Miért jelentik a fájlátvitelek a kártevőprogramok egyik legfőbb behatolási pontját?

A fájlátviteli kártevőkkel kapcsolatos kockázat annak a valószínűsége, hogy rosszindulatú vagy támadási célra felhasználható tartalom a szokásos fájlcserén keresztül bejut egy megbízható környezetbe, és ott végrehajtásra, oldalirányú terjedésre vagy adatlopásra ad lehetőséget. A fájlátviteli kártevőkkel kapcsolatos kockázat akkor nő, ha a beérkező fájlok ellenőrzés vagy kötelező engedélyezési szabályok nélkül lépik át a bizalmi határokat.

Az üzemeltetési kockázatok közé tartozik a zsarolóvírusok előkészítése, a hitelesítő adatok ellopása betöltőprogramok segítségével, a megbízható partnereken keresztül történő ellátási lánc megfertőzése, valamint a szegmentált hálózatok közötti zónák közötti fertőzés. Az informatikai üzemeltetési csapatoknak a beérkező fájlokat addig megbízhatatlan tartalomként kell kezelniük, amíg azok átvizsgálására, tisztítására és a szabályzatoknak való megfelelés ellenőrzésére sor nem kerül.

A fájlátvitelek gyakran megkerülik a végpontok felderítésére és reagálására szolgáló ellenőrző mechanizmusokat, mivel a fájlok felhasználói ellenőrzés nélkül közvetlenül a szerverekre, a hálózati megosztásokra vagy az automatizált munkafolyamatokba kerülnek. A fájlátvitel automatizálása során a tartalom olyan szolgáltatási fiókokon, ütemezett feladatokon és integrációkon keresztül kerül továbbításra, amelyek nem váltanak ki felhasználói szintű kérésüzeneteket vagy ellenőrzést.

A kötegelt adatbeolvasási folyamatok, a beérkező mappák és az API integrációk olyan határokon átnyúló munkafolyamatokat hoznak létre, amelyekben a tartalom érkezés után azonnal feldolgozásra kerül. Beépített ellenőrzés és a karanténból való felszabadításra vonatkozó ellenőrzések hiányában a rosszindulatú fájlok már az észlelés előtt elterjedhetnek.

A fájlátviteli útvonal kockázata magas, ha a fájl átlép egy bizalmi határt, egy kiváltságos rendszerre kerül, érzékeny fájltípusokat tartalmaz, és nem történik meg a karanténkezeléssel kiegészített, átvitel közbeni ellenőrzés. A fájlátviteli útvonal kockázata alacsonyabb, ha az átvitel előtt biztosítják az ellenőrzést, a tisztítást, a legkisebb jogosultságú könyvtárak használatát és a szabályok egyértelmű végrehajtását.

A kockázati értékelésnek figyelembe kell vennie a következőket:

• A bizalmi határ átlépése (külsőről belsőre, IT-ről OT-re, DMZ-ről a maghálózatra)
• Célérzékenység és rendszerjogok
• A fájltípusok változékonysága és az aktív tartalom
• Szállítás előtti ellenőrzés és a kiadási folyamat

A támadók gyakran visszaélnek az SFTP-, FTPS- és HTTPS-feltöltési portálokkal, az e-mail mellékletekkel, a megosztott linkekkel és a felhőalapú szinkronizálási útvonalakkal, hogy fájlokon keresztül terjedő kártevő szoftvereket juttassanak be a rendszerbe. A fájlátvitel behatolási pontjai eleve bizalmat élveznek a vállalaton belül, mivel a beszállítók, a partnerek és a belső csapatok is ugyanazokat a csatornákat használják a szokásos adatcseréhez.

A megbízható partnerekkel való visszaélés és a rutinok automatizálása miatt a rosszindulatú fájlok működésükben normálisnak tűnnek. A támadók elsősorban azokat az útvonalakat részesítik előnyben, amelyek átlépik a bizalmi határokat, és ellenőrzés nélkül indítják el a további feldolgozási folyamatokat.

Az SFTP-n keresztüli fájlcseréből rosszindulatú programok terjesztési csatornája válik, ha a szolgáltatók vagy az automatizált integrációs rendszerek tartalomellenőrzés nélkül közvetlenül a belső könyvtárakba helyezik el a fájlokat. Az SFTP használatának jellemzői közé tartoznak a szolgáltatói fiókok, az ütemezett fájlfeltöltések és a későbbi kötegelt feldolgozás.

Az olyan gyenge biztonsági intézkedések, mint a kulcsok túlzott elterjedése, a hitelesítő adatok újrafelhasználása, a túl széles körű könyvtárjogosultságok és a beépített ellenőrzés hiánya növelik a biztonsági kockázatot. Secure nem garantálja a fájlok biztonságát.

Az FTPS-átvitelek akkor válnak biztonsági kockázattá, ha a titkosított adatátvitelt összetévesztik a tartalom biztonságával. Az FTPS a TLS segítségével védi az átvitt adatokat, de nem ellenőrzi a fájlok tartalmát.

A működési buktatók közé tartozik a tanúsítványok eltérése, a régi ügyfélkonfigurációk, valamint azok a tűzfal-kivételek, amelyek az ellenőrzés helyett a kapcsolatot részesítik előnyben. Karantén és a felszabadítás szabályozása nélkül a nem biztonságos tartalom bekerül a megbízható munkafolyamatokba.

A HTTPS-alapú feltöltési portálok nyilvános fájlfeltöltési felületeket biztosítanak, például ügyfélportálokat, jegyrendszereket és regisztrációs űrlapokat. A HTTPS titkosítja az adatátvitelt, de nem semlegesíti a rosszindulatú fájltartalmakat. 

A webalkalmazás-tűzfalak a fájlok részletes vizsgálata helyett a kérések mintáira és a bevitt adatok érvényesítésére összpontosítanak. A feltöltési rétegben végzett beépített fájlellenőrzés megakadályozza, hogy a veszélyes fájlok eljussanak a belső tárolóba. 

A támadók beágyazott archívumok, makrók visszaélése, sebezhetőségi láncok és fájltípus-hamisítás segítségével rejtik el a kártevő programokat a gyakran továbbított fájltípusokban. A fájlokon keresztül terjedő kártevő programok úgy kerülik el a felületes ellenőrzéseket, hogy aktív tartalmat ágyaznak be legitim üzleti formátumokba.

A szabályzat kidolgozásakor figyelembe kell venni, hogy minden, a bizalmi határokat átlépő bejövő fájl esetében tartalomalapú ellenőrzésre van szükség.

A ZIP-fájlok és a beágyazott archívumok mély rekurzióval, jelszóval való védelemmel és a kiterjesztések eltérésével megakadályozzák az egyszerű átvizsgálást. Az archívumok rekurziója több réteg mélyen elrejti a futtatható tartalmakat.

Az ellenőrzési eljárásoknak biztosítaniuk kell az archívumok méretkorlátozásának betartását, a kicsomagolási szabályok betartását, a jelszóval védett archívumok kezelésére vonatkozó előírások betartását, valamint a közzététel előtti kötelező ellenőrzést.

A makrókat támogató Office-dokumentumokransomware-tés betöltőprogramokat terjesztenek úgy, hogy a dokumentummal való interakció során beágyazott szkripteket vagy hivatkozott objektumokat indítanak el. Az Office-fájlformátumok támogatják az aktív tartalmakat, amelyek a felhasználói környezetben futnak. 

A szabályzatoknak az engedélyezési listára épülő ellenőrzéseket, makrókorlátozásokat, valamint a tartalom semlegesítését és újjáépítését kell alkalmazniuk az aktív elemek eltávolítása érdekében, miközben megőrzik a használhatóságot. 

A PDF-fájlok nem feltétlenül biztonságosak, mivel a PDF-dokumentumokba szkriptet, linkeket és kihasználható kódokat is beágyazhatnak, amelyek a PDF-olvasók biztonsági réseit célozzák meg. A PDF-alapú támadások gyakran számlák, szerződések vagy jelentések formájában jelennek meg. 

A bizalmi határokat átlépő beérkező PDF-fájlok esetében ellenőrzésre és fertőtlenítésre van szükség az aktív tartalom eltávolítása és a szerkezet érvényesítése érdekében. 

Az SFTP, az FTPS és a HTTPS az adatátvitel titkosítási és hitelesítési modelljeiben különböznek egymástól, de önmagukban nem csökkentik a fájlok tartalmával kapcsolatos kockázatot. Secure a kommunikációs csatornát védi, nem pedig az adatokat.

A rosszindulatú szoftverek kockázata továbbra is fennáll, amennyiben a megbízható rendszerekbe történő továbbítás előtt nem történik meg az ellenőrzés, a tisztítás és a szabályok betartatásának biztosítása.

Secure az adatok titkosításával és a hitelesítő adatok lehallgatás elleni védelmével biztosítja az adatok bizalmas jellegét és sértetlenségét az átvitel során. Secure csökkenti a közbeékelődés és a passzív megfigyelés kockázatát. 

Secure nem észleli a rosszindulatú tartalmakat, a fájlelemzőkben rejlő zero-day sebezhetőségeket, illetve a fájlokba ágyazott szabályszegéseket.

A titkosított adatátvitelek csökkentik a hálózati réteg láthatóságát, amennyiben a vizsgálat nem olyan helyen történik, ahol a nyers szöveg elérhető. A hálózati felderítő eszközök nem tudják elemezni a titkosított adatcsomagokat ellenőrzött végpont nélkül. 

Az ellenőrzést a végpontokon, átjárókon vagy a felügyelt fájlátviteli rétegekben kell elvégezni, ahol a fájlokat a továbbítás előtt visszafejtik, ellenőrzik, megtisztítják, majd újra titkosítják. 

Az összes beérkező fájl kézbesítés előtti átvizsgálására szolgáló bevált gyakorlat szerinti architektúra megköveteli a fájlátviteli útvonalakba beépített, a folyamatba integrált ellenőrzést és a karanténból történő felszabadításra irányuló munkafolyamatokat. A fájlok ellenőrzésének a szabályok érvényesítésének pontjaként kell működnie, nem pedig opcionális kiegészítőként.

Az informatikai üzemeltetési csapatoknak össze kell hangolniuk az ellenőrzési munkafolyamatokat a DMZ-elhelyezéssel, a szegmentált hálózatokkal és a zónák közötti adatátvitelekkel.

A karanténból történő felszabadítás munkafolyamata során a fájlokat elkülönített tárolóba helyezi, ellenőrzi és megtisztítja őket, majd szabályzati döntést hoz, és a jóváhagyott fájlokat a kívánt célhelyre továbbítja. 

A munkafolyamat szakaszai a következők: fogadás, karanténba helyezés, ellenőrzés, fertőtlenítés vagy semlegesítés, jóváhagyás vagy elutasítás, valamint kézbesítés. Az automatizálás, az újrapróbálkozási logika és a hibakezelés biztosítja a szolgáltatási színvonal fenntartását anélkül, hogy a biztonsági előírásokat megkerülnék. 

A DMZ-ben a fájlok ellenőrzését még azelőtt el kell végezni, hogy azok az alacsony biztonsági szintű külső hálózatokról átjutnának a magas biztonsági szintű belső zónákba. A DMZ-ben működő felügyelt fájlátviteli platformok vagy biztonsági átjárók ellenőrzött ellenőrzési rétegekként működnek.

A belső rendszerekhez való írási hozzáférés előtt ellenőrzést kell végezni a bizalmi határokra vonatkozó döntések érvényesítése érdekében.

A „Direct-to-share” és a „Direct-to-application” típusú kézbesítés növeli a fertőzés terjedési körét, mivel lehetővé teszi a beérkező fájlok futtatását vagy továbbítását még az ellenőrzés előtt. A belső NAS-re, a drop mappákba vagy az alkalmazáskönyvtárakba történő közvetlen írás tovább növeli a biztonsági kockázatot.

A közvetített átviteli minták esetében a belső célpontok írási jogosultságainak megadásához előbb sikeres ellenőrzési eredményre van szükség.

A titkosításon túlmenően a fájlátvitel során felmerülő rosszindulatú programok kockázatát csökkentő biztonsági intézkedések közé tartozik a fájltípus-ellenőrzés, a többszöri víruskeresés, a CDR (Content Disarm and Reconstruction), a homokozóelemzés és az adatvesztés-megelőzés. A titkosítás az adatátvitelt védi, míg a tartalombiztonsági intézkedések a rosszindulatú kódokat ellenőrzik és hatástalanítják.

A biztonsági intézkedések kiválasztásának figyelembe kell vennie a forrás megbízhatósági szintjét, a célhely érzékenységét és a fájltípus változékonyságát.

A fájltípus-engedélylisták és a tartalomellenőrzés megakadályozzák, hogy futtatható és magas kockázatú fájltípusok kerüljenek be az érzékeny környezetekbe. Az „engedélylista elsőbbségét” előíró szabályok szigorú kiterjesztés- és tartalomtípus-ellenőrzést írnak elő.

Az üzleti kivételeket ideiglenes jellegűnek kell tekinteni, azokat felül kell vizsgálni és nyilvántartásba kell venni, hogy elkerülhetőek legyenek az állandó szabályzati hiányosságok.

Multiscanning a felismerést azáltal, hogy több kártevőellenes motort használ ugyanazon fájl elemzésére, így csökkentve az egyetlen motorral történő vizsgálat során fellépő hiányosságokat. A konszenzusos vizsgálat növeli a fájlátviteleknél hozott döntések megbízhatóságát. 

Az operatív tervnek meg kell határoznia a többmotoros döntési küszöbértékeket, a téves riasztások szűrési folyamatait, valamint a vitatott eredmények esetében alkalmazandó eskalációs munkafolyamatokat. 

A „Tartalom-semlegesítés és újjáépítés” funkció eltávolítja a dokumentumokból az aktív tartalmakat, majd biztonságos változatokat hoz létre a kézbesítéshez. Ezzel a funkcióval csökkenthető a zero-day támadások és a biztonsági rések kihasználásának kockázata, miközben a dokumentumok használhatósága megmarad. 

A nagy mennyiségű dokumentumcsere esetében előnyös az adatok tisztítása, ha az üzleti folyamatok gyors feldolgozást igényelnek, miközben a végrehajtási kockázatot csökkenteni kell. 

A homokozóelemzés ellenőrzött környezetben vizsgálja a fájlok viselkedésétaz ismeretlen vagy célzott rosszindulatú programok felderítése érdekében. Sandbox a statikus szignatúrákon túlmutató viselkedési jelzőket is biztosít. 

Sandbox és a kijátszási technikák miatt meghatározott késleltetett kiadási eljárásra van szükség a szolgáltatási színvonal fenntartása érdekében, anélkül, hogy a kiadás biztonsági kockázatot jelentene. 

Proactive DLP az adatmozgás során Proactive DLP az adatbesorolási szabályokat, hogy megakadályozza a személyes azonosító adatok (PII), az egészségügyi adatok (PHI), a PCI-adatok vagy az egyéb szabályozott adatok kiszivárgását. Proactive DLP a fájlátvitel irányítását a szabályozási követelményekkel. 

A DLP-irányelveknek össze kell hangolódniuk a beszállítói adatcserékkel, a szabályozott nyilvántartásokkal és a határokon átnyúló adatátvitelekkel, hogy az irányelvek eredményei biztosan érvényesüljenek. 

A szegmentált hálózatokon és az IT–OT határokon történő fájlátvitel biztonságának garantálásához minden bizalmi határátlépésnél kötelező ellenőrzésre és irányításra van szükség. A szegmentálás miatt egyre inkább a zónák közötti fájlmozgatásra támaszkodnak, mint kivételes útvonalra.

Az ellenőrzés, a karantén és az ellenőrzött kiengedés megakadályozza a zónák közötti szennyeződést, és biztosítja a működés megbízhatóságát.

Az alacsony bizalmi szintű zónából a magas bizalmi szintű zónába átkerülő fájlok esetében kifejezetten ellenőrizni kell a feladó személyazonosságát, a megengedett fájltípusokat, az ellenőrzés eredményét és a jogosult címzetteket. A bizalmi határokra vonatkozó szabályzatoknak meg kell határoznia, hogy ki küldhet fájlokat, milyen fájlokat lehet elküldeni, és hová kerülhetnek azok.

A legkisebb jogosultsággal rendelkező könyvtárak és a kézbesítés előtti ellenőrzés biztosítják a hozzáférési korlátozások betartását.

Az IT- és OT-hálózatok közötti fájlátvitel során el kell kerülni az ellenőrizetlen kétirányú kapcsolatokat és a megosztott könyvtárakat. A korlátozás nélküli megosztások tartós hátsó ajtókat hoznak létre a vállalati és az operatív technológiai hálózatok között.

A szabályozott átadási folyamatok, a szükség esetén alkalmazott egyirányú munkafolyamatok és a kifejezetten meghatározott engedélyezési pontok biztosítják a szétválasztást, miközben lehetővé teszik a szükséges információcserét.

A fájlátvitelek ellenőrzésének igazolásához az ellenőrzés, a szabályok betartatásának és a felszabadítási döntések átfogó naplózására van szükség. A bizonyítékoknak mind az auditvizsgálatot, mind az incidenskezelést alátámasztaniuk kell.

A naplófájloknak minden olyan fájl esetében igazolniuk kell a determinisztikus vezérlési műveletek végrehajtását, amely átlép egy bizalmi határt.

A rosszindulatú programok elleni védelemhez kapcsolódó MFT naplóinak tartalmazniuk kell a felhasználói vagy rendszerazonosítókat, a forrás- és célvégpontokat, az időbélyegeket, a használt protokollt, a fájl-hashértékeket (például SHA-256), a szabályzati döntéseket és az ellenőrzési eredményeket. 

Az átfogó naplófájlok segítik a kockázatcsökkentő intézkedések végrehajtását és a nyomozás hatókörének meghatározását a fájlokon keresztül terjedő gyanús incidensek után. 

A vizsgálati és fertőtlenítési jegyzőkönyveknek tartalmazniuk kell a motorverziókat, a motoronkénti eredményeket, a tartalom-semlegesítési és -rekonstruálási műveleteket, a sandbox-jelzőket, valamint a végleges sorsolást. 

A visszakereshető nyilvántartások és az integritásuk biztosított naplófájlok megerősítik a bizonyító erejét az ellenőrzések és vizsgálatok során.

A beszállítói adatcserékre és a szabályozott iparágakra vonatkozó, irányított fájlátvitelre vonatkozó biztonsági ellenőrzőlista egy, az architektúrához igazodó módszert kínál a fájlátvitel során felmerülő rosszindulatú programok kockázatának felmérésére és csökkentésére. Az ellenőrzőlistának ki kell térnie a szabályzatokra, a munkafolyamatokra, az ellenőrzési pontok elhelyezésére és a bizonyítékok rögzítésére.

A beszállítói fájlcserét szabályozó eljárásoknak egységesíteniük kell a partnerek bevonását, a személyazonosság-ellenőrzést, az időkorlátozott hozzáférést, a kulcs- és tanúsítványkezelést, valamint a legkisebb jogosultság elvén működő könyvtárakat. A beszállítói munkafolyamatoknak kötelezően tartalmazniuk kell a karanténba helyezést, a beépített ellenőrzést és a belső célállomásokra történő ellenőrzött kézbesítést.

A következetes végrehajtás csökkenti a megbízható partnerekkel való visszaélések és az automatizálás megkerülésének kockázatát.

A ransomware terjedését csökkentő intézkedések közé tartozik a magas kockázatú fájltípusok blokkolása, a beérkező dokumentumok tisztítása, a beérkező fájlok átmeneti tárolási területeinek elkülönítése, valamint a szolgáltatási fiókok jogosultságainak korlátozása. A szokatlan fájlmennyiségek vagy az ismételt szabályszegések figyelemmel kísérése segítségével felismerhetők az átmeneti tárolási kísérletek.

A szakaszos bevezetés és a közvetített adagolás csökkenti a hatótávolságot.

MetaDefender File Transfer™ OPSWATfelügyelt fájlátviteli (MFT) megoldása, amely biztonságos, szabályzatok által szabályozott fájlcserét tesz lehetővé az IT- és OT-környezetek között. MetaDefender File Transfer™ beágyazza az inline fájlellenőrzést, a többszörös szkennelést, a Deep CDR™ technológiát, Proactive DLP, a mesterséges intelligenciával támogatott sandbox-elemzést, a titkosítást és a központosított irányítást közvetlenül az átviteli munkafolyamatba, hogy támogassa az ellenőrzött közzétételt, az auditálásra kész bizonyítékokat és a határokon átnyúló védelmet.