Managed File Transfer ברשתות IT, OT ו-DMZ

העברת קבצים בין מערכות IT ו-OT דרך אזור DMZ תעשייתי הופכת לבעיה תפעולית וביטחונית, שכן חילופי קבצים תפעוליים נדרשים לחצות גבולות פילוח שנועדו לצמצם את הסיכון הסייבר. Industrial עדיין מחייבים העברה של תיקונים, מתכונים, יומני פעילות, תוצרים של ספקים, גיבויים ודוחות בין אזורים בלוחות זמנים קבועים מראש.

ערוצים אד-הוק כגון דואר אלקטרוני, כוננים משותפים, שרתים ביניים ומדיה נשלפת מגבירים את החשיפה לתוכנות זדוניות המועברות בקבצים ומצמצמים את יכולת המעקב. תהליכי עבודה Industrial ) מחייבים גם ראיות ביקורת, תיאום בקרת שינויים ואכיפה עקבית בכל האתרים, כדי למנוע חריגות חד-פעמיות.

בין השימושים הנפוצים בהעברת קבצים בין מערכות IT ל-OT נכללים חבילות עבודה הנדסיות, עדכוני PLC ו-HMI, תמציות ממאגר נתונים היסטורי, עדכוני חתימות אנטי-וירוס, גיבויים וחבילות קושחה של ספקים. מסמכים הנדסיים ועדכוני קושחה דורשים בדרך כלל הוכחות מחמירות יותר לגבי שרשרת האחריות מאשר דוחות שגרתיים או ייצוא יומנים תקופתי.

תהליכים תקופתיים כוללים בדרך כלל גיבויים מתוזמנים, עדכוני אנטי-וירוס ומשלוח דוחות שגרתיים. תהליכים דחופים כוללים בדרך כלל תיקוני חירום לקושחה, שליפת נתונים לצורך תגובה לאירועים או שינויים במתכונים הדורשים טיפול מיידי. דרישות שרשרת האחריות מתגברות כאשר קבצים עלולים לשנות התנהגות קריטית לבטיחות או להשפיע באופן מהותי על איכות הייצור.

מודל DMZ מסורתי בארגונים אינו מתאים באופן מדויק לתחום ה-OT, שכן DMZ הפונה לאינטרנט מתווך בעיקר גישה חיצונית, בעוד ש-DMZ תעשייתי אוכף בעיקר פעולות דטרמיניסטיות, בקרת שינויים קפדנית והגנה על תהליכים קריטיים לבטיחות. מטרת הפיצול ברמת 3.5 של Purdue היא להגביל את נתיבי הגישה לתחום ה-OT ולהפחית את האמון המובלע בין האזורים. 

הסיכון הנובע מקבצים מועצם בסביבות OT, שכן מערכות ישנות, חלונות זמן מוגבלים להתקנת תיקונים ומגבלות זמינות מצמצמים את הסובלנות כלפי תיקונים תגובתיים. Industrial דורשות גם נתיבי העברה צפויים ואישורים חוזרים שניתן לבקר מבלי ליצור חיבורים ישירים בין מערכות ה-IT ל-OT. 

העובדה שכל החיבורים מסתיימים ב-DMZ פירושה שעלויות העברת קבצים בין מערכות IT ל-OT חייבות להימנע משימוש בהפעלות ישירות מקצה לקצה בין נקודות קצה ארגוניות לנקודות קצה OT מעבר לגבול האמון. כמו כן, העובדה שכל החיבורים מסתיימים ב-DMZ פירושה שהתכנון חייב להימנע משימוש בשרתים בעלי חיבור כפול (dual-homed) המגשרים בין אזורים, ולהימנע מכללי חומת אש המאפשרים חיבורי לקוח חוצי-אזורים.

עיקרון זה מתורגם למגבלות מוצדקות: מערכות ה-IT מתקשרות אך ורק עם שירותי ה-DMZ, מערכות ה-OT מתקשרות אך ורק עם שירותי ה-DMZ, והעברת הקבצים מתבצעת באמצעות תהליכי עבודה מתווכים של "אחסון והעברה". נקודות הקצה ב-DMZ התעשייתי הופכות לנקודות בקרה לצורך בדיקה, הסגר, אישורים ורישום ביקורת.

כדי למנוע יצירת חיבורים ישירים בין רשתות ה-IT ל-OT מבלי לפגוע באוטומציה, יש להשתמש במודלים של העברת קבצים מתווכת, שבהם השולח מתחבר אך ורק לשירותי העברה הממוקמים ב-DMZ, והמקבל ברשת ה-OT מתחבר אך ורק לשירותי אחזור הממוקמים ב-DMZ. בהעברת קבצים מתווכת נעשה בדרך כלל שימוש בשלב של "דחיפה" ל-DMZ, ולאחריו שלב של "משיכה" לרשת ה-OT, כך שלא נוצר חיבור חוצה-אזורים.

חשיפת היציאות נשארת מינימלית באמצעות שימוש ביציאות קבועות, רשימות אישור קפדניות וזהויות שירות המותאמות לכל זרימת עבודה. חשבונות שירות לכל זרימת עבודה מצמצמים את הסיכון לתנועה רוחבית ומאפשרים אימות מחדש של כללי הגישה במהלך ביקורות תקופתיות.

שימוש בכרטיסי רשת כפולים ואחסון משותף יוצרים גשרים בין-אזוריים בלתי מכוונים, מכיוון שמארח עם שני כרטיסי רשת עלול להפוך לנקודת מפתח לניתוב או לאימות זהות מעבר לגבולות הפיצול. שיתופי קבצים SMB משותפים ואישורים משוכפלים עלולים גם הם לפגוע במטרת הפיצול, בכך שהם מאפשרים נתיבי גישה בין-אזוריים סמויים שקשה לאתר ולבדוק מחדש.

בין הדפוסים שיש להימנע מהם נכללים שרתים עם חיבור כפול, המקושרים בו-זמנית לתחומי ה-IT וה-OT; תיקיות SMB משותפות המשמשות כנקודות "העברה" בין אזורים; והעברת קבצים באמצעות שרת ביניים, העוקפת את שערי הבדיקה. אכיפת הגבולות תלויה בניתוק, בבדיקה ובאישור מפורש, ולא בנתיבי נוחות.

ארכיטקטורת DMZ תעשייתית ברמת Purdue 3.5 להעברת קבצים מציבה את ה-IDMZ כגבול לבדיקה ולאכיפת מדיניות בין רשתות ה-IT וה-OT הארגוניות. ארכיטקטורת DMZ תעשייתית ברמת Purdue 3.5 מבטיחה גם כי נקודות הקצה של ה-IT וה-OT ישתלבו בשירותי ה-DMZ, ולא ישתלבו זו בזו.

שירותי DMZ בסיסיים כוללים בדרך כלל שער להעברת קבצים או שרת להעברת קבצים מנוהל, אחסון בהסגר, רמות בדיקה ורישום מרכזי. התנהלות מסוג "אחסון והעברה" (store-and-forward) מתווכת תומכת בפעולות דטרמיניסטיות תוך שמירה על כוונת הפיצול.

השירותים הנכללים ב-DMZ התעשייתי לצורך חילופי קבצים מאובטחים כוללים שער להעברת קבצים או שרת להעברת קבצים מנוהל, שכבות סריקת תוכנות זדוניות וסביבות בידוד (sandboxing), שכבות לנטרול תוכן ושחזורו (CDR), אחסון בהסגר ואיסוף יומנים מרכזי. שירותי Industrial כוללים גם רכיבים לניהול זרימת עבודה ואכיפת מדיניות, המשמשים לשליטה על תהליכי האישור והשחרור.

נקודות קצה בתחום ה-IT צריכות לשלוח קבצים לאזורי הפקדה ב-DMZ, ונקודות קצה בתחום ה-OT צריכות לאחזר חבילות מאושרות ממיקומים זמניים ב-DMZ. גבול ה-DMZ הופך לנקודת הבדיקה הקבועה לצורך סריקת תוכנות זדוניות, טיהור, הערכת מדיניות ותיעוד שרשרת האחריות.

במודל חומת האש והניתוב בתצורה מתווכת נעשה בדרך כלל שימוש בארכיטקטורת IDMZ עם חומת אש כפולה, שבה התעבורה בין הארגון ל-DMZ והתעבורה בין OT ל-DMZ נשלטות בנפרד. רשימות ההיתרים חלות על מקור, יעד, פרוטוקול וזהות השירות, כך שלכל זרימת עבודה יש מסלול מפורש שניתן לבדוק.

מספר מצומצם של זרימות מוגדרות היטב מפחית את מורכבות חומת האש בהשוואה למספר רב של נתיבים מותאמים אישית. תכנונים מבוססי תיווך תומכים גם ביציאות קבועות ובנקודות קצה עקביות לשירותים, דבר שמפשט את תהליך חידוש האישור של הכללים ומצמצם את הסיכוי שכללים כלליים יתרחבו עם הזמן.

תהליך העבודה של "דחיפה ל-DMZ ואז משיכה לרשת OT" מתבצע בפועל כשרשרת פעולות חוזרת: קליטה, הסגר, בדיקה, ניקוי, אישור, שחרור והעברה. תהליך העבודה של "דחיפה ל-DMZ ואז משיכה לרשת OT" גם שומר על הפיצול, מכיוון ששני הצדדים מתחברים רק לשירותי ה-DMZ.

שיטת ה-Push מתאימה בדרך כלל כאשר מערכות IT מייצרות חבילות, בעוד ששיטת ה-Pull מתאימה בדרך כלל כאשר מערכות OT מורידות תוכן מאושר על פי לוחות זמנים מבוקרים. ניתן לאכוף זרימת עבודה סטנדרטית במספר מפעלים כאשר כללי השמות, איסוף המטא-נתונים והחלטות המדיניות עקביים בכל זרימה.

דפוסי העברה מ-IT ל-DMZ שומרים על סגירת גבול ה-OT על ידי הגבלת קישוריות השולח מ-IT לשירותי קליטה ב-DMZ ולאזורי הפקדה ב-DMZ. דפוסים נפוצים כוללים העלאות מתוזמנות, העלאות המופעלות על ידי אירועים, והעברות API המצורפות למטא-נתונים הנדרשים לקבלת החלטות מדיניות ולראיות ביקורת.

ההנחיות התפעוליות כוללות כללי שמות אחידים, שדות מטא-נתונים נדרשים עבור מערכת המקור ואזור היעד המיועד, וכן הצפנה במהלך העברה באמצעות TLS. הגשת הנתונים מצד ה-IT צריכה לכלול גם קישור זהות, כדי שה-DMZ יוכל לתעד איזה משתמש או שירות יזם את ההעברה.

דפוסי העברה מ-DMZ ל-OT מפחיתים את הסיכון ומפשטים את תפעול חומות האש, בכך שהם מאפשרים לסוכני אחזור מ-OT או למשימות מתוזמנות ליזום חיבורים יוצאים מ-OT ל-DMZ כדי לאחזר רק חבילות מאושרות. יש להגביל את פעולת האחזור מ-OT לתורים או לספריות ספציפיים ליעד, כך שנקודות הקצה ב-OT לא יוכלו לגשת לתוכן בהסגר שאינו מאושר.

השיטה מפחיתה את החשיפה על ידי מניעת חיבורים נכנסים למערכת ה-OT והגבלת היציאות והשירותים הפונים אליה. אחזור ה-OT תומך גם בחלונות שינוי, שכן מערכות ה-OT יכולות לבצע אחזור רק כאשר לוחות הזמנים התפעוליים מאפשרים התקנה או הכנה.

אמצעי בקרה שאינם ניתנים למשא ומתן עבור העברת קבצים באזור ה-DMZ התעשייתי כוללים בדיקה, ניקוי, הסגר, אישורים, גישה על בסיס "הרשאות מינימליות", הצפנה ורישום ביקורת התומך בשרשרת האחריות. יש לאכוף אמצעי בקרה שאינם ניתנים למשא ומתן בעיקר באזור ה-DMZ, שכן אזור ה-DMZ מהווה את נקודת הסיום ואת גבול המדיניות להעברת קבצים בין אזורים.

Endpoint ובקרות יעד נותרות רלוונטיות, אך אזור ה-DMZ צריך לשמש כשער בדיקה אחיד המונע עקיפת אבטחה. כל בקרה צריכה להיות מקושרת לשלב בתהליך העבודה, כך שצוותי התפעול יוכלו לחזות את התוצאות וצוותי האבטחה יוכלו לאמת את הראיות.

סריקת תוכנות זדוניות באזור ה-DMZ מבלי להסתמך על מנוע יחיד מחייבת סריקה רב-מנועית וזיהוי רב-שכבתי, כדי להבטיח כיסוי זיהוי נרחב יותר לאיומים ידועים ומתהווים. תוצאות הסריקה הרב-מנועית צריכות להניב תוצאות ברורות כגון "עבר", "נכשל" ו"לא ידוע", כדי שהתהליכים יישארו דטרמיניסטיים.

תוצאות כושלות צריכות להישאר בהסגר עם מסלולי הסלמה. תוצאות לא ידועות צריכות להישאר בהסגר עד לביצוע ניתוח נוסף, כגון הפעלה בסביבת בדיקה (sandbox) או מדיניות בדיקה מעמיקה יותר. מדיניות ה-DMZ צריכה להגדיר זמני המתנה, שלבי בדיקה על ידי אנליסטים וכללי שחרור, כדי שההסגר לא יהפוך לעומס עבודה מצטבר ובלתי נשלט.

שיטת "פירוק תוכן ובנייה מחדש" (CDR) עולה על גישות המתמקדות בזיהוי בלבד, כאשר נדרשת טיהור שמקדיש עדיפות למניעה כדי להסיר תוכן פעיל, גם כאשר זיהוי תוכנות זדוניות מדווח על תוצאות תקינות. שיטת CDR מפחיתה את הסיכון באמצעות בנייה מחדש של קבצים, כדי לשמור על השימושיות העסקית תוך הסרת רכיבים פעילים כגון מאקרו או אובייקטים משובצים, בהתאם למדיניות.

סוגי הקבצים שלעתים קרובות נהנים מתהליך טיהור כוללים מסמכי Office, קבצי PDF וארכיונים העלולים להכיל סקריפטים או תוכן זדוני מוטמע. מדיניות המעדיפה טיהור מפחיתה גם את התלות בכיסוי חתימות ומצמצמת את החשיפה התפעולית למסמכים "נקיים אך זדוניים" הנכנסים לרשת ה-OT.

Sandbox עבור העברות בעלות סיכון גבוה או השפעה רבה מוסיף ניתוח דינמי לזיהוי התנהגויות שהסריקה הסטטית עלולה לפספס. יש להגדיר Sandbox על סמך סוג הקובץ, רמת האמינות של המקור, חשיבות היעד ודפוסי איומים היסטוריים שנצפו בסביבה.

Sandbox צריכות להנחות את קבלת ההחלטות בנושא המדיניות, תוך ציון מסגרות זמן מפורשות, כדי לאפשר לצוות התפעול לחזות עיכובים. מדיניות ה-DMZ צריכה להגדיר כיצד תוצאות הסנדבוקס מתורגמות לתקופת השמירה בהסגר, לדרישות הבדיקה על ידי אנליסטים ולמסלולי ההסלמה במקרים של תחזוקה דחופה.

מניעת אובדן נתונים (DLP) בעת העברת קבצים בין אזורים צריכה לכלול אמצעי בקרה יזומים, כגון התאמת מילות מפתח ותבניות, טיפול בסיווג והגבלות על יעדים. אכיפת ה-DLP צריכה להתאים למדיניות לכל זרם נתונים, כך שנתונים רגישים לא יועברו לאזורים או ליעדים בלתי מורשים.

יש לנהל את הסיכון הנובע מחסימה מוגזמת באמצעות אכיפה הדרגתית ורשימות אישור ספציפיות לתעבורה, המשקפות את הצרכים התפעוליים. בשדות התיעוד יש לתעד את כללי ה-DLP שהוחלו, את תוצאות ההתאמה ואת תוצאות הטיפול, כדי שדיווחי הציות יוכלו להוכיח את עקביות הטיפול.

עקרון "הרשאות מינימליות" ואישורים להעברת קבצים בין אזורים מחייבים בקרת גישה מבוססת תפקידים, הפרדת תפקידים וגישה מוגבלת בזמן, המתואמת לחלונות השינוי ולמגבלות ההשבתה. מדיניות "הרשאות מינימליות" צריכה למנוע שימוש בחשבונות משותפים ולהגדיר את היקף ההרשאות בהתאם לתהליך העבודה, ליעד ולסוג הקובץ.

מודלי האישור צריכים להיות ניתנים להרחבה בין אתרים באמצעות תפקידים אחידים, תיעוד ראיות אחיד ואוטומציה של תהליכים בעלי סיכון נמוך. כמו כן, על מסגרת הניהול להגדיר נהלי חירום הכוללים דרישות לרישום מפורש ולביקורת לאחר האירוע.

בקרת גישה מבוססת תפקידים (RBAC) עבור מתווכי קבצים ב-IT, OT ו-DMZ מחלקת את התפקידים לתפקידים כגון מגיש, בודק, מאשר ומשיג OT. על ה-RBAC להבטיח שמגיש לא יוכל לאשר באופן חד-צדדי תוכן ל-OT, וכן להבטיח שמשיג OT לא יוכל לגשת לתוכן המוחזק בהסגר.

שילוב זהויות עם ספקי זהויות קיימים עשוי לצמצם את העומס הניהולי, אך יש להמשיך ולמנוע סיכוני זהויות ב-OT באמצעות הגדרת היקף, פילוח ועקרון "הרשאות מינימליות". חשבונות שירות צריכים להיות ייחודיים לכל זרימת עבודה, כדי לאפשר ביקורת ולמנוע שימוש חוזר בהרשאות בין העברות שאינן קשורות זו לזו.

במקרים של גישה לזמן מוגבל עבור ספקים ובמצבי חירום, יש להשתמש בתעודות זהות עם תוקף מוגבל, בהרשאות לזמן מוגבל ובגישה בהיקף מצומצם בהתאם לתהליך העבודה. גישה לזמן מוגבל מצמצמת את החשיפה המתמשכת ומתאימה את חלונות הגישה ללוחות הזמנים של התחזוקה ולחלונות האישור של השינויים.

דרישות הרישום צריכות לכלול את זהות המבקש, זהות המאשר, היקף הגישה שהוענק, ואת הקבצים שהועברו במסגרת המדיניות המוגבלת בזמן. פעולות חירום צריכות לייצר חבילת ראיות מפורשת לבדיקה, כדי לשמור על האחריות במצבי חירום.

רישום ביקורת עבור העברת קבצים בין מערכות IT, OT ו-DMZ, המותאמת לדרישות תאימות, חייב לספק ראיות לשרשרת האחריות מקצה לקצה בכל רחבי מערכות ה-IT, ה-DMZ וה-OT, מבלי להסתמך על פתיחת כרטיסי תקלה ידנית. רישום הביקורת צריך לתמוך בחקירות, בדיווחי תאימות ובפתרון תקלות תפעוליות באמצעות מזהים עקביים בכל שלבי זרימת העבודה.

ראיות שרשרת האחריות צריכות לכלול את זהות המגיש, אופי הבדיקה והחיטוי שבוצעו, זהות המאשר לשחרור, והאם אושר קבלת המשלוח. רישום מרכזי ב-DMZ מפחית את התלות בנראות נקודות הקצה של OT ושומר על הפיצול.

שדות היומן המינימליים המעידים על זהות השולח, זהות השירות, אזור המקור ואזור היעד, שמות הקבצים, חתימות קבצים כגון SHA-256, חותמות זמן לכל שלב בתהליך העבודה, המדיניות שהוחלה, תוצאות הבדיקה והטיהור, רשומות האישור ואישור המסירה. מזהי הקורלציה צריכים לקשר בין אירועי הקליטה, ההסגר, הבדיקה, השחרור והמסירה.

שדות יומן עקביים מאפשרים מעקב אחר פריסות המשתרעות על פני מספר אתרים. השימוש בהאשינג תומך באי-הכחשה ומסייע בתגובה לאירועים על ידי הוכחת תקינות הקבצים לאורך מסלול ההעברה.

ניטור תפעולי והתראות צריכים להתבסס על יומני ביקורת, תוך שימוש בתנאי התראה כגון כשלים חוזרים, הפרות מדיניות, סוגי קבצים חריגים, נפח העברה חריג, ופעולות חוזרות של "היעלמות" לא ידועה ממנועי הבדיקה. לוחות מחוונים תפעוליים צריכים לעקוב אחר קצב העיבוד, הצבר ההמתנה בהסגר ושיעורי אישור המסירה, כדי לשמור על האמינות.

שילוב SIEM תומך בקורלציה בין אירועי אבטחה, בעוד שמרכזי השליטה התפעוליים תומכים במעקב אחר תקינות השירות ובצפיות לגבי זרימת העבודה. יש להתאים את ספי ההתראה לכל זרימה, כך שיעדים קריטיים יגרמו להסלמה מהירה יותר מאשר משלוחי דוחות בעלי רמת קריטיות נמוכה.

ההבדל העיקרי בין העברת קבצים מנוהלת לשרת SFTP עצמאי ב-DMZ של OT טמון בעיקר בניהול, בשילוב הבדיקות ובאפשרות הביקורת, ולא בתמיכה בפרוטוקולים. העברת קבצים מנוהלת מספקת מישור בקרה לרשתות מפולחות באמצעות תיאום מדיניות לכל זרם נתונים, אכיפת הסגר ואישורים, וריכוז איסוף הראיות.

SFTP עצמאי משמש לעתים קרובות כנקודת קצה להעברה, התלויה בתהליכים חיצוניים לצורך סריקה, אישורים ודיווח. פריסות Industrial דורשות בדרך כלל נקודות בקרה עקביות, שיישארו אמינות גם בהיקף של מספר אתרים.

השימוש ב-SFTP עצמאי באזור ה-DMZ נוטה להיכשל במהלך שעות העבודה בשל אישורים ידניים, סריקת תוכנות זדוניות לא עקבית, חשבונות משותפים, איסוף מטא-נתונים מוגבל ורישומי יומן מפוצלים בין מערכות שונות. פעולות ידניות מגבירות גם את הסיכוי לעקיפת אבטחה, במיוחד במהלך חלונות תחזוקה דחופים.

פעילות במספר אתרים מגדילה את הפערים, שכן כל אתר נוטה ליישם בקרות סריקה, שמירה וגישה שונות במקצת. ראיות מפוצלות גם מעכבות את החקירות, שכן הוכחת שרשרת האחריות מחייבת יצירת הקשרים ידנית בין יומנים ומערכות ניהול תקלות שונות.

העברת קבצים מנוהלת עם מודעות לגבולות צריכה לספק תיאום מדיניות לכל זרם, בקרות הסגר ושחרור, אבטחת קבצים רב-שכבתית משולבת, ונראות מרכזית על פני אזורים. כמו כן, העברת קבצים מנוהלת עם מודעות לגבולות צריכה לתמוך ברמות בדיקה הכוללות סריקה מרובה, CDR, ניתוח בסביבת בדיקה (sandbox) ואכיפת DLP במסלול ההעברה.

OPSWAT MetaDefender File Transfer™ (MFT) מהווה דוגמה לפלטפורמת העברת קבצים מנוהלת, המציבה את האבטחה בראש סדר העדיפויות, הכוללת את טכנולוגיית Metascan™ Multiscanning, Deep CDR™, Proactive DLP™ וניתוח בסביבת בדיקה (sandbox) במסגרת תהליך עבודה מאוחד. הניהול המרכזי מאפשר אכיפה עקבית בסביבות IT, IDMZ ו-OT.

ההבדל בין ניקוי קבצי CDR לבין סריקת אנטי-וירוס של קבצים הנכנסים לסביבת ה-OT הוא ההבחנה בין גישה של "מניעה תחילה" לבין גישה של "זיהוי תחילה" בכל הנוגע לתכנים זדוניים. בקרות רב-שכבתיות מצמצמות את הסיכון הנשקף מאיומים לא ידועים ומאלה שנוצרו על ידי בינה מלאכותית, באמצעות שילוב של סריקה רב-מנועית, ניקוי של פורמטים בסיכון גבוה וניתוח אופציונלי בסביבת בדיקה (sandbox) במקרים חשודים.

קריטריוני הבחירה צריכים להתאים בין סוג הקובץ לבין רמת החשיבות של היעד, כדי לקבוע את רמת הבקרה. המדיניות צריכה להגדיר אילו סוגי קבצים דורשים ניקוי כברירת מחדל, ואילו סוגי קבצים יכולים להישאר במצב של סריקה בלבד, עם מנגנוני הסלמה.

סריקת אנטי-וירוס יכולה להוכיח שמנוע הסריקה לא זיהה תוכן זדוני ידוע בהתבסס על חתימות והוראות היוריסטיות שהיו זמינות בזמן הסריקה, אך היא אינה יכולה להוכיח שקובץ מסוים בטוח לשימוש במערכות OT. תוצאות שליליות כוזבות ואיומים חדשים נותרים בעלי חשיבות תפעולית בסביבות קריטיות.

מקרים שנראים תקינים אך מעוררים חשד צריכים להישאר בהסגר עד לביצוע ניתוח רב-שכבתי, הכולל סריקות מרובות, הפעלה בסביבת בדיקה (sandbox) או יישום מדיניות טיהור. תכנון זרימת העבודה צריך להבטיח שתוצאות "תקינות" עדיין יתעדו ראיות ויאפשרו חקירה מאוחרת יותר, במקרה שיתגלו חריגות תפעוליות.

חיטוי בסגנון טכנולוגיית Deep CDR™ הוא ברירת המחדל הבטוחה יותר כאשר יש צורך להפחית את הסיכון הנשקף מתוכן פעיל, גם כאשר תוצאות הזיהוי תקינות. החיטוי מפחית את הסיכון על ידי הסרה או נטרול של רכיבים פעילים, תוך שמירה על תוכן שמיש לצרכים תפעוליים.

דוגמאות למדיניות כוללות ניקוי כברירת מחדל של מסמכי Office וקבצי PDF הנכנסים לאזורי ביניים של OT בעלי רמת קריטיות גבוהה, טיפול מחמיר יותר בארכיונים מקוננים, וטיפול מבוקר בתוצרי הנדסה בהתאם לרמת הקריטיות של היעד. מדיניות הניקוי צריכה לתעד את השינויים שבוצעו, כדי לשמור על ראיות לשרשרת האחריות.

הבחירה בין דיודה נתונים לבין DMZ עם חומת אש כפולה להעברת קבצים בתחום ה-OT היא בחירה תכנונית בין אכיפה חד-כיוונית לבין זרימות עבודה דו-כיווניות מבוקרות, אשר עדיין מסתיימות ב-DMZ. בתכנון של דיודה נתונים, הכיווניות נאכפת מעצם התכנון, בעוד שבתכנון של DMZ עם חומת אש כפולה, הכיווניות נאכפת באמצעות מדיניות ורשימות היתרים.

אכיפה חד-כיוונית משנה את ציפיות זרימת העבודה, שכן האישורים ופתרון הבעיות האינטראקטיבי הופכים למוגבלים. העברה דו-כיוונית מבוקרת עשויה להישאר מוצדקת כאשר מקרי השימוש מצריכים דו-כיווניות, ובלמי הבקרה המפצים נותרים מפורשים וניתנים לביקורת.

דיודה נתונים נדרשת להעברת נתונים בין מערכות OT ל-IT כאשר סובלנות הסיכון, הרגולציה או סביבות בעלות השלכות חמורות מחייבות שימוש בטלמטריה חד-כיוונית קפדנית וצמצום שטח החשיפה לתקיפות. מקרי השימוש בדיודה נתונים כוללים בדרך כלל ניטור חד-כיווני, שכפול נתונים היסטוריים כלפי חוץ, או סביבות מפוקחות המגבילות כל נתיב כניסה לכיוון מערכות ה-OT.

הפשרות תפעוליות כוללות ירידה ביכולת לאשר קבלה באמצעות אישורים אינטראקטיביים וירידה ביכולת לפתור תקלות בזמן אמת. תכנון זרימת העבודה צריך לכלול שיטות אימות חלופיות, כגון אישור מסירה בצד ה-DMZ ויומנים בלתי ניתנים לשינוי.

שימוש בשתי חומות אש באזור DMZ תעשייתי מאפשר מענה לצרכים דו-כיווניים מבוקרים, בכך שהוא מבטיח שכל כיוון מסתיים באזור ה-DMZ באמצעות שערי בדיקה, בקרות הסגר ואכיפה קפדנית של המדיניות. זרימות עבודה דו-כיווניות צריכות להישאר מוגבלות למקרי שימוש מוצדקים, כגון העברת עדכונים מספקים, ייצוא נתונים מבוקר או מסמכי התאמה נדרשים.

יש לתעד את מנגנוני הפיצוי, לרבות רשימות מאושרות קפדניות, יציאות קבועות, זהויות שירות לכל זרם ודרישות אישור. התיעוד צריך לכלול גם הסמכה מחודשת תקופתית של כללי חומת האש, כדי למנוע התפשטות בלתי מבוקרת של הכללים.

העברת קבצים של ספקים לרשת התפעולית (OT) דרך אזור DMZ צריכה להתבצע באמצעות תהליך עבודה המותאם לספקים, אשר מפסיק את גישת הספקים באזור ה-DMZ ומאכוף בדיקה, הסגר, גישה מוגבלת בזמן ורישום ביקורת. תהליכי העבודה של הספקים חייבים למנוע גישה ישירה של הספקים לנכסי ה-OT, תוך שמירה על זמני אספקה צפויים לצורך תכנון תפעולי.

יש להגביל את האימות וההרשאה לאזורי הורדה ספציפיים לספקים ולסוגי קבצים ספציפיים לספקים. שחרור ל-DMZ חייב להיות כפוף לאישור מתועד, ויש לספק אישור על העברה לסביבת ההכנה של OT.

אימות ספקים ללא חשבונות משותפים או גישה קבועה צריך להתבצע באמצעות זהויות ספקים נפרדות, אימות רב-גורמי במידת האפשר, וגישה עם תוקף המותאמת לחלונות התחזוקה. יש להגביל את זהויות הספקים לאזורי הורדה ספציפיים ולמדיניות מוגבלת לגבי סוגי קבצים, כדי לצמצם את החשיפה.

הגישה צריכה להיות מוגבלת להגשה ולצפייה במצב, ולא לאחזור ישיר של OT. הגישה של הספקים צריכה לכלול גם אכיפת מדיניות לגבי יעדים מותרים, כך שחבילות הספקים לא יוכלו להיות מנותבות אל מעבר למיקומים מאושרים לאחסון ביניים של OT.

קובצי הספקים מועברים מההסגר לשחרור מאושר באמצעות כניסה למאגר ההסגר ב-DMZ, סריקה לאיתור תוכנות זדוניות, ניקוי במידת הצורך, וניתוח בסביבת בדיקה (sandbox) כאשר מתקיימים תנאי ההפעלה של המדיניות. יש לאפשר אחזור OT רק לאחר אישור השחרור ולאחר שהמדיניות מסמנת את החבילה כ"מאושרת".

האישור צריך להתבצע על ידי בעלי תפקידים ייעודיים, תוך הקפדה על הפרדת תפקידים, כגון בודקים ומאשרים. תיעוד הראיות צריך לכלול את תוצאות הבדיקה, פעולות הטיהור, חותמות זמן וזהות המאשר.

הגדרות שגויות בהעברת קבצים ב-OT DMZ יוצרות סיכון על ידי החזרת קישוריות בין אזורים, החלשת מנגנוני הבקרה או פגיעה באחריות על אישורים וגישה. מניעת הגדרות שגויות מחייבת קביעת דפוסים מפורשים של "אסור", ביקורות חוזרות ונשנות, וכן איתותי ניטור המזהים התנהגות עוקפת בשלב מוקדם.

דפוסים המועדים לסיכונים כוללים זהויות משותפות, הרחבת שיתופי SMB, התפשטות בלתי מבוקרת של כללי חומת האש, ושלבי העתקה ידניים העוקפים את ההסגר. התקנים צריכים לתרגם מצבי כשל לדרישות ארכיטקטורה ותפעול שניתן לאכוף.

חשבונות משותפים ופעולות העתקה ידניות פוגעים באחריות, שכן פרטי הזדהות משותפים מבטלים את אי-הכחשה ומונעים ייחוס אמין במהלך חקירות. פעולות העתקה ידניות מגבירות גם את הסיכוי שדרכי בדיקה יוחמצו תחת לחץ זמן.

יש לדרוש הפרדת תפקידים וזהויות אישיות בכל הקשור לפעולות הגשה, בדיקה, פרסום ואחזור. תהליכי עבודה אוטומטיים הכוללים אישורים מצמצמים את ההסתמכות על נהלים לא פורמליים ומספקים תיעוד עקבי התומך בביקורות ובטיפול בתקריות.

התפשטות יתר של שיתופי SMB וכללי חומת אש יוצרת נתיבים בלתי נראים, שכן דפוסי הגישה של SMB נוטים להתרחב עם הזמן, וכללי חומת אש כלליים הופכים לקשים לבדיקה. נתיבים בלתי נראים פוגעים במטרת הפיצול, מכיוון שהם מאפשרים הזדמנויות לתנועה רוחבית שאינה מתועדת.

קיבוע שירותים ורשימות אישור קפדניות מצמצמים את הסיכון להרחבה בשוגג. יש לבצע אימות תקופתי של כללי חומת האש כדי לוודא שכל כלל מתאים לתהליך עבודה מאושר, וכי הכללים מוגבלים לנקודות סיום ב-DMZ, במקום לאפשר גישה מקצה לקצה.

רשימת בדיקה לתגבור אבטחת העברת קבצים ב-DMZ תעשייתית מנחה את תהליכי בדיקת הארכיטקטורה, קליטת אתרים וניהול השינויים, על ידי הפיכת בקרות ה-IDMZ לסעיפי אימות הניתנים לשחזור. רשימת בדיקה לתגבור אבטחת העברת קבצים ב-DMZ תעשייתית צריכה להתאים לדרישות הטרמינציה ב-DMZ, לשערי הבדיקה, לתהליכי העבודה בתחום הניהול ולדרישות הראיות לביקורת.

תקינה המבוססת על רשימות ביקורת מצמצמת את הסטיות בין אתרים ומשפרת את התיאום בין בעלי העניין בתחום האבטחה. יש לנסח את הסעיפים ברשימת הביקורת כהצהרות הניתנות לאימות, שניתן לבדוק במהלך היישום ולאשר מחדש במהלך ביקורות תקופתיות.

בדיקות חיזוק Firewall עבור העברות המגיעות ל-DMZ צריכות לאמת את קיומם של יציאות קבועות, רשימות התרה קפדניות, היעדר מפגשים ישירים בין מערכות ה-IT ל-OT, והיעדר מערכות גישור בעלות חיבור כפול. כמו כן, יש להגביל את דפוסי הגישה הניהולית, כך שגישה זו לא תיצור תעלות נסתרות לרשתות ה-OT.

אסטרטגיית התיקונים למערכות DMZ צריכה להתאים לחלונות התחזוקה ולתת עדיפות למזעור הפרעות בשירות. תהליך אימות מחדש של הכללים צריך לאשר שכל כלל מתאים לתהליך עבודה מתועד, וכי הסיום נשאר בתוך ה-DMZ.

בדיקות חיזוק בתחום הבדיקה והחיטוי עבור סוגי קבצים בסיכון גבוה צריכות לאמת את כיסוי הסריקות המרובות, את כיסוי מדיניות ה-CDR, את מפעלי הסנדבוקס, את מגבלות הטיפול בארכיונים ואת התנהגות ההסגר במקרים של כישלון או תוצאות לא ידועות. הטיפול בארכיונים צריך לכלול מגבלות על חילוץ ארכיונים מקוננים ובדיקות לזיהוי מדויק של סוגי קבצים.

הטיפול בחריגים צריך להיות כרוך בתיעוד הנימוקים, באישור מפורש ובשמירת תיעוד ראייתי. כמו כן, יש לבצע בדיקה תקופתית של החריגים כדי למנוע מצב שבו הקלות זמניות יהפכו לדרכי עקיפה קבועות.

דרישות ה-RFP להעברת קבצים מנוהלת ברשתות IT, OT ו-DMZ צריכות לתת עדיפות לאכיפת גבולות, אבטחת קבצים רב-שכבתית, ניהול מרכזי ויכולת ביקורת בסביבות מפולחות. ניסוח ה-RFP צריך להישאר ממוקד בתהליכי העבודה, כך שהדרישות ישקפו סיום ב-DMZ, שערי בדיקה, אישורים ותיעוד ראיות, ולא רק תכונות העברה.

דרישות בקשת ההצעה (RFP) צריכות לכלול גם זמינות גבוהה, פעילות במצב לא מקוון או בתנאי רשת מוגבלים, וכן יישום עקבי של מדיניות בכל האתרים. על הדרישות להגדיר כיצד הפלטפורמה אוכפת תהליכי עבודה מסוג "דחיפה ל-DMZ ואז משיכה ל-OT" מבלי ליצור הפעלות חוצות-אזורים.

דרישות הפרוטוקול והמחברים צריכות לכלול פרוטוקולים נפוצים הנדרשים בסביבות ארגוניות ותעשייתיות, מבלי להתמקד יתר על המידה בפרוטוקולי העברה. ציפיות האינטגרציה צריכות לכלול תמיכה בהתנהגות של "אחסון והעברה" (store-and-forward) ותמיכה ברשתות מוגבלות או מנותקות.

דרישות בקשת ההצעה (RFP) צריכות לציין התנהגות צפויה של ניסיונות חוזרים, העברות הניתנות להמשך עבור קבצים גדולים, ובקרות רוחב פס המכבדות את פעילות המפעל. דרישות המחברים צריכות להתייחס גם לטיפול בזהויות השירות ולשילוב עם מערכות זהויות, ככל שהדבר אפשרי.

דרישות תיאום המדיניות צריכות לכלול הגדרת מדיניות לכל זרימה, תהליכי עבודה של הסגר ושחרור, ניתוב אוטומטי והפרדת תפקידים. תיאום המדיניות צריך לכלול נקודות אינטגרציה מפורשות עבור סריקה מרובה, CDR, סנדבוקסינג ואכיפת DLP במסלול ההעברה.

דרישות תהליך האישור צריכות לכלול אישורים מדורגים ואוטומציה עבור תהליכים בעלי סיכון נמוך, עם טיפול מתועד במקרים חריגים. כמו כן, על הדרישות לציין את שדות הראיות הנרשמים בכל שלב לצורכי ביקורת וחקירה.

דרישות הנראות ושרשרת הביקורת צריכות לכלול הוראות בנוגע לדיווח, לדרישות שדות היומן, לבקרות שמירה ולייצוא ל-SIEM או לפלטפורמות יומן מרכזיות. דרישות הרישום הבלתי-משתנות צריכות לכלול הוראות בנוגע לבקרות נגד חבלה ובקרות גישה לצורך אחזור ראיות.

דרישות אישור המסירה צריכות לכלול הוכחה לכך שהחבילות שאושרו הגיעו למתחם ההעברה של OT ונאספו על ידי גורמים מורשים. דרישות ההוכחה לגבי החבילות צריכות לכלול חתימות דיגיטליות, חותמות זמן, תוצאות בדיקה, אישורים ומזהי התאמה.

הודות לטכנולוגיות Metascan Multiscanning, Deep CDR™, Proactive DLP וסביבת בדיקה מבודדת (sandboxing), MetaDefender Managed File Transfer MFT) הוא פתרון העברת הקבצים המנוהל (MFT) OPSWAT, המפחית סיכונים הנובעים מקבצים באמצעות בקרה מרכזית על העברת קבצים בין מערכות IT ו-OT (טכנולוגיות תפעוליות) באמצעות אזור DMZ תעשייתי.