținutului (CDR), stocare în carantină și colectare centralizată a jurnalelor. Serviciile Industrial includ, de asemenea, componente de gestionare a fluxurilor de lucru și de aplicare a politicilor care controlează procesul de aprobare și eliberare.

Terminalele IT trebuie să trimită fișiere în zonele de depunere din DMZ, iar terminalele OT trebuie să preia pachetele aprobate din locațiile de tranzit din DMZ. Granița DMZ devine punctul de control standard pentru scanarea malware-ului, curățarea datelor, evaluarea politicilor și înregistrarea lanțului de custodie.

Modelul de firewall și rutare într-o arhitectură de tip broker utilizează de obicei o arhitectură IDMZ cu două firewall-uri, în care traficul dintre rețeaua corporativă și DMZ, precum și traficul dintre OT și DMZ sunt controlate separat. Listele de permisiuni se aplică sursei, destinației, protocolului și identității serviciului, astfel încât fiecare flux de lucru să aibă o cale explicită și verificabilă.

Un număr mai mic de fluxuri bine definite reduce complexitatea firewall-ului în comparație cu numeroasele căi personalizate. De asemenea, arhitecturile de tip broker acceptă porturi fixate și puncte finale de serviciu constante, ceea ce simplifică recertificarea regulilor și reduce riscul ca regulile generale să se extindă în timp.

Fluxul de lucru de tip „push către DMZ, apoi pull către OT” funcționează în practică ca o secvență repetabilă: preluare, carantină, inspecție, curățare, aprobare, eliberare și livrare. De asemenea, acest flux de lucru menține segmentarea, deoarece ambele părți se conectează doar la serviciile din DMZ.

Metoda „push” este de obicei adecvată atunci când sistemele IT generează pachete, în timp ce metoda „pull” este de obicei adecvată atunci când sistemele OT preiau conținut aprobat conform unor programe controlate. Un flux de lucru standard poate fi aplicat la nivelul mai multor fabrici atunci când convențiile de denumire, captarea metadatelor și deciziile privind politicile sunt consecvente pentru fiecare flux.

Modelele de transfer de date din IT către DMZ mențin granița OT închisă prin limitarea conectivității expeditorilor din IT la serviciile de preluare din DMZ și la zonele de destinație din DMZ. Printre modelele obișnuite se numără încărcările programate, încărcările declanșate de evenimente și transmiterile API care atașează metadatele necesare pentru luarea deciziilor privind politicile și pentru dovezile de audit.

Ghidul operațional include convenții de denumire uniforme, câmpuri obligatorii de metadate pentru sistemul sursă și zona de destinație vizată, precum și criptarea în timpul transmiterii prin TLS. Transmiterea din partea departamentului IT ar trebui să includă, de asemenea, asocierea identității, astfel încât zona DMZ să poată înregistra utilizatorul sau serviciul care a inițiat transferul.

Modelele de transfer de date din DMZ către OT reduc riscurile și simplifică configurarea firewall-urilor, prin faptul că agenții de recuperare OT sau sarcinile programate inițiază conexiuni de ieșire din OT către DMZ pentru a prelua numai pachetele aprobate. Recuperarea din OT trebuie limitată la cozi sau directoare specifice destinației, astfel încât terminalele OT să nu poată accesa conținutul neaprobat aflat în carantină.

Funcția „Pull” reduce expunerea prin evitarea conexiunilor de intrare către OT și prin limitarea porturilor și serviciilor orientate către OT. Preluarea din OT acceptă, de asemenea, ferestrele de modificare, deoarece sistemele OT pot prelua date numai atunci când programul operațional permite instalarea sau pregătirea.

Măsurile de control obligatorii pentru transferurile de fișiere în zona DMZ industrială includ inspecția, curățarea, carantina, aprobările, accesul pe baza principiului „privilegiului minim”, criptarea și înregistrarea în jurnalul de audit care susține lanțul de custodie. Măsurile de control obligatorii trebuie aplicate în primul rând în zona DMZ, deoarece aceasta reprezintă punctul final și limita de aplicare a politicilor pentru transferul de fișiere între zone.

Endpoint și cele la nivel de destinație își păstrează relevanța, însă zona DMZ ar trebui să constituie punctul de control sistematic care împiedică ocolirea măsurilor de securitate. Fiecare măsură de control ar trebui să corespundă unei etape a fluxului de lucru, astfel încât departamentul operațional să poată anticipa rezultatele, iar echipele de securitate să poată verifica dovezile.

Scanarea malware-ului în zona DMZ fără a se baza pe un singur motor necesită scanare multiplă și detectare pe mai multe niveluri, astfel încât amenințările cunoscute și cele emergente să beneficieze de o acoperire mai mare în ceea ce privește detectarea. Rezultatele obținute prin utilizarea mai multor motoare ar trebui să genereze rezultate clare, precum „aprobat”, „respins” și „necunoscut”, pentru ca fluxurile de lucru să rămână deterministe.

Rezultatele eșuate trebuie să rămână în carantină, cu proceduri de escaladare. Rezultatele necunoscute trebuie să rămână în carantină până la efectuarea unor analize suplimentare, cum ar fi testarea în mediu de testare sau aplicarea unor politici de inspecție mai aprofundate. Politica privind zona DMZ trebuie să definească limitele de timp, etapele de verificare de către analiști și regulile de eliberare, astfel încât carantina să nu se transforme într-un volum de lucru neprocesat și scăpat de sub control.

Tehnologia de dezarmare și reconstrucție a conținutului (CDR) este mai eficientă decât abordările bazate exclusiv pe detectare atunci când este necesară o curățare axată pe prevenire pentru a elimina conținutul activ, chiar și în cazul în care detectarea malware-ului indică rezultate negative. CDR reduce riscul prin reconstrucția fișierelor, menținând funcționalitatea acestora pentru activitatea companiei, în timp ce elimină componentele active, precum macro-urile sau obiectele încorporate, în funcție de politica stabilită.

Printre tipurile de fișiere care beneficiază adesea de procesul de curățare se numără documentele Office, fișierele PDF și arhivele care pot conține scripturi sau încărcături utile încorporate. Politicile care pun accentul pe curățare reduc, de asemenea, dependența de acoperirea semnăturilor și diminuează expunerea operațională la documentele „curate, dar armate” care pătrund în rețeaua OT.

Sandbox pentru transferurile cu risc ridicat sau cu impact semnificativ adaugă o componentă de analiză dinamică pentru a detecta comportamente pe care scanarea statică le-ar putea omite. Sandbox ar trebui să se bazeze pe tipul fișierului, nivelul de încredere al sursei, importanța destinației și tiparele istorice ale amenințărilor observate în mediu.

Sandbox ar trebui să stea la baza deciziilor privind politicile, cu termene clare, astfel încât departamentul operațional să poată anticipa eventualele întârzieri. Politica privind zona DMZ ar trebui să definească modul în care concluziile testelor din mediul de testare se corelează cu perioada de păstrare în carantină, cu cerințele de analiză de către analiști și cu procedurile de escaladare pentru situațiile de întreținere urgentă.

Prevenirea pierderii datelor (DLP) în cazul transferului de fișiere între zone ar trebui să includă măsuri proactive, precum identificarea cuvintelor-cheie și a tiparelor, gestionarea clasificării și restricții privind destinația. Aplicarea măsurilor DLP ar trebui să se alinieze la politicile specifice fiecărui flux, astfel încât datele sensibile să nu ajungă în zone sau destinații neautorizate.

Riscul de blocare excesivă trebuie gestionat prin aplicarea etapizată a măsurilor și prin liste de permisiuni specifice fluxurilor, care să reflecte nevoile operaționale. Câmpurile de înregistrare trebuie să consemneze regulile DLP aplicate, rezultatele comparării și rezultatele procesării, astfel încât rapoartele de conformitate să poată demonstra o gestionare consecventă.

Principiul privilegiului minim și aprobările pentru transferul de fișiere între zone necesită un control al accesului bazat pe roluri, separarea sarcinilor și un acces limitat în timp, aliniat la intervalele de întreținere și la restricțiile legate de întreruperile de serviciu. Politicile privind principiul privilegiului minim ar trebui să împiedice utilizarea conturilor comune și să delimiteze permisiunile în funcție de fluxul de lucru, destinație și tipul de fișier.

Modelele de aprobare ar trebui să fie scalabile la nivelul tuturor locațiilor, prin utilizarea unor roluri uniforme, a unor proceduri uniforme de colectare a dovezilor și a automatizării pentru fluxurile cu risc redus. De asemenea, cadrul de guvernanță ar trebui să definească proceduri de urgență, însoțite de cerințe explicite privind înregistrarea evenimentelor și analiza ulterioară a acestora.

Controlul accesului bazat pe roluri (RBAC) pentru intermediarii de fișiere IT-OT din zona DMZ separă atribuțiile în roluri precum cel de inițiator, revizor, aprobator și operator OT. Sistemul RBAC trebuie să garanteze că un inițiator nu poate publica unilateral conținut în rețeaua OT și că un operator OT nu poate accesa conținutul aflat în carantină.

Integrarea sistemelor de identitate cu furnizorii de identitate existenți poate reduce efortul administrativ, însă riscurile legate de identitatea OT trebuie să fie ținute sub control prin delimitare, segmentare și aplicarea principiului „privilegiului minim”. Conturile de serviciu trebuie să fie unice pentru fiecare flux de lucru, pentru a facilita auditul și a preveni reutilizarea privilegiilor în cadrul unor transferuri fără legătură între ele.

Accesul temporar pentru furnizori și situațiile de urgență ar trebui să se bazeze pe date de autentificare cu valabilitate limitată, permisiuni pe termen scurt și acces cu domeniu de aplicare restrâns pentru fiecare flux de lucru. Accesul temporar reduce expunerea continuă și aliniază intervalele de acces la programele de întreținere și la intervalele de aprobare a modificărilor.

Cerințele privind înregistrarea ar trebui să includă informații cu privire la persoana care a solicitat accesul, persoana care a aprobat accesul, domeniul de aplicare acordat și fișierele transferate în conformitate cu politica privind limitele de timp. Măsurile de urgență ar trebui să genereze un dosar explicit de dovezi care să fie supus examinării, pentru a asigura responsabilitatea în situații de urgență.

Jurnalizarea de audit pentru transferul de fișiere între mediile IT, OT și DMZ, în conformitate cu cerințele de conformitate, trebuie să ofere dovezi complete privind lanțul de custodie de-a lungul mediilor IT, DMZ și OT, fără a se baza pe crearea manuală de tichete. Jurnalizarea de audit ar trebui să sprijine investigațiile, raportarea privind conformitatea și depanarea operațională, cu ajutorul unor identificatori uniformi în toate etapele fluxului de lucru.

Probele privind lanțul de custodie ar trebui să includă informații despre persoana care a trimis un fișier, tipul de inspecție și igienizare efectuate, persoana care a aprobat eliberarea și dacă livrarea a fost confirmată. Jurnalizarea centrată pe DMZ reduce dependența de vizibilitatea terminalelor OT și menține segmentarea.

Câmpurile minime din jurnal care atestă cine a trimis un anumit fișier și unde a fost acesta trimis includ identitatea utilizatorului și identitatea serviciului, zona de origine și zona de destinație, numele fișierelor, hash-urile fișierelor (cum ar fi SHA-256), marcajele temporale pentru fiecare etapă a fluxului de lucru, politica aplicată, rezultatele inspecției și curățării, înregistrările de aprobare și confirmarea livrării. Identificatorii de corelare ar trebui să facă legătura între evenimentele de preluare, carantină, inspecție, eliberare și livrare.

Câmpurile de jurnal standardizate asigură trasabilitatea în cadrul implementărilor cu mai multe locații. Funcția de hash asigură imposibilitatea negării și sprijină procesul de răspuns la incidente, demonstrând integritatea fișierelor pe întreaga cale de transfer.

Monitorizarea operațională și alertele ar trebui să se bazeze pe jurnalele de audit, utilizând condiții de alertă precum eșecuri repetate, încălcări ale politicilor, tipuri de fișiere neobișnuite, volume de transfer anomale și acțiuni necunoscute repetate din partea motoarelor de inspecție. Tablourile de bord operaționale ar trebui să monitorizeze debitul, volumul de fișiere aflate în carantină și ratele de confirmare a livrării, pentru a asigura fiabilitatea.

Integrarea SIEM permite corelarea datelor de securitate, în timp ce tablourile de bord operaționale asigură monitorizarea stării serviciilor și previzibilitatea fluxurilor de lucru. Pragurile de alertă trebuie ajustate pentru fiecare flux, astfel încât destinațiile critice să genereze o escaladare mai rapidă decât livrările de rapoarte cu grad redus de importanță.

Diferența dintre transferul gestionat de fișiere și un server SFTP autonom într-o zonă DMZ OT constă în principal în aspecte legate de guvernanță, integrarea inspecției și auditabilitate, mai degrabă decât în suportul pentru protocoale. Transferul gestionat de fișiere oferă un plan de control pentru rețelele segmentate prin coordonarea politicilor pentru fiecare flux, aplicarea măsurilor de carantină și a aprobărilor, precum și centralizarea colectării probelor.

Un server SFTP autonom devine adesea un punct terminal de transport care se bazează pe procese externe pentru scanare, aprobări și raportare. Implementările Industrial necesită, de obicei, puncte de control consecvente, care să rămână fiabile la scara mai multor locații.

Implementarea SFTP autonomă în zona DMZ dă de obicei greș în timpul orelor de vârf din cauza aprobărilor manuale, a scanării inconsistente împotriva programelor malware, a conturilor partajate, a captării limitate a metadatelor și a jurnalelor fragmentate pe mai multe sisteme. Pașii manuali sporesc, de asemenea, probabilitatea apariției unor comportamente de ocolire a sistemului, în special în timpul ferestrelor de întreținere urgente.

Structura cu mai multe locații accentuează discrepanțele, deoarece fiecare locație tinde să aplice controale ușor diferite în ceea ce privește scanarea, păstrarea datelor și accesul. De asemenea, fragmentarea probelor încetinește anchetele, deoarece demonstrarea lanțului de custodie necesită o corelare manuală între jurnale și sisteme de gestionare a tichetelor disparate.

Un serviciu de transfer gestionat de fișiere care ține cont de limitele de acces ar trebui să ofere coordonarea politicilor pentru fiecare flux, controale de carantină și eliberare, securitate integrată a fișierelor pe mai multe niveluri și vizibilitate centralizată la nivelul tuturor zonelor. De asemenea, un astfel de serviciu ar trebui să suporte niveluri de inspecție care includ scanarea multiplă, CDR, analiza în mediu izolat și aplicarea măsurilor DLP pe parcursul transferului.

OPSWAT MetaDefender File Transfer™ (MFT) poate servi drept exemplu de platformă de transfer gestionat al fișierelor care pune securitatea pe primul plan și care include funcțiile Metascan™ Multiscanning, tehnologia Deep CDR™, Proactive DLP™ și analiza în mediu sandbox într-un flux de lucru unificat. Guvernanța centralizată asigură aplicarea consecventă a politicilor în mediile IT, IDMZ și OT.

Diferența dintre curățarea fișierelor CDR și scanarea antivirus a fișierelor care intră în OT constă în abordarea axată pe prevenire, care vizează reconstrucția, și cea axată pe detectare, care vizează identificarea conținutului rău intenționat. Mecanismele de control pe mai multe niveluri reduc riscul reprezentat de amenințările necunoscute și cele generate de IA, combinând scanarea cu mai multe motoare, curățarea formatelor cu risc ridicat și analiza opțională în mediu izolat pentru cazurile suspecte.

Criteriile de selecție ar trebui să coreleze tipul fișierului și importanța destinației cu nivelul de control. Politicile ar trebui să definească tipurile de fișiere care necesită curățare în mod implicit și tipurile de fișiere care pot rămâne doar la scanare, cu declanșatoare de escaladare.

Scanarea antivirus poate demonstra că un motor de scanare nu a detectat conținut rău intenționat cunoscut pe baza semnăturilor și a algoritmilor euristici disponibili la momentul scanării, dar nu poate dovedi că un fișier este sigur pentru utilizarea în mediile OT. Rezultatele fals negative și amenințările noi rămân semnificative din punct de vedere operațional în mediile critice.

Cazurile considerate „curate”, dar suspecte, ar trebui să rămână în carantină până la efectuarea unei analize pe mai multe niveluri, incluzând scanări multiple, testarea în medii izolate (sandbox) sau aplicarea politicilor de igienizare. Proiectarea fluxului de lucru ar trebui să asigure că rezultatele „curate” înregistrează în continuare dovezi și susțin investigațiile ulterioare în cazul apariției unor anomalii operaționale.

Dezinfectarea de tip Deep CDR™ reprezintă opțiunea implicită mai sigură atunci când este necesară reducerea riscului asociat conținutului activ, chiar și în cazul în care rezultatele detectării sunt negative. Dezinfectarea reduce riscul prin eliminarea sau neutralizarea elementelor active, păstrând în același timp conținutul util pentru necesitățile operaționale.

Printre exemplele de politici se numără sterilizarea implicită a documentelor de birou și a fișierelor PDF care intră în zonele de tranzit OT cu grad ridicat de criticitate, gestionarea mai strictă a arhivelor imbricate și gestionarea controlată a artefactelor de inginerie în funcție de gradul de criticitate al destinației. Politicile de sterilizare ar trebui să înregistreze transformările efectuate pentru a păstra dovezile privind lanțul de custodie.

Alegerea între o diodă de date și o zonă DMZ cu două firewall-uri pentru transferul de fișiere OT reprezintă o opțiune de proiectare între aplicarea unidirecțională și fluxurile de lucru bidirecționale controlate care se încheie totuși în zona DMZ. Proiectele cu diodă de date impun direcționalitatea prin însăși structura lor, în timp ce proiectele IDMZ cu două firewall-uri impun direcționalitatea prin politici și liste de permisiuni.

Aplicarea unidirecțională modifică așteptările privind fluxul de lucru, deoarece confirmările și depanarea interactivă devin limitate. Transferul bidirecțional controlat poate fi justificat atunci când scenariile de utilizare necesită bidirecționalitate, iar măsurile de control compensatorii rămân explicite și verificabile.

O diodă de date este necesară pentru transferurile dintre rețelele OT și IT atunci când toleranța la risc, reglementările sau mediile cu impact major impun o telemetrie strict unidirecțională și reducerea suprafeței de atac. Printre cazurile de utilizare ale diodelor de date se numără, de obicei, monitorizarea unidirecțională, replicarea bazelor de date istorice către exterior sau mediile reglementate care restricționează orice cale de acces către rețelele OT.

Printre compromisurile operaționale se numără capacitatea redusă de a confirma primirea prin confirmări interactive și capacitatea redusă de a rezolva problemele în timp real. Proiectarea fluxului de lucru ar trebui să includă metode alternative de documentare, precum confirmarea livrării din zona DMZ și jurnale imuabile.

Utilizarea a două firewall-uri într-o zonă DMZ industrială permite gestionarea fluxurilor bidirecționale controlate, asigurându-se că fiecare direcție se încheie în zona DMZ prin intermediul unor puncte de control, al unor măsuri de carantină și al aplicării stricte a politicilor. Fluxurile de lucru bidirecționale ar trebui să se limiteze la cazuri de utilizare justificate, precum livrarea actualizărilor de la furnizori, exportul controlat de date sau elementele necesare pentru reconciliere.

Măsurile de compensare trebuie documentate, incluzând liste de permisiuni stricte, porturi blocate, identități de serviciu specifice fiecărui flux și cerințe de aprobare. Documentația trebuie să includă, de asemenea, recertificarea periodică a regulilor de firewall pentru a preveni proliferarea excesivă a acestora.

Livrarea fișierelor de către furnizori către rețeaua operațională (OT) prin intermediul unei zone demilitarizate (DMZ) trebuie să se realizeze printr-un flux de lucru adaptat nevoilor furnizorilor, care să întrerupă accesul acestora în DMZ și să asigure inspecția, carantina, accesul limitat în timp și înregistrarea în jurnalul de audit. Fluxurile de lucru ale furnizorilor trebuie să împiedice accesul direct al acestora la resursele OT, menținând în același timp termenele de livrare previzibile pentru planificarea operațională.

Autentificarea și autorizarea trebuie limitate la zonele de descărcare specifice fiecărui furnizor și la tipurile de fișiere specifice fiecărui furnizor. Transferul către DMZ trebuie să necesite o aprobare înregistrată și să ofere o confirmare a livrării în zona de tranzit OT.

Autentificarea furnizorilor, fără conturi comune sau acces permanent, ar trebui să se bazeze pe identități individuale ale furnizorilor, pe autentificarea multifactorială acolo unde este posibil și pe accesul cu durată limitată, corelat cu intervalele de întreținere. Identitățile furnizorilor ar trebui să fie limitate la anumite zone de descărcare și la politici restrictive privind tipurile de fișiere, pentru a reduce expunerea.

Accesul ar trebui să se limiteze la trimiterea și vizualizarea stării, și nu la preluarea directă a OT-urilor. Accesul furnizorilor ar trebui să includă, de asemenea, aplicarea politicilor privind destinațiile permise, astfel încât pachetele furnizorilor să nu poată fi redirecționate dincolo de locațiile de tranzit aprobate pentru OT-uri.

Fișierele furnizorilor sunt transferate din carantină în starea de eliberare aprobată, trecând prin spațiul de stocare de carantină din DMZ, fiind supuse scanării pentru malware, fiind curățate atunci când este necesar și fiind supuse analizei în mediu izolat atunci când se aplică condițiile de declanșare prevăzute de politică. Accesarea OT ar trebui permisă numai după aprobarea eliberării și după ce politica marchează pachetul ca fiind aprobat.

Aprobarea trebuie efectuată de către persoane cu roluri desemnate, cu separarea sarcinilor, cum ar fi revizorii și cei care autorizează lansarea. Documentația trebuie să includă rezultatele inspecțiilor, măsurile de igienizare, datele și orele, precum și identitatea persoanei care aprobă.

Configurările incorecte ale transferului de fișiere în zona demilitarizată (DMZ) a rețelei OT generează riscuri prin reintroducerea conectivității între zone, slăbirea mecanismelor de control sau încălcarea responsabilității privind aprobările și accesul. Prevenirea configurărilor incorecte necesită stabilirea unor modele explicite de interdicții, revizuiri periodice și semnale de monitorizare care să detecteze din timp comportamentele de ocolire a restricțiilor.

Printre modelele predispuse la risc se numără identitățile partajate, extinderea partajărilor în mediul IMM-urilor, proliferarea regulilor de firewall și operațiunile manuale de copiere care ocolesc carantina. Standardele ar trebui să transpună modurile de eșec în cerințe de arhitectură și operaționale care pot fi aplicate.

Conturile partajate și operațiunile manuale de copiere afectează trasabilitatea, deoarece datele de autentificare partajate elimină principiul nerespingerea și împiedică atribuirea fiabilă a responsabilității în cadrul anchetelor. De asemenea, operațiunile manuale de copiere sporesc riscul ca anumite etape de verificare să fie omise din cauza presiunii timpului.

Pentru operațiunile de trimitere, revizuire, publicare și recuperare ar trebui să fie obligatorii separarea rolurilor și identitățile individuale. Fluxurile de lucru automatizate cu aprobări reduc dependența de practicile informale și generează dovezi coerente care stau la baza auditurilor și a răspunsului la incidente.

Multiplicarea conexiunilor SMB și a regulilor de firewall creează căi invizibile, deoarece modelele de acces SMB tind să se extindă în timp, iar regulile de firewall cu acoperire largă devin dificil de verificat. Aceste căi invizibile subminează scopul segmentării, permițând mișcări laterale care nu pot fi urmărite.

Fixarea serviciilor și listele de permisiuni stricte reduc extinderea accidentală. Recertificarea periodică a regulilor de firewall ar trebui să verifice dacă fiecare regulă corespunde unui flux de lucru aprobat și dacă regulile rămân limitate la punctele de terminare din DMZ, în loc să permită accesul de la un capăt la altul.

O listă de verificare pentru securizarea transferului de fișiere în zona DMZ industrială standardizează procesele de analiză a arhitecturii, integrarea locațiilor și gestionarea modificărilor, transformând controalele din zona IDMZ în elemente de verificare repetabile. O astfel de listă de verificare trebuie să fie aliniată la cerințele privind terminarea conexiunilor în zona DMZ, punctele de control, fluxurile de lucru de guvernanță și probele de audit.

Standardizarea bazată pe liste de verificare reduce abaterile de la un amplasament la altul și îmbunătățește coordonarea între părțile interesate în materie de securitate. Elementele din lista de verificare trebuie formulate ca afirmații verificabile, care pot fi testate în timpul implementării și recertificate în cadrul revizuirilor periodice.

Verificările privind securizarea Firewall a serviciilor pentru transferurile care au ca destinație zona DMZ trebuie să verifice porturile fixate, listele de permisiuni stricte, absența sesiunilor directe între rețelele IT și OT, precum și absența sistemelor de punte cu două conexiuni. De asemenea, modelele de acces administrativ trebuie restricționate, astfel încât accesul personalului de administrare să nu creeze căi ascunse către rețelele OT.

Strategia de aplicare a patch-urilor pentru sistemele din zona DMZ trebuie să se alinieze la intervalele de întreținere și să acorde prioritate minimizării întreruperilor serviciilor. Recertificarea regulilor trebuie să confirme faptul că fiecare regulă corespunde unui flux de lucru documentat și că terminarea rămâne în zona DMZ.

Verificările de consolidare a proceselor de inspecție și igienizare pentru tipurile de fișiere cu risc ridicat ar trebui să verifice acoperirea scanării multiple, acoperirea politicilor CDR, declanșatoarele din mediul sandbox, limitele de gestionare a arhivelor și comportamentul în carantină în cazul eșecurilor și al rezultatelor necunoscute. Gestionarea arhivelor ar trebui să includă limite privind extragerea arhivelor imbricate și verificări ale detectării corecte a tipurilor de fișiere.

Gestionarea excepțiilor trebuie să implice înregistrarea motivelor, aprobarea explicită și păstrarea probelor. De asemenea, excepțiile trebuie să determine efectuarea unor revizuiri periodice, pentru a se evita ca derogările temporare să devină căi permanente de ocolire a procedurilor.

Cerințele din cererea de ofertă (RFP) pentru transferul gestionat de fișiere între rețelele IT, OT și DMZ ar trebui să acorde prioritate asigurării securității la granițe, securității fișierelor pe mai multe niveluri, guvernanței centralizate și posibilității de audit pentru mediile segmentate. Formularea cererii de ofertă ar trebui să rămână axată pe fluxul de lucru, astfel încât cerințele să reflecte terminarea transferului în zona DMZ, punctele de control, aprobările și înregistrarea probelor, mai degrabă decât doar caracteristicile de transport.

Cerințele din cererea de ofertă ar trebui să includă, de asemenea, disponibilitatea ridicată, funcționarea în regim offline sau în condiții de rețea limitată, precum și implementarea uniformă a politicilor în toate locațiile. Cerințele ar trebui să definească modul în care platforma asigură fluxurile de lucru de tip „push către DMZ, apoi pull către OT” fără a genera sesiuni între zone.

Cerințele privind protocoalele și conectorii ar trebui să includă protocoalele uzuale necesare în mediile corporative și industriale, fără a pune un accent excesiv pe transport. Așteptările privind integrarea ar trebui să includă suportul pentru comportamentul de tip „store-and-forward” și suportul pentru rețelele cu capacitate limitată sau deconectate.

Cerințele din cererea de ofertă ar trebui să specifice un comportament previzibil în cazul încercărilor repetate, transferuri care pot fi reluate pentru fișiere de dimensiuni mari și mecanisme de control al lățimii de bandă care să țină seama de operațiunile din fabrică. Cerințele privind conectorul ar trebui să vizeze, de asemenea, gestionarea identității serviciilor și integrarea cu sistemele de identitate, acolo unde este posibil.

Cerințele privind coordonarea politicilor ar trebui să specifice definirea politicilor pentru fiecare flux, fluxurile de lucru pentru carantină și eliberare, rutarea automată și separarea sarcinilor. Coordonarea politicilor ar trebui să includă puncte de integrare explicite pentru scanarea multiplă, CDR, sandboxing și aplicarea măsurilor DLP pe parcursul transferului.

Cerințele privind fluxul de lucru pentru aprobare ar trebui să prevadă un sistem de aprobări pe niveluri și automatizarea fluxurilor cu risc redus, însoțită de proceduri documentate de gestionare a excepțiilor. De asemenea, cerințele ar trebui să specifice câmpurile de date care trebuie înregistrate în fiecare etapă, în scopuri de audit și investigare.

Cerințele privind vizibilitatea și pista de audit ar trebui să precizeze cerințele referitoare la raportare și câmpurile din jurnale, măsurile de control privind păstrarea datelor, precum și exportul către platforme SIEM sau platforme centralizate de jurnale. Cerințele privind jurnalizarea imuabilă ar trebui să precizeze măsurile de control împotriva falsificării și măsurile de control al accesului pentru recuperarea probelor.

Cerințele privind confirmarea livrării trebuie să prevadă dovezi care să ateste că pachetele aprobate au ajuns la punctul de triaj OT și au fost preluate de persoane autorizate. Cerințele privind pachetele de dovezi trebuie să includă hash-uri, marcaje temporale, rezultate ale inspecțiilor, aprobări și identificatori de corelare.

Bazându-se pe tehnologiile Metascan Multiscanning, Deep CDR™, Proactive DLP și sandboxing, MetaDefender Managed File Transfer MFT) este soluția de transfer gestionat de fișiere (MFT) OPSWAT, care reduce riscurile asociate fișierelor prin controlul centralizat al transferului de fișiere IT/OT intermediat printr-o zonă DMZ industrială.