Fájltovábbítások biztosítása elszigetelt működési környezetekben
A közüzemi ágazat továbbra is állandó kiberfenyegetésekkel szembesül, beleértve a célzott rosszindulatú szoftvereket, zsarolóprogramokat és nulladik napi támadásokat, különösen ott, ahol az OT (operatív technológiai) rendszereknek külső forrásokból kell adatokat felvenniük. Az IBM X-Force Threat Intelligence Index szerint az energiaszolgáltatók a negyedik leginkább célzott iparágnak számítanak 2024-ben.
Ahogy a közüzemi műveletek egyre inkább digitalizálódnak, a külső fájlok - például diagnosztikai jelentések, javítási fájlok és rendszerfrissítések - feldolgozása a belső eszközök felfedése nélkül vált alapvető követelménnyé. Ezek az átvitelek gyakran harmadik féltől származó szállítókkal és hordozható adathordozókkal, például USB történnek, amelyek a rosszindulatú programok beszivárgásának és a megfelelőség megsértésének nagy kockázatát hordozzák, ha nem ellenőrzik őket megfelelően.
E kockázatok mérséklése érdekében a vállalat olyan szegmentált architektúrát vezetett be, amely a fájlátviteli folyamatokat teljes mértékben a saját bizalmi zónájukon belül tartja. MetaDefender Managed File TransferMFT) és a MetaDefender Core alacsony biztonságú (külső) és magas biztonságú (belső) környezetekben egyaránt telepítették. Mindegyik környezet egymástól függetlenül működik, a zónák között nincs közvetlen kapcsolat. A fájlok átvizsgálása és feldolgozása mostantól a zónaspecifikus biztonsági irányelvek szerint történik, biztosítva, hogy a külső beadványok ne kerüljék meg a belső biztonsági intézkedéseket.
Szabályzat alapú fájlfeltöltések érvényesítése belső és külső forrásokból
A vállalat működési folyamatai megkövetelik a fájlok biztonságos bevitelét mind a belső mérnöki csapatoktól, mind a külső vállalkozóktól. Ezek a fájlok tartalmazhatnak rendszerdiagnosztikát, javítócsomagokat vagy frissítési hasznos terheléseket, amelyeket a belső rendszerek veszélyeztetése nélkül kell bevinni a védett OT-környezetekbe.
A MetaDefender megoldások bevezetése előtt ezek az átadások gyakran kézi eljárásokra és ad hoc eszközökre támaszkodtak, beleértve a megosztott meghajtókat, a nem biztonságos fájlátvitelt és a fizikai adathordozók átadását. Különösen USB szállítások nem rendelkeztek szabványosított vizsgálati eljárásokkal, ami a rosszindulatú programok behurcolásának és a következetlen házirend-érvényesítésnek a kockázatát jelentette.
Ennek megoldására a szervezet a MetaDefender Managed File Transfer és a MetaDefender Core keresőmotorokat telepítette alacsony és magas biztonsági szintű környezetekben egyaránt. A fájlok beküldését - akár USB a MetaDefender Kiosk keresztül, akár a MetaDefender MFT hitelesített webes felületein (WebGUI) keresztül - az egyes zónákon belül egymástól függetlenül kezelik, az USB és a hálózatról származó fájlok házirenddel kikényszerített feltöltésével.
MetaDefender Kiosk feltöltőállomást biztosít a cserélhető adathordozók vizsgálatához, mielőtt azok a hálózatba kerülnének, míg a webalapú feltöltés a helyileg kezelt fiókokon keresztül hitelesített felhasználókra korlátozódik. Minden fájlt a zónaspecifikus szabályok szerint vizsgálnak, beleértve a tartalmi címkézést és a MetaDefender Core segítségével történő mélyreható fenyegetésvizsgálatot. Ez biztosítja, hogy a beadványok feldolgozása biztonságosan, a zónákon átívelő megosztott infrastruktúrának való kitettség nélkül történik.
Ez a struktúra lehetővé teszi a vállalat számára, hogy teljes működési elválasztást tartson fenn az alacsony és a magas biztonsági szintű hálózatok között, miközben szükség esetén lehetővé teszi a fájlfeltöltést. Emellett biztosítja az összes feltöltés, felhasználói művelet és házirenddel kapcsolatos döntés teljes körű ellenőrzési naplózását és nyomon követhetőségét, ami lehetővé teszi a belső házirend következetes érvényesítését, és segít az ellenőrzési és megfelelőségi követelmények teljesítésében.
Az OPSWATmegoldása: MetaDefender Managed File Transfer szegmentált környezetben
A vállalat az OPSWAT MetaDefender Managed File Transfer megoldását választotta, miután azonosította az igényt a szegmentált hálózati környezetekben biztonságosan működő fájlátviteli technológiára. Alapvető követelmény volt, hogy az egyes környezeteken belül lehetővé kell tenni a biztonságos fájlfeltöltést, akár belső felhasználóktól, akár külső beszállítóktól származik, miközben szigorúan el kell különíteni az alacsony és a magas biztonságú zónákat.
A megoldást két teljesen független környezetként telepítették. A MetaDefender Managed File Transfer és a MetaDefender Core egy példányát az alacsony biztonságú zónában, egy másik példányát pedig a magas biztonságú zónában telepítették. Mindkét példány önállóan működik, saját biztonsági házirendeket és vizsgálati munkafolyamatokat alkalmazva minden bejövő fájlra.
A MetaDefender Kioszkokat a kulcsfontosságú feltöltési pontokon helyezték el, hogy lehetővé tegyék az USB adathordozók biztonságos átvitelét. Ezek a kioszkok ellenőrzött feltöltőállomásokként működnek, lehetővé téve a felhasználók számára, hogy a belső hálózatokhoz való közvetlen hozzáférés nélkül szkenneljenek és küldjenek be fájlokat. A webalapú feltöltés is támogatott, a felhasználók helyileg kezelt fiókokon keresztül hitelesítettek. Ez biztosítja a biztonságos beküldést anélkül, hogy a belső címtárszolgáltatásokat kitenné.
A szegmentált, szabályzatok által ellenőrzött fájl-munkafolyamatok és a többszintű fenyegetésérzékelés minden egyes környezetben történő érvényesítésével a vállalat biztonságos és ellenőrizhető folyamatot hozott létre a külső és belső fájlok kezelésére. A fájlokat soha nem továbbítják a zónák között, így a bizalmi határokat soha nem lépik át, miközben lehetővé teszik az operatív fájlkézbesítést, ahol csak szükséges.
3 Az OPSWAT Technologies által nyújtott kulcsfontosságú képességek
Fájl beolvasás
A MetaDefender Kiosk vagy a MetaDefender Managed File Transfer WebGUI segítségével beküldött összes fájl többszintű fenyegetés-érzékelésnek van kitéve. A fájlok átvizsgálása a fogadó környezeten belül a következő eszközökkel történik MetaDefender Coreamely aláírás- és viselkedésalapú elemzést egyaránt alkalmaz az ismert és ismeretlen fenyegetések azonosítására és blokkolására. Az átvizsgálási irányelvek az érzékeny fájltípusokat, például a nemzeti érdekű (SNI) tartalmakat is azonosíthatják, hogy a szabályozási kereteknek megfelelő kezelést biztosítsák.
Zónaspecifikus hitelesítés
A külső felhasználók a MetaDefender MFT WebGUI-n keresztül küldik be a fájlokat az egyes környezeteken belül függetlenül kezelt helyi fiókok segítségével. Ez a helyi felhasználói hitelesítésen keresztül, Active Directory integráció nélkül biztosítja a zéró bizalmi hozzáférés-szabályozást. Minden felhasználói művelet naplózásra kerül, teljes mértékben hozzárendelve az adott személyazonosságokhoz, támogatva az elszámoltathatóságot és a nyomon követhetőséget.
Automatizált fájl útválasztás
A jóváhagyott fájlok a házirendnek megfelelően automatikusan az egyes zónákon belüli előre meghatározott tárolóhelyekre (például kijelölt SMB-megosztásokra) kerülnek, csökkentve a kézi kezelés kockázatát és biztosítva az ellenőrzött kézbesítési utakat. Ez csökkenti a kézi munkát, kiküszöböli az emberi hiba kockázatát, és biztosítja, hogy csak ellenőrzött fájlok kerüljenek az üzemi környezetbe. Minden átvitel naplózásra kerül, és minden kivétel a házirendben meghatározott válaszokat vált ki.
Ezek az ellenőrzések együttesen lehetővé teszik a vállalat számára a biztonsági zónák közötti szigorú elkülönítést, miközben lehetővé teszik az operatív fájlfeltöltést és -feldolgozást egységes irányítás mellett.
Ellenálló képesség kiépítése szegmentált, irányelvvezérelt fájlfeltöltéseken keresztül
Azáltal, hogy a vállalat többszintű, házirenddel ellenőrzött megközelítést alkalmaz a fájlátvitelre, jelentősen csökkentette a fájlokból származó fenyegetéseknek való kitettségét, miközben szigorú működési határokat tartott fenn a bizalmi zónák között. MetaDefender Core mélyreható tartalomvizsgálatot hajt végre, függetlenül attól, hogy a fájlok a Kiosk beolvasott USB származnak, vagy a MetaDefender MFT WebGUI-n keresztül kerülnek átadásra.
Az egyes zónák egymástól függetlenül dolgozzák fel a fájlokat, így biztosítva, hogy a biztonsági határokat nem lépik át a fájlok. Ez a szegmentálási stratégia az automatizált munkafolyamatokkal és a részletes ellenőrzési naplózással kombinálva lehetővé teszi a szervezet számára, hogy a belső biztonsági irányelveknek és a szabályozási elvárásoknak a működési rugalmasság veszélyeztetése nélkül feleljen meg.
Mivel a fenyegetettségi környezet fejlődik, és az OT-környezetek továbbra is értékes célpontok maradnak, ez az architektúra jövőbiztos alapot biztosít a biztonságos, nyomon követhető fájlkezeléshez, függetlenül attól, hogy honnan származnak a fájlok.
Annak feltárása, hogy MetaDefender Managed File Transfer segíthet az Ön szervezetének a biztonságos, ellenőrizhető fájlfeltöltések és -átvitelek érvényesítésében a szegmentált környezetekben, beszéljen még ma egy szakértővel.
