De ce transferurile de fișiere reprezintă una dintre principalele căi de pătrundere a programelor malware

Riscul asociat programelor malware de transfer de fișiere reprezintă probabilitatea ca un conținut rău intenționat sau exploatabil să pătrundă într-un mediu de încredere prin intermediul schimbului obișnuit de fișiere și să permită executarea, deplasarea laterală sau compromiterea datelor. Acest risc crește atunci când fișierele primite trec granițele de încredere fără a fi inspectate sau fără a fi supuse unor controale de eliberare obligatorii.

Impactul operațional include pregătirea atacurilor cu ransomware, furtul datelor de autentificare prin intermediul programelor de încărcare, compromiterea lanțului de aprovizionare prin intermediul partenerilor de încredere și contaminarea între zone în cadrul rețelelor segmentate. Echipele de operațiuni IT trebuie să trateze fișierele primite ca fiind conținut nesigur până la finalizarea procesului de inspecție, curățare și validare a politicilor.

Transferurile de fișiere ocolesc adesea măsurile de detectare și răspuns la nivel de terminal, deoarece fișierele ajung direct pe servere, în partiții de rețea sau în fluxuri de lucru automatizate, fără a fi verificate de utilizatori. Automatizarea transferului de fișiere transferă conținutul prin conturi de serviciu, sarcini programate și integrări care nu generează solicitări sau verificări la nivel de utilizator.

Fluxurile de lucru pentru importul în lot, folderele de depunere și integrările API creează fluxuri de lucru care depășesc limitele, în cadrul cărora conținutul este procesat imediat după sosire. În absența unor controale de inspecție în timp real și a unor mecanisme de carantină și eliberare, fișierele dăunătoare se pot răspândi înainte de a fi detectate.

O cale de transfer a fișierelor prezintă un risc ridicat atunci când un fișier depășește o limită de încredere, ajunge pe un sistem cu privilegii, conține tipuri de fișiere volatile și nu beneficiază de inspecție în timp real cu măsuri de carantină. O cale de transfer a fișierelor prezintă un risc mai redus atunci când, înainte de livrare, se aplică inspecția, curățarea, utilizarea directoarelor cu privilegii minime și respectarea strictă a politicilor.

Evaluarea riscului ar trebui să țină seama de:

• A fost depășită limita de încredere (de la exterior la interior, de la IT la OT, de la DMZ la rețeaua centrală)
• Sensibilitatea destinației și privilegiile de sistem
• Volatilitatea tipurilor de fișiere și conținutul activ
• Efectuarea unei inspecții înainte de livrare și eliberarea produsului

Atacatorii exploatează frecvent portalurile de încărcare SFTP, FTPS și HTTPS, atașamentele de e-mail, linkurile partajate și căile de sincronizare în cloud pentru a introduce programe malware transmise prin fișiere. Punctele de intrare pentru transferul de fișiere beneficiază de încrederea companiei, deoarece furnizorii, partenerii și echipele interne utilizează aceleași canale pentru schimbul de date de rutină.

Abuzul de parteneri de încredere și automatizarea rutinelor fac ca fișierele rău intenționate să pară normale din punct de vedere operațional. Atacatorii acordă prioritate căilor care traversează limitele de încredere și declanșează procesarea ulterioară fără a fi verificate.

Schimbul de fișiere prin SFTP devine o cale de distribuire a programelor malware atunci când furnizorii sau sistemele de integrare automatizate încarcă fișiere direct în directoarele interne fără a verifica conținutul acestora. Modalitățile de utilizare a SFTP includ conturile de serviciu, transferurile programate și procesarea în lot a datelor primite.

Măsurile de securitate insuficiente, precum utilizarea excesivă a parolelor, reutilizarea datelor de autentificare, permisiunile prea largi pentru directoare și lipsa verificării în timp real sporesc vulnerabilitatea. Secure nu garantează siguranța fișierelor.

Transferurile FTPS devin vulnerabile atunci când transportul criptat este confundat cu securitatea conținutului. FTPS protejează datele în tranzit folosind TLS, dar nu verifică conținutul fișierelor.

Printre capcanele operaționale se numără modificarea certificatelor, configurațiile învechite ale clienților și excepțiile din firewall care acordă prioritate conectivității în detrimentul verificării. În absența măsurilor de carantină și a controlului accesului, conținutul nesigur pătrunde în fluxurile de lucru de încredere.

Portalurile de încărcare HTTPS pun la dispoziție interfețe publice pentru trimiterea de fișiere, cum ar fi portalurile pentru clienți, sistemele de ticketing și formularele de înregistrare. Protocolul HTTPS criptează traficul, dar nu elimină conținutul dăunător al fișierelor. 

Firewall-urile pentru aplicații web se concentrează pe tiparele cererilor și pe validarea datelor de intrare, mai degrabă decât pe inspectarea aprofundată a fișierelor. Inspectarea fișierelor în timp real la nivelul încărcării împiedică fișierele nesigure să ajungă în spațiul de stocare intern. 

Atacatorii ascund programele malware în tipuri de fișiere transferate frecvent, folosind arhive imbricate, exploatarea macro-urilor, lanțuri de exploatări și falsificarea tipurilor de fișiere. Programele malware transmise prin fișiere reușesc să evite verificările superficiale prin încorporarea de conținut activ în formate legitime utilizate în mediul de afaceri.

La elaborarea politicilor trebuie să se țină cont de faptul că este necesară detectarea bazată pe conținut pentru toate fișierele primite care trec de limitele de încredere.

Fișierele ZIP și arhivele imbricate împiedică scanarea simplă prin recursivitate profundă, protecție cu parolă și neconcordanțe de extensii. Recursivitatea arhivelor ascunde conținutul executabil la mai multe niveluri de adâncime.

Măsurile de control trebuie să asigure respectarea limitelor privind dimensiunea arhivelor, a politicilor de decompresie, a regulilor privind gestionarea arhivelor protejate prin parolă și a inspecției obligatorii înainte de publicare.

Documentele Office care acceptă macrocomenzi distribuieprograme de tip ransomwareși loader-uri prin declanșarea scripturilor încorporate sau a obiectelor legate în timpul interacțiunii cu documentul. Formatele de fișiere Office acceptă conținut activ care se execută în contextul utilizatorului. 

Politicile ar trebui să aplice mecanisme de control bazate pe liste de permisiuni, restricții privind macro-urile și tehnica „Content Disarm and Reconstruction” pentru a elimina elementele active, păstrând în același timp funcționalitatea. 

Fișierele PDF nu sunt în mod automat sigure, deoarece documentele PDF pot conține scripturi, linkuri și coduri malicioase care vizează vulnerabilitățile programelor de citire a fișierelor PDF. Atacurile bazate pe fișiere PDF se prezintă adesea sub forma facturilor, contractelor sau rapoartelor. 

Fișierele PDF primite care trec de granițele de încredere trebuie inspectate și igienizate pentru a elimina conținutul activ și a valida structura. 

SFTP, FTPS și HTTPS diferă în ceea ce privește modelele de criptare și autentificare a transportului, dar nu reduc în mod inerent riscul asociat conținutului fișierelor. Secure protejează canalul de comunicare, nu conținutul propriu-zis.

Riscul de malware persistă dacă nu se efectuează verificarea, curățarea și aplicarea politicilor înainte de livrarea în sistemele de încredere.

Secure protejează confidențialitatea și integritatea datelor în timpul transmiterii prin criptarea acestora și prin protejarea datelor de autentificare împotriva interceptării. Secure reduce riscul de atacuri de tip „man-in-the-middle” și de monitorizare pasivă. 

Secure nu detectează conținutul rău intenționat, vulnerabilitățile de tip zero-day din programele de analiză a fișierelor sau încălcările politicilor încorporate în fișiere.

Transferurile criptate reduc vizibilitatea la nivelul rețelei atunci când nu se efectuează inspecția acolo unde textul necriptat este disponibil. Instrumentele de detectare a rețelei nu pot analiza datele utile criptate fără o terminare controlată. 

Inspecția trebuie să aibă loc la punctele finale, la punctele de acces sau la nivelurile de transfer gestionat al fișierelor, unde fișierele sunt decriptate, inspectate, curățate și recriptate înainte de a fi transmise mai departe. 

O arhitectură recomandată pentru scanarea tuturor fișierelor primite înainte de livrare necesită inspecție în timp real și fluxuri de lucru de tip „carantină-eliberare” integrate în căile de transfer al fișierelor. Inspecția fișierelor trebuie să funcționeze ca un punct de aplicare a politicilor, nu ca un supliment opțional.

Echipele de operațiuni IT ar trebui să coreleze fluxurile de lucru de inspecție cu amplasarea în zona DMZ, rețelele segmentate și transferurile între zone.

Un flux de lucru de la carantină la eliberare stochează temporar fișierele într-un spațiu de stocare izolat, efectuează inspecția și curățarea acestora, atribuie o decizie de conformitate și eliberează fișierele aprobate către destinația prevăzută. 

Etapele fluxului de lucru includ primirea, punerea în carantină, inspectarea, dezinfectarea sau distrugerea, aprobarea sau blocarea și livrarea. Automatizarea, logica de reîncercare și gestionarea eficientă a eșecurilor asigură menținerea nivelurilor de serviciu fără a compromite securitatea. 

Verificarea fișierelor în zona DMZ trebuie să aibă loc înainte ca acestea să treacă din rețelele externe cu nivel redus de încredere în zonele interne cu nivel ridicat de încredere. Platformele de transfer gestionat al fișierelor sau gateway-urile securizate din zona DMZ funcționează ca straturi de verificare controlată.

Inspecția trebuie să aibă loc înainte de accesul în scris la sistemele interne, pentru a asigura respectarea deciziilor privind limitele de încredere.

Livrarea directă către rețea sau direct către aplicații sporește amploarea potențialului impact, permițând fișierelor primite să se execute sau să se răspândească înainte de a fi inspectate. Scrierea directă pe un NAS intern, în foldere de depozitare sau în directoarele aplicațiilor sporește riscul de expunere.

Modelele de livrare mediată necesită un rezultat pozitiv al inspecției înainte de a acorda permisiuni de scriere către destinațiile interne.

Măsurile de securitate care reduc riscul de malware asociat transferului de fișiere, pe lângă criptare, includ validarea tipului de fișier, scanarea multiplă, CDR (Content Disarm and Reconstruction), analiza în mediu izolat și prevenirea pierderii datelor. Criptarea asigură protecția în timpul transferului, în timp ce măsurile de securitate a conținutului validează și neutralizează încărcăturile dăunătoare.

Alegerea măsurii de control trebuie să țină seama de nivelul de încredere al sursei, de caracterul sensibil al destinației și de volatilitatea tipului de fișier.

Listele de tipuri de fișiere permise și validarea conținutului împiedică pătrunderea fișierelor executabile și a celor cu risc ridicat în medii sensibile. Politicile bazate pe liste de tipuri permise impun o verificare strictă a extensiilor și a tipurilor de conținut.

Excepțiile de natură comercială trebuie să fie temporare, să fie analizate și înregistrate pentru a evita apariția unor lacune permanente în politici.

Multiscanning detectarea prin utilizarea mai multor motoare anti-malware pentru a analiza același fișier și a reduce punctele nevralgice ale unui singur motor. Scanarea consensuală sporește gradul de încredere în rezultatele obținute la transferul de fișiere. 

Proiectarea operațională ar trebui să definească pragurile de decizie pentru sistemele cu mai multe motoare, procesele de triere a rezultatelor fals pozitive și fluxurile de lucru pentru escaladarea rezultatelor contestate. 

Funcția „Dezarmare și reconstrucție a conținutului” elimină conținutul activ din documente și creează versiuni sigure pentru distribuire. Această funcție reduce riscul de atacuri de tip „zero-day” și de exploatare a vulnerabilităților, păstrând în același timp funcționalitatea documentelor. 

Schimburile de documente de volum mare beneficiază de procesul de curățare atunci când procesele operaționale necesită un timp de răspuns rapid și un risc redus de execuție. 

Tehnica de tip „sandbox” analizează comportamentul fișierelor în medii controlatepentru a detecta programe malware necunoscute sau care vizează anumite sisteme. Sandbox oferă indicatori comportamentali care depășesc limitele semnăturilor statice. 

Sandbox și tehnicile de eludare necesită o gestionare bine definită a eliberării cu întârziere, pentru a menține nivelurile de serviciu fără a se ajunge la o eliberare nesigură. 

Proactive DLP politicilor de clasificare a datelor pentru fișierele în tranzit, pentru a preveni scurgerea de informații de identificare personală (PII), informații medicale protejate (PHI), date PCI sau alte date reglementate. Proactive DLP gestionarea transferului de fișiere la cerințele de reglementare. 

Politicile DLP ar trebui să corespundă schimburilor de date cu furnizorii, înregistrărilor reglementate și transferurilor transfrontaliere de date, pentru a asigura obținerea unor rezultate determinate ale politicilor. 

Securizarea transferurilor de fișiere în rețelele segmentate și la granițele dintre IT și OT necesită o verificare obligatorie și o guvernanță riguroasă la fiecare punct de trecere a granițelor de încredere. Segmentarea sporește dependența de transferul de fișiere ca cale de excepție între zone.

Inspecția, carantina și eliberarea controlată previn contaminarea între zone și asigură fiabilitatea operațională.

Fișierele care trec dintr-o zonă cu nivel scăzut de încredere într-una cu nivel ridicat de încredere necesită verificarea explicită a identității expeditorului, a tipurilor de fișiere permise, a rezultatelor inspecției și a destinatarilor autorizați. Politicile privind limitele de încredere trebuie să definească cine poate trimite, ce poate fi trimis și unde pot ajunge fișierele.

Directoarele cu privilegii minime și măsurile de control înainte de livrare asigură respectarea limitelor stabilite.

Transferul de fișiere la granița dintre IT și OT trebuie să evite conectivitatea bidirecțională necontrolată sau directoarele partajate. Partajările fără restricții creează puncte de acces neautorizate persistente între rețelele IT și cele operaționale.

Modelele de intermediere a transferurilor controlate, fluxurile de lucru unidirecționale acolo unde este necesar și etapele de aprobare explicite asigură separarea, permițând în același timp schimbul necesar.

Pentru a demonstra că transferurile de fișiere au fost verificate, este necesară înregistrarea detaliată a operațiunilor de inspecție, a aplicării politicilor și a deciziilor privind eliberarea. Dovezile trebuie să susțină atât procesul de audit, cât și răspunsul la incidente.

Jurnalele trebuie să ateste executarea deterministă a controalelor pentru fiecare fișier care trece o graniță de încredere.

Jurnalele MFT pentru protecția împotriva programelor malware trebuie să includă identitățile utilizatorilor sau ale sistemului, terminalele sursă și destinație, marcajele temporale, protocolul utilizat, hash-urile fișierelor (cum ar fi SHA-256), deciziile privind politicile și rezultatele inspecției. 

Jurnalele detaliate sprijină măsurile de izolare și investigațiile tehnice în urma incidentelor suspectate de tipul celor transmise prin fișiere. 

Înregistrările privind scanarea și igienizarea ar trebui să includă versiunile motorului, rezultatele pentru fiecare motor, acțiunile de dezarmare și reconstrucție a conținutului, indicatorii din mediul de testare și dispoziția finală. 

Înregistrările reproductibile și jurnalele protejate din punct de vedere al integrității consolidează valoarea probatorie în cadrul auditurilor și al anchetelor.

O listă de verificare privind securitatea transferului gestionat de fișiere pentru schimburile cu furnizorii și sectoarele reglementate oferă o metodă adaptată arhitecturii sistemului pentru evaluarea și reducerea riscului de malware asociat transferului de fișiere. Lista de verificare ar trebui să evalueze politicile, fluxul de lucru, amplasarea punctelor de inspecție și captarea probelor.

Măsurile de control privind schimbul de fișiere cu furnizorii ar trebui să standardizeze procesul de integrare a partenerilor, verificarea identității, accesul limitat în timp, gestionarea cheilor și a certificatelor, precum și directorii cu drepturi minime. Fluxurile de lucru cu furnizorii trebuie să includă carantina, inspecția în timp real și livrarea controlată către destinații interne.

Aplicarea consecventă a regulilor reduce abuzurile din partea partenerilor de încredere și riscul de eludare a automatizării.

Măsurile de control care reduc răspândirea programelor de tip ransomware includ blocarea tipurilor de fișiere cu risc ridicat, curățarea documentelor primite, izolarea zonelor de tranzit pentru fișierele primite și restricționarea permisiunilor conturilor de serviciu. Monitorizarea volumelor neobișnuite de fișiere sau a încălcărilor repetate ale politicilor permite identificarea încercărilor de introducere a fișierelor în aceste zone.

Stadierea izolată și administrarea mediată reduc raza de acțiune.

MetaDefender File Transfer™ este soluția de transfer gestionat de fișiere (MFT) OPSWAT, destinată schimbului securizat de fișiere, reglementat prin politici, între mediile IT și OT. MetaDefender File Transfer™ integrează inspecția fișierelor în linie, scanarea multiplă, tehnologia Deep CDR™, Proactive DLP, analiza sandbox îmbunătățită cu AI, criptarea și guvernanța centralizată direct în fluxul de lucru al transferului pentru a sprijini eliberarea controlată, probele gata de audit și protecția transfrontalieră.