מדוע העברת קבצים היא נקודת כניסה מובילה לתוכנות זדוניות

הסיכון הנשקף מתוכנות זדוניות בהעברת קבצים הוא הסבירות שתוכן זדוני או תוכן שנועד לפגיעה יכנס לסביבה מהימנה באמצעות חילופי קבצים שגרתיים, ויאפשר הפעלה, תנועה רוחבית או פגיעה בנתונים. הסיכון הנשקף מתוכנות זדוניות בהעברת קבצים גובר כאשר קבצים נכנסים חוצים גבולות אבטחה ללא בדיקה או ללא בקרות שחרור מחמירות.

ההשפעה התפעולית כוללת הכנת תוכנות כופר, גניבת אישורים באמצעות תוכנות טעינה, פגיעה בשרשרת האספקה באמצעות שותפים מהימנים, וזיהום חוצה-אזורים בין רשתות מפולחות. על צוותי תפעול ה-IT להתייחס לקבצים הנכנסים כתוכן לא מהימן עד לביצוע בדיקה, ניקוי ואימות מדיניות.

העברת קבצים עוקפת לעתים קרובות את מנגנוני הזיהוי והתגובה בנקודות הקצה, מכיוון שהקבצים מגיעים ישירות לשרתים, לשיתופי רשת או לתהליכי עבודה אוטומטיים, מבלי שהמשתמש יבדוק אותם. האוטומציה של העברת קבצים מעבירה תוכן באמצעות חשבונות שירות, משימות מתוזמנות ושילובים שאינם מפעילים התראות או בדיקות ברמת המשתמש.

צינורות קליטה אצווית, תיקיות ייעודיות ושילובים API יוצרים תהליכי עבודה חוצי גבולות, שבהם התוכן מעובד מיד עם הגעתו. ללא בדיקה מובנית ובקרות של הסגר ושחרור, קבצים זדוניים עלולים להתפשט עוד בטרם יזוהו.

נתיב העברת קבצים נחשב למסוכן ביותר כאשר קובץ חוצה גבול אמון, מגיע למערכת בעלת הרשאות, כולל סוגי קבצים רגישים, ואינו עובר בדיקה מובנית הכוללת אמצעי בידוד. נתיב העברת קבצים נחשב למסוכן פחות כאשר לפני המסירה מיושמים אמצעי בדיקה, טיהור, ספריות בעלות הרשאות מינימליות ותוצאות מדיניות דטרמיניסטיות.

בדירוג הסיכונים יש לקחת בחשבון:

• חציית גבול האמון (מחוץ לפנים, מ-IT ל-OT, מ-DMZ לליבה)
• רגישות ליעד והרשאות מערכת
• תנודתיות בסוגי קבצים ותוכן פעיל
• ביצוע בדיקה לפני המסירה ושחרור השערים

תוקפים נוהגים לנצל לרעה פורטלי העלאה מסוג SFTP, FTPS ו-HTTPS, קבצים מצורפים לדוא"ל, קישורים משותפים ונתיבי סנכרון בענן כדי להחדיר תוכנות זדוניות המועברות באמצעות קבצים. נקודות הכניסה של העברת קבצים נהנות מאמון עסקי, שכן ספקים, שותפים וצוותים פנימיים משתמשים באותם ערוצים לצורך חילופי נתונים שוטפים.

ניצול של שותפים מהימנים ואוטומציה שגרתית גורמים לקבצים זדוניים להיראות תקינים מבחינה תפעולית. התוקפים נותנים עדיפות לנתיבים החוצים גבולות אמון ומפעילים עיבוד בהמשך התהליך ללא בדיקה.

העברת קבצים באמצעות SFTP הופכת למסלול להפצת תוכנות זדוניות כאשר ספקים או אינטגרציות אוטומטיות מעלים קבצים ישירות לספריות פנימיות ללא בדיקת תוכן. דפוסי השימוש ב-SFTP כוללים חשבונות שירות, העלאות מתוזמנות ועיבוד אצווה במורד הזרם.

אמצעי בקרה לקויים, כגון פיזור מפתחות, שימוש חוזר בפרטי הזדהות, הרשאות נרחבות לספריות וחוסר בבדיקה מובנית, מגבירים את החשיפה. Secure אינה מאמתת את תקינות הקובץ.

העברות באמצעות FTPS הופכות לכלי נשק כאשר מבלבלים בין העברה מוצפנת לאבטחת תוכן. פרוטוקול FTPS מגן על נתונים בעת העברתם באמצעות TLS, אך אינו בודק את תוכן הקבצים.

בין המכשולים התפעוליים נכללים סטיות בתעודות, תצורות לקוחות מיושנות וחריגים בחומת האש המעדיפים את החיבור על פני הבדיקה. ללא הסגר ובקרת שחרור, תוכן לא בטוח חודר לתהליכי עבודה מהימנים.

פורטלי העלאה ב-HTTPS חושפים ממשקים ציבוריים להעלאת קבצים, כגון פורטלי לקוחות, מערכות ניהול כרטיסים וטפסי הרשמה. פרוטוקול HTTPS מצפין את העברת הנתונים, אך אינו מנטרל תוכן זדוני בקבצים. 

חומות אש ליישומי אינטרנט מתמקדות בדפוסי בקשות ובאימות קלט, ולא בבדיקה מעמיקה של קבצים. בדיקת קבצים מובנית בשכבת ההעלאה מונעת מקבצים לא בטוחים להגיע לאחסון הפנימי. 

התוקפים מסתירים תוכנות זדוניות בסוגי קבצים נפוצים באמצעות ארכיונים מקוננים, ניצול לרעה של פקודות מאקרו, שרשראות ניצול ו"זיוף" סוגי קבצים. תוכנות זדוניות המועברות בקבצים מתחמקות מבדיקות שטחיות על ידי הטמעת תוכן פעיל בתוך פורמטים עסקיים לגיטימיים.

בעת גיבוש המדיניות יש להניח כי נדרשת זיהוי מבוסס תוכן עבור כל הקבצים הנכנסים החוצים את גבולות האמון.

קובצי ZIP וארכיונים מקוננים מונעים סריקה פשוטה באמצעות רקורסיה עמוקה, הגנה באמצעות סיסמה ואי-התאמות בסיומות. הרקורסיה בארכיונים מסתירה תוכן הניתן להפעלה בעומק של מספר שכבות.

על מנגנוני הבקרה לאכוף מגבלות על עומק הארכיונים, מדיניות דחיסה, כללים לטיפול בארכיונים המוגנים בסיסמה ובדיקה חובה לפני פרסום.

מסמכי Office התומכים בפקודות מאקרו מפיציםתוכנות כופרומטענים באמצעות הפעלת סקריפטים מוטמעים או אובייקטים מקושרים במהלך האינטראקציה עם המסמך. פורמטי הקבצים של Office תומכים בתוכן פעיל הפועל בהקשר של המשתמש. 

על המדיניות להחיל בקרות מסוג "רשימת מותרים תחילה", הגבלות על מאקרו, וכן "ניטרול תוכן ובנייה מחדש" כדי להסיר אלמנטים פעילים תוך שמירה על חוויית המשתמש. 

קובצי PDF אינם בטוחים כשלעצמם, שכן מסמכי PDF עשויים להכיל סקריפטים, קישורים ותוכנות זדוניות המנצלות פרצות אבטחה בתוכנות הקריאה. התקפות המבוססות על קבצי PDF מופיעות לעתים קרובות בצורת חשבוניות, חוזים או דוחות. 

יש לבצע בדיקה וחיטוי של קבצי PDF נכנסים החוצים גבולות אמינות, על מנת להסיר תוכן פעיל ולאמת את המבנה. 

SFTP, FTPS ו-HTTPS נבדלים זה מזה במודלים של הצפנת העברה ואימות, אך אינם מפחיתים כשלעצמם את הסיכון הטמון בתוכן הקבצים. Secure מגנה על ערוץ התקשורת, ולא על תוכן הנתונים.

הסיכון לתוכנות זדוניות נותר על כנו, אלא אם כן מתבצעים בדיקה, ניקוי ואכיפת מדיניות לפני ההעברה למערכות מהימנות.

Secure שומרת על סודיות ושלמות הנתונים במהלך העברתם באמצעות הצפנת נתונים והגנה על פרטי הזדהות מפני יירוט. Secure מפחיתה את הסיכון להתקפות "איש באמצע" ולניטור פסיבי. 

Secure אינה מזהה תוכן זדוני, פרצות "יום אפס" במנתחי קבצים או הפרות של מדיניות המוטמעות בקבצים.

העברות מוצפנות מצמצמות את הנראות ברמת הרשת כאשר לא מתבצעת בדיקה במקום שבו הטקסט הגלוי זמין. כלי זיהוי ברשת אינם יכולים לנתח נתונים מוצפנים ללא סיום מבוקר. 

הבדיקה צריכה להתבצע בנקודות קצה, בשערים או בשכבות העברת קבצים מנוהלות, שבהן הקבצים מפוענחים, נבדקים, מנוקים ומוצפנים מחדש לפני שחרורם. 

ארכיטקטורה מומלצת לסריקת כל הקבצים הנכנסים לפני מסירתם מחייבת בדיקה מובנית ותהליכי עבודה של הסגר ושחרור, המוטמעים במסלולי העברת הקבצים. בדיקת הקבצים חייבת לשמש כנקודת אכיפת מדיניות, ולא כתוספת אופציונלית.

צוותי תפעול ה-IT צריכים להתאים את תהליכי הבדיקה למיקום ה-DMZ, לרשתות המפולחות ולהעברות בין אזורים.

תהליך עבודה של "הסגר לשחרור" מעביר קבצים לאחסון מבודד, מבצע בדיקה וניקוי, מקבל החלטה בהתאם למדיניות, ומשחרר קבצים שאושרו ליעדם המיועד. 

שלבי תהליך העבודה כוללים קבלה, הסגר, בדיקה, חיטוי או פיצוץ, אישור או חסימה, ומסירה. אוטומציה, לוגיקת ניסיונות חוזרים וטיפול יעיל בכישלונות מאפשרים לשמור על רמת השירות מבלי לעקוף את אמצעי האבטחה. 

בדיקת קבצים ב-DMZ צריכה להתבצע לפני שהקבצים עוברים מרשתות חיצוניות בעלות רמת אמינות נמוכה לאזורים פנימיים בעלי רמת אמינות גבוהה. פלטפורמות להעברת קבצים מנוהלת או שערים מאובטחים המבוססים על ה-DMZ משמשים כשכבות בדיקה מבוקרות.

יש לבצע בדיקה לפני מתן גישה לכתיבה למערכות פנימיות, על מנת לאכוף החלטות בנוגע לגבולות האמון.

העברה ישירה לשיתוף או ליישום מגדילה את טווח הפגיעה בכך שהיא מאפשרת לקבצים נכנסים להפעיל או להתפשט לפני הבדיקה. כתיבה ישירה ל-NAS פנימי, לתיקיות ייעודיות או לספריות יישומים מגדילה את החשיפה.

דפוסי העברה מתווכים מחייבים קבלת תוצאות בדיקה חיוביות לפני מתן הרשאות כתיבה ליעדים פנימיים.

אמצעי אבטחה המפחיתים את הסיכון לתוכנות זדוניות בהעברת קבצים, מעבר להצפנה, כוללים אימות סוג הקובץ, סריקה רב-שלבית, CDR (Content Disarm and Reconstruction), ניתוח בסביבת בדיקה (sandbox) ומניעת אובדן נתונים. ההצפנה מגנה על תהליך ההעברה, בעוד שאמצעי אבטחת התוכן מאמתים ומנטרלים את המטען הזדוני.

בחירת אמצעי הבקרה צריכה לשקף את רמת האמינות של המקור, את רגישות היעד ואת רמת התנודתיות של סוג הקובץ.

רשימות היתרים לסוגי קבצים ואימות תוכן מונעות כניסת קבצים הניתנים להפעלה ופורמטים מסוכנים לסביבות רגישות. מדיניות של "רשימת היתרים תחילה" אוכפת אימות קפדני של סיומות וסוגי תוכן.

חריגות עסקיות צריכות להיות זמניות, להיבדק ולהירשם, כדי למנוע פערים קבועים במדיניות.

Multiscanning יכולת הזיהוי באמצעות שימוש במספר מנועי אנטי-תוכנה זדונית לבדיקת אותו הקובץ, ובכך מצמצמת את נקודות התורפה של מנוע בודד. סריקה מבוססת קונצנזוס מגבירה את האמינות בתוצאות הבדיקה בעת העברת קבצים. 

התכנון התפעולי צריך להגדיר ספי החלטה עבור מערכות מרובות מנועים, תהליכי מיון של תוצאות חיוביות כוזבות, ותהליכי עבודה להעברת מקרים לתשומת לב בכירה במקרה של תוצאות שנויות במחלוקת. 

תהליך "ניטרול תוכן ובנייה מחדש" מסיר תוכן פעיל ממסמכים ובונה מחדש גרסאות בטוחות להפצה. תהליך זה מפחית את הסיכון לפריצות "יום אפס" ולניצול פרצות, תוך שמירה על השימושיות של המסמכים. 

החלפת מסמכים בהיקפים גדולים מרוויחה מניקוי נתונים כאשר תהליכים עסקיים דורשים זמן תגובה קצר תוך צמצום סיכוני הביצוע. 

סביבת בדיקה (Sandbox) מנתחת את התנהגות הקבצים בסביבות מבוקרותכדי לאתר תוכנות זדוניות לא מוכרות או מכוונות. Sandbox מספק אינדיקטורים התנהגותיים מעבר לחתימות סטטיות. 

Sandbox וטכניקות התחמקות מחייבות טיפול מוגדר בשחרור מושהה, כדי לשמור על רמות השירות מבלי לבצע שחרור לא בטוח. 

Proactive DLP מדיניות סיווג נתונים עבור קבצים בתנועה, כדי למנוע דליפת מידע אישי מזהה (PII), מידע רפואי מוגן (PHI), נתוני PCI או נתונים הכפופים לרגולציה. Proactive DLP את הפיקוח על העברת קבצים עם הדרישות הרגולטוריות. 

מדיניות ה-DLP צריכה להתאים לממשקי ספקים, לרישומים המפוקחים ולהעברות נתונים חוצות גבולות, כדי להבטיח תוצאות מדיניות ודאיות. 

אבטחת העברת קבצים ברשתות מפולחות ובין גבולות ה-IT וה-OT מחייבת בדיקה ופיקוח בכל מעבר של גבול אמון. הפיצול מגביר את ההסתמכות על העברת קבצים כנתיב חריג בין אזורים.

בדיקה, הסגר ושחרור מבוקר מונעים זיהום בין אזורים ושומרים על אמינות תפעולית.

קבצים המועברים מאזור בעל רמת אמינות נמוכה לאזור בעל רמת אמינות גבוהה מחייבים אימות מפורש של זהות השולח, סוגי הקבצים המותרים, תוצאות הבדיקה והנמענים המורשים. מדיניות גבולות האמינות חייבת להגדיר מי רשאי לשלוח, מה ניתן לשלוח ולאן הקבצים יכולים להגיע.

ספריות עם הרשאות מינימליות ובקרות של "בדיקה לפני מסירה" אוכפות החלטות בנוגע לגבולות.

בעת העברת קבצים בגבול שבין מערכות ה-IT ל-OT יש להימנע מקישוריות דו-כיוונית בלתי מבוקרת או מתיקיות משותפות. שיתופים בלתי מוגבלים יוצרים דלתות אחוריות קבועות בין רשתות ה-IT לרשתות הטכנולוגיה התפעולית.

דפוסי תיווך של העברה מבוקרת, תהליכי עבודה חד-כיווניים במידת הצורך, ושערי שחרור מפורשים שומרים על ההפרדה תוך מתן אפשרות לחילופי מידע נדרשים.

כדי להוכיח שהעברות הקבצים אומתו, נדרש תיעוד מקיף של פעולות הבדיקה, אכיפת המדיניות והחלטות השחרור. הראיות חייבות לתמוך הן בבדיקת הביקורת והן בתגובה לאירועים.

היומנים צריכים להציג ביצוע בקרה דטרמיניסטי עבור כל קובץ שחוצה גבול אמון.

יומני MFT להגנה מפני תוכנות זדוניות חייבים לכלול את זהות המשתמש או המערכת, נקודות הקצה המקוריות והיעד, חותמות זמן, הפרוטוקול שבו נעשה שימוש, חתימות קבצים כגון SHA-256, החלטות מדיניות ותוצאות הבדיקה. 

יומנים מפורטים תומכים בפעולות בלימה ובבחינת היקף האירוע לצורך חקירה לאחר תקריות חשודות שמקורן בקבצים. 

תיעודי הסריקה והניקוי צריכים לכלול את גרסאות המנוע, תוצאות לכל מנוע, פעולות לנטרול תוכן ובנייה מחדש, אינדיקטורים של סביבת הבדיקה, וההחלטה הסופית. 

תיעוד הניתן לשחזור ויומנים המוגנים מפני פגיעה בשלמותם מחזקים את הערך הראייתי במהלך ביקורות וחקירות.

רשימת בדיקה לאבטחת העברת קבצים מנוהלת עבור חילופי מידע עם ספקים וענפים כפופים לרגולציה מספקת שיטה המותאמת לארכיטקטורה, שנועדה להעריך ולהפחית את הסיכון לתוכנות זדוניות בהעברת קבצים. רשימת הבדיקה צריכה לבחון את המדיניות, את זרימת העבודה, את מיקום הבדיקות ואת תיעוד הראיות.

בקרות חילופי הקבצים עם ספקים צריכות לתקנן את תהליכי קליטת השותפים, אימות הזהות, הגישה המוגבלת בזמן, ניהול המפתחות והתעודות, וכן את ספריות "הרשאות מינימליות". תהליכי העבודה עם ספקים חייבים לכלול הסגר, בדיקה מובנית ומסירה מבוקרת ליעדים פנימיים.

אכיפה עקבית מצמצמת את ניצול לרעה של שותפים מהימנים ואת הסיכון לעקיפת האוטומציה.

אמצעי בקרה המסייעים לצמצם את התפשטות תוכנות הכופר כוללים חסימת סוגי קבצים בסיכון גבוה, ניקוי מסמכים נכנסים, בידוד אזורי ביניים נכנסים והגבלת הרשאות חשבונות שירות. מעקב אחר נפחי קבצים חריגים או הפרות חוזרות ונשנות של המדיניות מאפשר לזהות ניסיונות ביניים.

ביצוע שלבים מבודדים והעברה מתווכת מצמצמים את רדיוס הפיצוץ.

MetaDefender File Transfer™ הוא פתרון העברת הקבצים המנוהלת (MFT) OPSWAT, המיועד להחלפת קבצים מאובטחת ומבוססת מדיניות בסביבות IT ו-OT. MetaDefender File Transfer™ משלב בדיקת קבצים מובנית, סריקה מרובה, טכנולוגיית Deep CDR™, Proactive DLP, ניתוח סנדבוקס משופר ב-AI, הצפנה וניהול מרכזי ישירות לתוך זרימת העבודה של ההעברה, כדי לתמוך בשחרור מבוקר, בראיות מוכנות לביקורת ובהגנה חוצת גבולות.