Managed File Transfer IT-, OT- és DMZ-hálóManaged File Transfer

Az ipari DMZ-n keresztül történő IT/OT fájlátvitel biztonsági és üzemeltetési problémát jelent, mivel az üzemeltetési célú fájlcserének át kell lépnie azokat a szegmentációs határokat, amelyek a kiberkockázat csökkentése érdekében lettek létrehozva. Industrial továbbra is szükség van arra, hogy a javítások, receptúrák, naplófájlok, beszállítói anyagok, biztonsági másolatok és jelentések előre meghatározott ütemezés szerint mozoghassanak a zónák között.

Az olyan ad hoc csatornák, mint az e-mail, a megosztott meghajtók, az átmeneti szerver és a cserélhető adathordozók, növelik a fájlokon keresztül terjedő rosszindulatú programok kockázatát, és rontják a nyomonkövethetőséget. Industrial (IDMZ) munkafolyamatok esetében is szükség van ellenőrzési bizonyítékokra, a változáskezelés összehangolására, valamint a telephelyek közötti következetes végrehajtásra az egyszeri kivételek elkerülése érdekében.

Az IT-ről az OT-re történő fájlátvitel gyakori alkalmazási esetei közé tartoznak a tervezési munkacsomagok, a PLC- és HMI-frissítések, a történeti adatok kivonatai, a vírusirtó szignatúrák frissítései, a biztonsági mentések, valamint a gyártói firmware-csomagok. A tervezési dokumentumok és a firmware-frissítések esetében általában szigorúbb nyomonkövethetőségi bizonyítékokra van szükség, mint a rutinjelentések vagy az időszakos naplóexportok esetében.

A rendszeres adatáramlások közé általában a tervezett biztonsági mentések, a vírusirtó frissítések és a szokásos jelentések elküldése tartozik. A sürgős adatáramlások közé általában a vészhelyzeti firmware-javítások, az incidenskezeléshez szükséges adatlekérdezések vagy az időérzékeny receptmódosítások tartoznak. A nyomonkövethetőségi követelmények szigorodnak, ha a fájlok biztonsági szempontból kritikus működést változtathatnak meg, vagy lényegesen befolyásolhatják a gyártás minőségét.

A hagyományos vállalati DMZ-modell nem illeszkedik tökéletesen az OT-hez, mivel az internet felé nyitott DMZ elsősorban a külső hozzáférést szabályozza, míg az ipari DMZ elsősorban a determinisztikus műveletek végrehajtását, a szigorú változáskezelést és a biztonsági szempontból kritikus folyamatok védelmét biztosítja. A Purdue 3.5-ös szintű szegmentáció célja az OT-be vezető útvonalak korlátozása, valamint a zónák közötti implicit bizalom csökkentése. 

Az operációs technológiában (OT) a fájlokból származó kockázat fokozottabb, mivel a régi rendszerek, a korlátozott frissítési időkeretek és a rendelkezésre állási korlátok miatt kevesebb a mozgástér a reagáló jellegű hibaelhárításra. Industrial emellett olyan kiszámítható adatátviteli útvonalakra és megismételhető jóváhagyási folyamatokra van szükség, amelyek ellenőrizhetők anélkül, hogy közvetlen IT–OT kapcsolatot kellene létrehozni. 

Az, hogy minden kapcsolat a DMZ-ben végződik, azt jelenti, hogy az IT és az OT közötti fájlátvitel során el kell kerülni a vállalati végpontok és az OT-végpontok közötti, a bizalmi határon átnyúló közvetlen végpontok közötti kapcsolatokat. Az, hogy minden kapcsolat a DMZ-ben végződik, azt is jelenti, hogy a tervezés során el kell kerülni a zónákat összekötő, két hálózati kapcsolattal rendelkező szervereket, valamint azokat a tűzfalszabályokat, amelyek zónák közötti klienskapcsolatokat engedélyeznek.

Ez az elv konkrét, indokolt korlátozásokban nyilvánul meg: az IT-rendszerek kizárólag a DMZ-szolgáltatásokkal kommunikálnak, az OT-rendszerek szintén kizárólag a DMZ-szolgáltatásokkal kommunikálnak, a fájlok átvitelére pedig közvetítői tárolás-és-továbbítás munkafolyamatok keretében kerül sor. Az ipari DMZ végpontjai ellenőrzési, karanténba helyezési, jóváhagyási és auditnaplózási ellenőrzőpontokká válnak.

Az automatizálás megszakítása nélküli, IT-ről OT-re irányuló közvetlen kapcsolatok megakadályozásához olyan közvetített adatátviteli mintákra van szükség, amelyekben a küldő fél kizárólag a DMZ-ben található átviteli szolgáltatásokhoz csatlakozik, az OT-vevő pedig kizárólag a DMZ-ben található letöltési szolgáltatásokhoz. A közvetített fájlátvitel általában egy „push-to-DMZ” (DMZ-be történő feltöltés) lépést követ, amelyet egy „pull-to-OT” (OT-re történő letöltés) lépés követ, így nem jön létre zónák közötti kapcsolat.

A rögzített portok, a szigorú engedélyezési listák és a munkafolyamatokhoz rendelt szolgáltatási azonosítók alkalmazásával a portok kitettsége minimális szinten marad. A munkafolyamatokhoz rendelt szolgáltatási fiókok csökkentik az oldalirányú mozgás kockázatát, és támogatják a hozzáférési szabályok újbóli hitelesítését az időszakos felülvizsgálatok során.

A kettős hálózati kártyás konfiguráció és a megosztott tároló véletlen zónák közötti hidakat hozhat létre, mivel a kettős hálózati kártyával rendelkező gazdagép a szegmentációs határokon átnyúló útválasztási vagy hitelesítési csomóponttá válhat. A megosztott SMB-fájlmegosztások és a replikált hitelesítő adatok szintén alááshatják a szegmentáció célját, mivel olyan implicit zónák közötti hozzáférési útvonalakat tesznek lehetővé, amelyeket nehéz felmérni és újra hitelesíteni.

A kerülendő gyakorlatok közé tartoznak a kettős hálózati kapcsolattal rendelkező fájlszerver, amelyek egyszerre érintik az IT- és az OT-hálózatot, a zónák közötti „átadási” pontként használt megosztott SMB-mappák, valamint az ellenőrző pontok megkerülésére szolgáló, átmeneti gazdagépen keresztül történő fájlátvitel. A határok érvényesítése a kényelmi útvonalak helyett a kapcsolódási pontok ellenőrzésén, az adatforgalom vizsgálatán és a kifejezett engedélyezésen alapul.

A fájlátvitelre szolgáló, Purdue 3.5-ös szintű ipari DMZ-architektúra az IDMZ-t a vállalati IT- és OT-hálózatok közötti ellenőrzési és szabályalkalmazási határként határozza meg. A Purdue 3.5-ös szintű ipari DMZ-architektúra továbbá biztosítja, hogy az IT- és OT-végpontok egymás helyett a DMZ-szolgáltatásokhoz kapcsolódjanak.

A DMZ-szolgáltatások alapvető elemei közé általában tartozik egy fájlátviteli átjáró vagy felügyelt fájlátviteli szerver, karanténtároló, ellenőrzési szintek, valamint központi naplózás. A közvetített „store-and-forward” működésmód biztosítja a műveletek megbízható végrehajtását, miközben a szegmentálás célját is megőrzi.

Az ipari DMZ-ben a biztonságos fájlcserét szolgáló szolgáltatások közé tartoznak a fájlátviteli átjáró vagy a felügyelt fájlátviteli szerver, a rosszindulatú programok ellenőrzésére és szandboxolására szolgáló rétegek, a tartalom-semlegesítés és -rekonstrukció (CDR) rétegei, a karantén-tároló, valamint a központosított naplófájl-gyűjtés. Industrial szolgáltatásai emellett magukban foglalják a jóváhagyási és kiadási folyamatokat irányító munkafolyamat-kezelő és szabályalkalmazási komponenseket is.

Az IT-végpontoknak a fájlokat a DMZ átmeneti tárolóiba kell feltölteniük, az OT-végpontoknak pedig a jóváhagyott csomagokat a DMZ átmeneti tárolóiból kell letölteniük. A DMZ határa lesz az egységes ellenőrzési pont a rosszindulatú programok szűréséhez, a fertőzésmentesítéshez, a szabályzatok értékeléséhez és a felelősségi lánc nyilvántartásához.

A közvetítői architektúrában alkalmazott tűzfal- és útválasztási modell általában kettős tűzfalas IDMZ-architektúrát használ, amelyben a vállalati hálózat és a DMZ közötti forgalom, valamint az operatív technológiai hálózat és a DMZ közötti forgalom külön-külön kerül szabályozásra. A megengedett listák a forrásra, a célra, a protokollra és a szolgáltatás azonosítójára vonatkoznak, így minden munkafolyamatnak van egy egyértelmű, ellenőrizhető útvonala.

A kevesebb, jól meghatározott adatáramlás csökkenti a tűzfal komplexitását a számos egyedi útvonalhoz képest. A közvetítő alapú kialakítások emellett támogatják a rögzített portokat és az egységes szolgáltatási végpontokat, ami egyszerűsíti a szabályok újbóli hitelesítését, és csökkenti annak esélyét, hogy az általános szabályok idővel kiterjedjenek.

A „DMZ-be továbbítás, majd OT-ba letöltés” munkafolyamat a gyakorlatban egy ismétlődő láncolatként működik: adatbeolvasás, karanténba helyezés, ellenőrzés, tisztítás, jóváhagyás, kiadás és kézbesítés. A „DMZ-be továbbítás, majd OT-ba letöltés” munkafolyamat emellett megőrzi a szegmentációt is, mivel mindkét oldal kizárólag a DMZ-szolgáltatásokhoz csatlakozik.

A „push” módszer általában akkor megfelelő, amikor az IT-rendszerek kezdeményezik a csomagok elküldését, míg a „pull” módszer általában akkor, amikor az OT-rendszerek ellenőrzött ütemezés szerint töltik le a jóváhagyott tartalmakat. A szabványos munkafolyamat több üzemben is érvényesíthetővé válik, ha az elnevezési szabályok, a metaadatok rögzítése és a szabályzati döntések minden egyes folyamat esetében egységesek.

Az IT-ről a DMZ-re történő adatátviteli minták az IT-küldők DMZ-beviteli szolgáltatásokhoz és DMZ-átvételi zónákhoz való hozzáférésének korlátozásával biztosítják az operatív hálózat (OT) határainak zártságát. A gyakori minták közé tartoznak az ütemezett feltöltések, az események által kiváltott feltöltések, valamint az API beküldések, amelyekhez csatolják a szabályzati döntésekhez és az ellenőrzési bizonyítékokhoz szükséges metaadatokat.

Az üzemeltetési útmutató tartalmazza az egységes elnevezési szabályokat, a forrásrendszerhez és a célzónához szükséges metaadat-mezőket, valamint a TLS-en keresztüli átviteli titkosítást. Az informatikai oldalon történő beküldésnek tartalmaznia kell az azonosító-összekapcsolást is, hogy a DMZ rögzíthesse, melyik felhasználó vagy szolgáltatás kezdeményezte az átvitelt.

A DMZ-ből az OT-ba irányuló letöltési minták csökkentik a kockázatot és egyszerűsítik a tűzfalak működését azáltal, hogy az OT-letöltő ügynökök vagy az ütemezett feladatok kizárólag a jóváhagyott csomagok letöltése céljából kezdeményeznek kimenő kapcsolatokat az OT-ből a DMZ-be. Az OT-letöltést célhely-specifikus sorokra vagy könyvtárakra kell korlátozni, hogy az OT-végpontok ne férhessenek hozzá a jóvá nem hagyott, karanténba helyezett tartalmakhoz.

A Pull-módszer csökkenti a biztonsági kockázatot azáltal, hogy elkerüli az OT-rendszerbe irányuló bejövő kapcsolatokat, valamint korlátozza az OT-rendszer felé nyíló portokat és szolgáltatásokat. Az OT-rendszerből történő letöltés a változási ablakokat is támogatja, mivel az OT-rendszerek csak akkor tudnak adatokat letölteni, ha az üzemeltetési ütemterv lehetővé teszi a telepítést vagy a bevezetést.

Az ipari DMZ-fájlátviteleknél elengedhetetlenül szükséges biztonsági intézkedések közé tartozik az ellenőrzés, a tisztítás, a karanténba helyezés, a jóváhagyás, a legkisebb jogosultság elve szerinti hozzáférés, a titkosítás, valamint a felelősségi láncot alátámasztó ellenőrzési naplózás. Ezeket az elengedhetetlenül szükséges biztonsági intézkedéseket elsősorban a DMZ-ben kell érvényesíteni, mivel a DMZ jelenti a zónák közötti fájlmozgás végpontját és szabályzati határát.

Endpoint és a célállomások Endpoint továbbra is fontos, de a DMZ-nek olyan egységes ellenőrzési pontként kell működnie, amely megakadályozza a rendszer megkerülését. Minden ellenőrzési intézkedést egy munkafolyamat-szakaszhoz kell rendelni, hogy az üzemeltetők előre láthassák az eredményeket, a biztonsági csapatok pedig ellenőrizhessék a bizonyítékokat.

A DMZ-ben történő rosszindulatú programok ellenőrzése – anélkül, hogy egyetlen motorra támaszkodnánk – többszintű ellenőrzést és réteges észlelést igényel, hogy az ismert és az újonnan megjelenő fenyegetések észlelési aránya magasabb legyen. A több motoros ellenőrzés eredményeinek egyértelmű minősítéseket kell adniuk – például „megfelelt”, „nem felelt meg” és „ismeretlen” –, hogy a munkafolyamatok továbbra is determinisztikusak maradjanak.

A sikertelen eredményeket továbbra is karanténban kell tartani, és fel kell állítani az eskalációs folyamatokat. Az ismeretlen eredményeket további elemzések – például sandbox-tesztelés vagy alaposabb vizsgálati szabályok – elvégzéséig szintén karanténban kell tartani. A DMZ-szabályzatnak meg kell határoznia az időkorlátokat, az elemzői felülvizsgálati lépéseket és a felszabadítási szabályokat, hogy a karantén ne váljon ellenőrizhetetlen felhalmozódássá.

A tartalom-semlegesítés és -rekonstruálás (CDR) hatékonyabb a pusztán észlelésre épülő módszereknél, ha a megelőzésre fókuszáló tisztítási eljárásra van szükség az aktív tartalom eltávolításához, még akkor is, ha a rosszindulatú programok észlelése tiszta eredményt jelez. A CDR a kockázatot úgy csökkenti, hogy a fájlokat úgy rekonstruálja, hogy azok üzleti használhatósága megmaradjon, miközben a házirendnek megfelelően eltávolítja az aktív összetevőket, például a makrókat vagy a beágyazott objektumokat.

Azok a fájltípusok, amelyek esetében a tisztítás gyakran előnyös, közé tartoznak az irodai dokumentumok, a PDF-fájlok, valamint az olyan archívumok, amelyek szkripteket vagy beágyazott kártékony kódokat tartalmazhatnak. A „tisztítás elsőbbségét” előtérbe helyező irányelvek továbbá csökkentik a szignatúra-lefedettségtől való függőséget, és mérséklik az operatív kockázatot, amelyet az OT-hálózatba bekerülő, „tiszta, de fegyverként felhasználható” dokumentumok jelentenek.

A magas kockázatú vagy jelentős hatással járó adatátvitelek Sandbox dinamikus elemzéssel egészíti ki a folyamatot, hogy felismerje azokat a viselkedésmintákat, amelyek a statikus vizsgálat során elkerülhetik a figyelmet. Sandbox a fájltípuson, a forrás megbízhatósági szintjén, a célhely kritikus fontosságán, valamint a környezetben megfigyelt korábbi fenyegetési mintázatokon kell alapulniuk.

Sandbox egyértelmű időkeretekkel kell alátámasztaniuk a szabályzati döntéseket, hogy az operatív csapatok előre láthassák a késedelmeket. A DMZ-szabályzatnak meg kell határoznia, hogy a sandbox-eredmények hogyan kapcsolódnak a karanténban való tároláshoz, az elemzői felülvizsgálati követelményekhez, valamint a sürgős karbantartási esetekre vonatkozó eskalációs folyamatokhoz.

A zónák közötti fájlmozgatásra vonatkozó adatvesztés-megelőzés (DLP) keretében proaktív ellenőrző mechanizmusokat kell alkalmazni, mint például a kulcsszavak és minták összehasonlítása, az osztályozás kezelése, valamint a célhelyre vonatkozó korlátozások. A DLP-szabályok érvényesítésének összhangban kell lennie az egyes adatfolyamokra vonatkozó szabályokkal, hogy az érzékeny adatok ne kerülhessenek jogosulatlan zónákba vagy célhelyekre.

A túlzott blokkolás kockázatát fokozatos végrehajtással és az üzemeltetési igényeket tükröző, adatfolyam-specifikus engedélyezési listákkal kell kezelni. Az adatmezőkben rögzíteni kell az alkalmazott DLP-szabályokat, az egyezési eredményeket és a kezelés kimenetelét, hogy a megfelelőségi jelentések igazolhassák a következetes kezelést.

A legkisebb jogosultság elve és a zónák közötti fájlátvitel jóváhagyása megköveteli a szerepköralapú hozzáférés-vezérlést, a feladatok szétválasztását, valamint a változási ablakokhoz és az üzemszüneti korlátozásokhoz igazodó, időben korlátozott hozzáférést. A legkisebb jogosultság elvén alapuló irányelveknek meg kell akadályozniuk a megosztott fiókok használatát, és a jogosultságokat a munkafolyamatok, a célhelyek és a fájltípusok szerint kell meghatározniuk.

A jóváhagyási modelleket az egyes telephelyeken egységes szerepkörök, egységes bizonyíték-rögzítés és az alacsony kockázatú folyamatok automatizálása révén kell kiterjeszteni. Az irányítási rendszernek emellett vészhelyzeti eljárásokat is meg kell határoznia, amelyekhez kifejezett naplózási és esemény utáni felülvizsgálati követelmények tartoznak.

Az IT-OT DMZ fájlkezelők szerepköralapú hozzáférés-vezérlése (RBAC) a feladatokat olyan szerepkörökre osztja, mint a benyújtó, az ellenőr, a közzétevő és az OT-letöltő. Az RBAC-nek biztosítania kell, hogy a benyújtó ne tudjon egyoldalúan tartalmat közzétenni az OT-ben, és hogy az OT-letöltő ne férhessen hozzá a karanténba helyezett tartalmakhoz.

A meglévő identitásszolgáltatókkal való integráció csökkentheti az adminisztratív terheket, de az operációs rendszerrel kapcsolatos identitáskockázatokat a hatókör meghatározásával, a szegmentálással és a legkisebb jogosultság elvének alkalmazásával kell kordában tartani. A szolgáltatási fiókoknak munkafolyamatonként egyedinek kell lenniük az ellenőrzés elősegítése, valamint annak megakadályozása érdekében, hogy a jogosultságokat egymástól független átvitelek során újra felhasználják.

A beszállítók számára biztosított, időkorlátos hozzáférés, valamint a vészhelyzetek esetén érvényes hozzáférés során lejárati idejű hitelesítő adatokat, időkorlátozott jogosultságokat és a munkafolyamatokhoz igazodó, szűk körű hozzáférést kell alkalmazni. Az időkorlátos hozzáférés csökkenti a tartós biztonsági kockázatot, és összehangolja a hozzáférési időtartamokat a karbantartási ütemtervekkel és a változtatások jóváhagyási időszakaival.

A naplózási követelményeknek tartalmazniuk kell, hogy ki kérte a hozzáférést, ki hagyta jóvá azt, milyen körű hozzáférést biztosítottak, valamint hogy az időkorlátos szabályzat alapján mely fájlokat továbbítottak. A vészhelyzeti intézkedéseknek egyértelmű bizonyítékcsomagot kell létrehozniuk felülvizsgálat céljából, hogy vészhelyzetben is biztosított legyen az elszámoltathatóság.

A szabályozási előírásoknak megfelelő IT–OT–DMZ fájlátvitelhez szükséges auditnaplózásnak az IT, a DMZ és az OT hálózatok egészén átnyúló, végpontok közötti láncbiztonsági bizonyítékot kell nyújtania anélkül, hogy manuális jegyrendszerre lenne szükség. Az auditnaplózásnak a munkafolyamat minden szakaszában egységes azonosítók segítségével kell támogatnia a vizsgálatokat, a szabályozási jelentéseket és az üzemeltetési hibaelhárítást.

A nyomonkövethetőségi adatoknak tartalmazniuk kell, hogy ki nyújtotta be az aktát, milyen ellenőrzés és fertőtlenítés történt, ki hagyta jóvá a kiadást, valamint hogy megerősítették-e a kézbesítést. A DMZ-központú naplózás csökkenti az operációs technológiai végpontok láthatóságától való függőséget, és megőrzi a szegmentációt.

Azok a minimálisan szükséges naplómezők, amelyek igazolják, hogy ki küldött melyik fájlt és hová került az, a következők: a felhasználó és a szolgáltatás azonosítója, a forrás- és a célzóna, a fájlnevek, a fájl hash-értékei (például SHA-256), az egyes munkafolyamat-szakaszok időbélyegei, az alkalmazott szabályzat, az ellenőrzés és a tisztítás eredményei, a jóváhagyási adatok, valamint a kézbesítési visszaigazolás. A korrelációs azonosítóknak összekapcsolniuk kell a beolvasási, karanténba helyezési, ellenőrzési, felszabadítási és kézbesítési eseményeket.

Az egységes naplómezők lehetővé teszik a nyomon követhetőséget a több telephelyen történő telepítések esetén. A hash-kódolás biztosítja a visszautasítás kizárását, és elősegíti az incidensek kezelését azáltal, hogy igazolja a fájlok integritását az átviteli útvonalon.

Az üzemeltetési felügyeletet és a riasztásokat az ellenőrzési naplófájlokból kell levezetni, olyan riasztási feltételek alapján, mint az ismétlődő hibák, a szabályszegések, a szokatlan fájltípusok, a rendellenes adatátviteli mennyiség, valamint az ellenőrző modulok által jelzett ismétlődő ismeretlen sorsolások. Az üzemeltetési irányítópultoknak nyomon kell követniük az átviteli sebességet, a karanténban lévő felhalmozódott fájlok mennyiségét és a kézbesítési visszaigazolási arányokat a megbízhatóság fenntartása érdekében.

A SIEM-integráció elősegíti a biztonsági összefüggések feltárását, míg az üzemeltetési irányítópultok segítik a szolgáltatások állapotának nyomon követését és a munkafolyamatok kiszámíthatóságát. A riasztási küszöbértékeket folyamatonként kell beállítani, hogy a kritikus célállomások esetében gyorsabb eskaláció történjen, mint az alacsonyabb prioritású jelentések kézbesítése esetén.

A felügyelt fájlátvitel és az OT DMZ-ben működő önálló SFTP-kiszolgáló közötti különbség elsősorban nem a támogatott protokollokban, hanem az irányításban, az ellenőrzés integrálásában és a nyomon követhetőségben nyilvánul meg. A felügyelt fájlátvitel szabályozási réteget biztosít a szegmentált hálózatok számára azáltal, hogy adatfolyamonkénti szabályokat hangol össze, karantént és jóváhagyásokat érvényesít, valamint központosítja a bizonyítékok gyűjtését.

Az önálló SFTP-k gyakran olyan átviteli végpontokká válnak, amelyek a vizsgálatok, jóváhagyások és jelentések tekintetében külső folyamatokra támaszkodnak. Industrial általában olyan egységes ellenőrzési pontokat igényelnek, amelyek több telephelyet átfogó méretben is megbízhatóan működnek.

A DMZ-ben működő önálló SFTP-rendszerek az operatív időszakban általában meghibásodnak a kézi jóváhagyások, az inkonzisztens kártevő-ellenőrzés, a megosztott fiókok, a korlátozott metaadatok rögzítése, valamint a több rendszerre szétaprózódott naplófájlok miatt. A kézi műveletek emellett növelik a rendszer megkerülésének valószínűségét, különösen a sürgős karbantartási időszakokban.

A több telephelyen történő működés tovább növeli a hiányosságokat, mivel az egyes telephelyek általában kissé eltérő szkennelési, adatmegőrzési és hozzáférési szabályokat alkalmaznak. A széttagolt bizonyítékok emellett lassítják a nyomozásokat is, mivel a bizonyítékok láncolatának igazolásához kézzel kell összevetni a különböző naplófájlokat és jegyrendszereket.

A határokat figyelembe vevő felügyelt fájlátvitelnek biztosítania kell az egyes adatfolyamokra vonatkozó szabályok összehangolását, a karanténba helyezés és a felszabadítás ellenőrzését, az integrált többrétegű fájlbiztonságot, valamint a zónák közötti központosított áttekinthetőséget. A határokat figyelembe vevő felügyelt fájlátvitelnek emellett támogatnia kell az átviteli útvonalon végrehajtott többszintű ellenőrzést, amely magában foglalja a többszöri vizsgálatot, a CDR-t, a sandbox-elemzést és a DLP-szabályok érvényesítését.

OPSWAT MetaDefender File Transfer™ (MFT) egy olyan, biztonságközpontú fájlátviteli platform példája, amely Multiscanning Metascan™ Multiscanning, a Deep CDR™ technológia, a Proactive DLP™ és a sandbox-elemzés funkciókat egyesíti egy egységes munkafolyamatban. A központosított irányítás biztosítja a szabályok következetes érvényesítését az IT-, IDMZ- és OT-környezetekben egyaránt.

Az OT-rendszerbe érkező fájlok esetében a CDR-fájlok tisztítása és a víruskeresés közötti különbség a rosszindulatú tartalmak megelőzésre irányuló kezelése és a felismerésre irányuló azonosítása között húzódik. A többszintű védelmi mechanizmusok csökkentik az ismeretlen és a mesterséges intelligenciával generált fenyegetések kockázatát azáltal, hogy több motoros víruskeresést, a magas kockázatú formátumok tisztítását, valamint gyanús eseteknél opcionális sandbox-elemzést kombinálnak.

A kiválasztási kritériumoknak össze kell hangolniuk a fájltípusokat és a célhelyek fontosságát az ellenőrzés szintjével. A szabályzatoknak meg kell határoznia, hogy mely fájltípusok esetében alapértelmezés szerint szükséges a tisztítás, és melyeknél elegendő a vizsgálat, kiegészítve riasztási feltételekkel.

A víruskeresés bizonyíthatja, hogy a vizsgálati motor a vizsgálat időpontjában a rendelkezésre álló szignatúrák és heurisztikák alapján nem észlelte az ismert rosszindulatú tartalmakat, de nem bizonyíthatja, hogy egy fájl biztonságos-e az OT-hálózatban való használatra. A téves negatív eredmények és az új típusú fenyegetések továbbra is jelentős operatív kockázatot jelentenek a kritikus környezetekben.

Az „tisztának tűnő, de gyanús” eseteket továbbra is karanténban kell tartani a többszintű elemzésig, amely magában foglalja a többszöri vizsgálatot, a sandbox-tesztelést vagy a tisztítási szabályzatok alkalmazását. A munkafolyamat kialakításának biztosítania kell, hogy a „tiszta” eredmények esetében is rögzítsék a bizonyítékokat, és azok későbbi vizsgálatot tegyenek lehetővé, amennyiben működési rendellenességek merülnek fel.

A Deep CDR™ technológián alapuló tartalomtisztítás a biztonságosabb alapbeállítás, ha az aktív tartalmak kockázatát csökkenteni kell, még akkor is, ha az észlelési eredmények negatívak. A tartalomtisztítás az aktív elemek eltávolításával vagy semlegesítésével csökkenti a kockázatot, miközben a működési igényekhez szükséges használható tartalmat megőrzi.

A szabályzatok példái között szerepel az irodai dokumentumok és PDF-fájlok alapértelmezett tisztítása a kiemelt fontosságú OT-átmeneti területekre való belépéskor, a beágyazott archívumok szigorúbb kezelése, valamint a műszaki dokumentumok célállomásuk fontosságának megfelelő, ellenőrzött kezelése. A tisztítási szabályzatoknak rögzíteniük kell a végrehajtott átalakításokat a lánc-nyomonkövethetőségi bizonyítékok megőrzése érdekében.

Az OT-fájlátvitelhez használt adatdióda és a kettős tűzfalas DMZ közötti választás alapvetően az egyirányú érvényesítés és a DMZ-ben végződő, ellenőrzött kétirányú munkafolyamatok közötti tervezési döntés. Az adatdióda-megoldások tervezésüknél fogva biztosítják az irányultságot, míg a kettős tűzfalas IDMZ-megoldások szabályzatok és engedélyezési listák segítségével érvényesítik az irányultságot.

Az egyirányú végrehajtás megváltoztatja a munkafolyamatra vonatkozó elvárásokat, mivel a visszaigazolások és az interaktív hibaelhárítás korlátozottá válik. Az ellenőrzött kétirányú adatátvitel akkor is indokolt maradhat, ha az alkalmazási esetek kétirányúságot igényelnek, és a kompenzáló ellenőrző mechanizmusok továbbra is egyértelműek és ellenőrizhetőek maradnak.

Az OT-ről az IT-re történő adatátvitelhez adatdióda szükséges, amennyiben a kockázati tolerancia, a szabályozás vagy a súlyos következményekkel járó környezetek szigorú egyirányú adatátvitelt és a támadási felület csökkentését írják elő. Az adatdióda tipikus alkalmazási területei közé tartozik az egyirányú felügyelet, a történeti adatok kifelé történő replikálása, illetve azok a szabályozott környezetek, amelyek korlátozzák az OT felé vezető bejövő adatátviteli útvonalakat.

A működési kompromisszumok közé tartozik az interaktív visszaigazolásokon keresztüli átvétel-visszaigazolás korlátozott lehetősége, valamint a valós idejű hibaelhárítás korlátozott lehetősége. A munkafolyamat-tervezésnek tartalmaznia kell alternatív bizonyítási módszereket, például a DMZ-oldali kézbesítési visszaigazolást és a módosíthatatlan naplófájlokat.

Az ipari DMZ-ben található kettős tűzfalak biztosítják a szabályozott kétirányú adatforgalmat azáltal, hogy mindkét irányban a DMZ-ben végződik a forgalom, ahol ellenőrző kapuk, karanténkezelés és szigorú szabályok érvényesítése várja az adatokat. A kétirányú adatáramlást indokolt esetekre kell korlátozni, mint például a gyártói frissítések kézbesítése, a szabályozott adatexport vagy a szükséges egyeztetési dokumentumok.

A kompenzáló ellenőrző mechanizmusokat dokumentálni kell, ideértve a szigorú engedélyezési listákat, a rögzített portokat, az egyes adatfolyamokhoz tartozó szolgáltatási azonosítókat és a jóváhagyási követelményeket. A dokumentációnak ki kell terjednie a tűzfalszabályok időszakos újrahitelesítésére is, hogy elkerülhető legyen a szabályok túlburjánzása.

A beszállítói fájlok DMZ-n keresztül történő továbbításakor olyan, a beszállítók számára is kényelmes munkafolyamatot kell alkalmazni, amely lezárja a beszállítók hozzáférését a DMZ-ben, és biztosítja az ellenőrzést, a karanténba helyezést, az időkorlátozott hozzáférést, valamint a naplózást. A beszállítói munkafolyamatoknak meg kell akadályozniuk a beszállítók közvetlen hozzáférését az operatív hálózati eszközökhöz, ugyanakkor a szállítási határidőket előre jelezhetővé kell tenniük az üzemeltetési tervezés érdekében.

A hitelesítést és a jogosultság-ellenőrzést a szállító-specifikus letöltési zónákra és a szállító-specifikus fájltípusokra kell korlátozni. A DMZ-ből történő kiadáshoz írásbeli jóváhagyás szükséges, és biztosítani kell a kézbesítés visszaigazolását az OT átmeneti tárolóba.

A megosztott fiókok és az állandó hozzáférés nélküli beszállítói hitelesítés során egyedi beszállítói azonosítókat, lehetőség szerint többfaktoros hitelesítést, valamint a karbantartási időszakokhoz igazodó, lejárati idővel rendelkező hozzáférést kell alkalmazni. A beszállítói azonosítók hatályát konkrét letöltési területekre és szigorú fájltípus-szabályokra kell korlátozni a kockázat csökkentése érdekében.

A hozzáférést a beküldésre és az állapot megtekintésére kell korlátozni, a közvetlen OT-letöltés helyett. A szállítói hozzáférésnek ki kell terjednie a megengedett célállomásokra vonatkozó szabályok érvényesítésére is, hogy a szállítói csomagok ne kerülhessenek a jóváhagyott OT-átmeneti helyeken túlra.

A beszállítói fájlok a karanténból a jóváhagyott kiadásba kerülnek úgy, hogy először a DMZ karanténtárolóba kerülnek, majd átesnek egy kártevő-ellenőrzésen, szükség esetén tisztításon, és amennyiben a szabályzat érvényesül, sandbox-elemzésen is. Az operációs technológiák (OT) általi letöltés csak a kiadás jóváhagyását követően, valamint miután a szabályzat a csomagot jóváhagyottként jelölte meg, engedélyezhető.

A jóváhagyást olyan kijelölt szerepköröknek kell elvégezniük, amelyeknél a feladatok szétválasztása biztosított, például a felülvizsgálóknak és a kiadóknak. A bizonyítékok rögzítésének tartalmaznia kell az ellenőrzés eredményeit, a tisztítási intézkedéseket, az időbélyegeket és a jóváhagyó személyazonosságát.

Az OT-DMZ fájlátvitel helytelen konfigurálása kockázatot jelent, mivel újra lehetővé teszi a zónák közötti kapcsolatot, gyengíti az ellenőrző kapukat, illetve aláássa a jóváhagyásokkal és a hozzáféréssel kapcsolatos elszámoltathatóságot. A helytelen konfigurálás megelőzéséhez egyértelmű tiltó szabályokra, rendszeres felülvizsgálatokra, valamint olyan figyelési jelzésekre van szükség, amelyek korán felismerik a szabályok megkerülését.

A kockázati tényezőket jelentő minták közé tartoznak a megosztott identitások, a kis- és középvállalkozások (SMB) megosztási hálózatainak terjedése, a tűzfal-szabályok túlburjánzása, valamint a karantént megkerülő kézi másolási műveletek. A szabványoknak a lehetséges hibaforrásokat végrehajtható architektúra- és üzemeltetési követelményekké kell átültetniük.

A megosztott fiókok és a kézi másolási lépések aláássák a felelősségre vonhatóságot, mivel a megosztott hitelesítő adatok megakadályozzák a tagadás kizárását, és megnehezítik a felelősség megállapítását a vizsgálatok során. A kézi másolási lépések emellett növelik annak esélyét, hogy időnyomás alatt kihagyják az ellenőrzési lépéseket.

A benyújtási, felülvizsgálati, közzétételi és visszakeresési műveletek során kötelezővé kell tenni a szerepkörök szétválasztását és az egyéni azonosítók használatát. A jóváhagyásokkal ellátott automatizált munkafolyamatok csökkentik az informális gyakorlatokra való támaszkodást, és következetes bizonyítékokat szolgáltatnak, amelyek alátámasztják az ellenőrzéseket és az incidenskezelést.

Az SMB-megosztások és a tűzfalszabályok elburjánzása láthatatlan átjárókat hoz létre, mivel az SMB-hozzáférési minták idővel egyre bővülnek, és a túl széles körű tűzfalszabályok ellenőrzése egyre nehezebbé válik. A láthatatlan átjárók aláássák a szegmentálás célját, mivel nyomon követhetetlen oldalirányú mozgási lehetőségeket tesznek lehetővé.

A szolgáltatások rögzítése és a szigorú engedélyezési listák csökkentik a véletlen kiterjesztés kockázatát. A tűzfalszabályok rendszeres újrahitelesítése során ellenőrizni kell, hogy minden szabály egy jóváhagyott munkafolyamathoz kapcsolódik-e, és hogy a szabályok a DMZ végpontjaira korlátozódnak-e, ahelyett, hogy végpontok közötti hozzáférést tennének lehetővé.

Az ipari DMZ-fájlátvitel biztonsági ellenőrzési listája egységesíti az architektúra-felülvizsgálatokat, a telephelyek bevonását és a változáskezelést azáltal, hogy az IDMZ-ellenőrzési elemeket ismétlődő ellenőrzési tételekké alakítja. Az ipari DMZ-fájlátvitel biztonsági ellenőrzési listájának összhangban kell lennie a DMZ-terminációval, az ellenőrző pontokkal, az irányítási munkafolyamatokkal és az auditbizonyítékokra vonatkozó követelményekkel.

Az ellenőrzőlista alapú szabványosítás csökkenti a telephelyek közötti eltéréseket és javítja az érdekelt felek közötti összhangot a biztonsági kérdésekben. Az ellenőrzőlista tételeit olyan ellenőrizhető állítások formájában kell megfogalmazni, amelyek a megvalósítás során tesztelhetők, és az időszakos felülvizsgálatok során újra tanúsíthatók.

A DMZ-n keresztül bonyolított adatátvitelek Firewall szolgáltatásbiztonsági ellenőrzéseinek során ellenőrizni kell a rögzített portokat, a szigorú engedélyezési listákat, valamint azt, hogy ne legyenek közvetlen IT–OT munkamenetek és kettős csatlakozású hídrendszerek. Az adminisztrátori hozzáférési mintákat is korlátozni kell, hogy az irányítási hozzáférés ne hozzon létre rejtett átjárókat az OT-hálózatokba.

A DMZ-rendszerekre vonatkozó javítási stratégiának összhangban kell lennie a karbantartási időablakokkal, és elsődleges célja a szolgáltatás megszakításának minimalizálása kell, hogy legyen. A szabályok újbóli hitelesítése során meg kell győződni arról, hogy minden szabály egy dokumentált munkafolyamathoz kapcsolódik, és hogy a forgalom továbbra is a DMZ-n belül marad.

A magas kockázatú fájltípusokra vonatkozó ellenőrzési és fertőtlenítési szigorítási vizsgálatoknak ellenőrizniük kell a többszöri vizsgálat lefedettségét, a CDR-szabályok alkalmazását, a homokozó-funkciók aktiválódását, az archívumkezelési korlátokat, valamint a karanténba helyezés viselkedését hiba vagy ismeretlen eredmény esetén. Az archívumkezelésnek ki kell terjednie a beágyazott archívumok kibontásának korlátozására és a fájltípusok pontos felismerésére is.

A kivételek kezelése során indoklást kell rögzíteni, kifejezett jóváhagyást kell kérni, és a bizonyító dokumentumokat meg kell őrizni. A kivételeknek emellett rendszeres felülvizsgálatot kell kiváltaniuk annak érdekében, hogy az ideiglenes engedmények ne váljanak állandó kiskapukká.

Az IT-, OT- és DMZ-hálózatok közötti felügyelt fájlátvitelre vonatkozó ajánlati felhívás követelményeinek elsődleges hangsúlyt kell fektetniük a határellenőrzésre, a többrétegű fájlbiztonságra, a központosított irányításra és a szegmentált környezetek ellenőrizhetőségére. Az ajánlati felhívás szövegének továbbra is a munkafolyamatokra kell összpontosítania, hogy a követelmények ne csupán az átviteli funkciókat, hanem a DMZ-ben történő végpontkezelést, az ellenőrző kapukat, a jóváhagyási folyamatokat és a bizonyítékok rögzítését is tükrözzék.

Az ajánlattételi felhívás követelményeinek ki kell terjedniük a magas rendelkezésre állásra, az offline vagy korlátozott hálózati működésre, valamint a helyszínek közötti egységes szabályzat-bevezetésre is. A követelményeknek meg kell határoznia, hogy a platform hogyan valósítja meg a „push to DMZ, majd pull to OT” munkafolyamatokat anélkül, hogy zónák közötti munkameneteket hozna létre.

A protokollokra és csatlakozókra vonatkozó követelményeknek ki kell terjedniük a vállalati és ipari környezetekben egyaránt szükséges általános protokollokra, anélkül, hogy túlzott hangsúlyt fektetnének az átviteli rétegre. Az integrációs elvárásoknak magukban kell foglalniuk a „store-and-forward” működési mód támogatását, valamint a korlátozott vagy hálózati kapcsolat nélküli hálózatok támogatását.

Az ajánlati felhívás követelményeinek meg kell határoznia a kiszámítható újrapróbálkozási viselkedést, a nagy fájlok esetében a folytatható adatátvitelt, valamint az üzem működését figyelembe vevő sávszélesség-szabályozást. A csatlakozókra vonatkozó követelményeknek emellett ki kell térniük a szolgáltatói azonosítók kezelésére, valamint – amennyiben lehetséges – az azonosítási rendszerekkel való integrációra is.

A szabálykoordinációs követelményeknek ki kell térniük az egyes adatfolyamokra vonatkozó szabálydefiníciókra, a karanténba helyezési és felszabadítási munkafolyamatokra, az automatizált útválasztásra, valamint a feladatkörök szétválasztására. A szabálykoordinációnak tartalmaznia kell az átviteli útvonalon belüli többszörös vizsgálat, a hívásadat-nyilvántartás (CDR), a szandboxolás és a DLP-szabályok érvényesítésére szolgáló egyértelmű integrációs pontokat.

A jóváhagyási munkafolyamatra vonatkozó követelményeknek meg kell határoznia a többszintű jóváhagyási rendszert, valamint az alacsony kockázatú folyamatok automatizálását, dokumentált kivételkezeléssel. A követelményeknek továbbá meg kell határoznia az egyes szakaszokban rögzítendő bizonyító adatokat az ellenőrzés és a vizsgálat céljára.

A nyomonkövethetőségi és ellenőrzési nyomvonalra vonatkozó követelményeknek ki kell terjedniük a jelentésekre, a naplómezők követelményeire, a megőrzési szabályokra, valamint az SIEM-be vagy központi naplóplatformokra történő exportálásra. A változatlan naplózásra vonatkozó követelményeknek ki kell terjedniük a hamisítás elleni védelmi intézkedésekre és a bizonyítékok lekéréséhez szükséges hozzáférési szabályokra.

A kézbesítési visszaigazolásra vonatkozó követelményeknek ki kell térniük arra, hogy milyen bizonyítékkal kell igazolni, hogy a jóváhagyott csomagok eljutottak az OT-átmeneti tárolóba, és azokat felhatalmazott személyek vették át. A csomagokra vonatkozó bizonyítási követelményeknek ki kell térniük a hash-értékekre, az időbélyegekre, az ellenőrzési eredményekre, a jóváhagyásokra és a korrelációs azonosítókra.

A Metascan Multiscanning, a Deep CDR™ technológia, Proactive DLP és a sandboxing technológiákra épülő MetaDefender Managed File Transfer MFT) OPSWATfelügyelt fájlátviteli (MFT) megoldása, amely az ipari DMZ-n keresztül bonyolított IT/OT fájlátvitel központosított irányításával csökkenti a fájlokból eredő kockázatokat.