Protezione dei trasferimenti di file in ambienti operativi isolati
Il settore delle utility continua ad affrontare minacce informatiche persistenti, tra cui malware mirato, ransomware ed exploit zero-day, in particolare quando i sistemi OT (tecnologia operativa) devono ingerire dati da fonti esterne. Secondo l'X-Force Threat Intelligence Index di IBM, le utility energetiche sono state il quarto settore più bersagliato nel 2024.
Con la crescente digitalizzazione delle operazioni delle utility, la necessità di elaborare file esterni, come rapporti diagnostici, file di patch e aggiornamenti di sistema, senza esporre le risorse interne, è diventata un requisito fondamentale. Questi trasferimenti spesso coinvolgono fornitori di terze parti e supporti portatili, come le unità USB , che comportano un elevato rischio di infiltrazione di malware e di violazioni della conformità se non adeguatamente controllati.
Per mitigare questi rischi, l'azienda ha adottato un'architettura segmentata che mantiene i processi di trasferimento dei file interamente contenuti nelle rispettive zone di fiducia. MetaDefender Managed File Transfer MFT) (MFT) e MetaDefender Core sono stati implementati sia in ambienti a bassa sicurezza (rivolti all'esterno) che in ambienti ad alta sicurezza (interni). Ciascun ambiente opera in modo indipendente, senza connettività diretta tra le zone. I file vengono ora scansionati ed elaborati in base a politiche di sicurezza specifiche per ciascuna zona, garantendo che gli invii esterni non aggirino le misure di sicurezza interne.
Applicazione dei criteri per il caricamento di file da fonti interne ed esterne
I processi operativi dell'azienda richiedono un'assunzione sicura di file sia da parte dei team di ingegneri interni sia da parte di appaltatori esterni. Questi file possono includere diagnostica di sistema, pacchetti di patch o payload di aggiornamento che devono essere introdotti in ambienti OT protetti senza compromettere i sistemi interni.
Prima di adottare le soluzioni MetaDefender , questi trasferimenti si basavano spesso su procedure manuali e strumenti ad hoc, tra cui unità condivise, trasferimenti di file non protetti e trasferimenti di supporti fisici. Le consegne USB, in particolare, mancavano di procedure di scansione standardizzate, creando il rischio di introduzione di malware e di applicazione incoerente delle policy.
Per risolvere questo problema, l'organizzazione ha implementato MetaDefender Managed File Transfer MFT) e i motoriCore MetaDefender Core in ambienti sia a bassa che ad alta sicurezza. L'invio dei file, sia da USB tramite MetaDefender Kiosk tramite interfacce web autenticate MetaDefender Managed File Transfer MFT) (WebGUI), viene gestito in modo indipendente all'interno di ciascuna zona con upload regolati da policy per i file provenienti USB dalla rete.
MetaDefender Kiosk fornisce una stazione di upload per la scansione dei supporti rimovibili prima che entrino nella rete, mentre l'upload via web è limitato agli utenti autenticati tramite account gestiti localmente. Tutti i file vengono scansionati in base a regole specifiche della zona, compresa l'etichettatura dei contenuti e l'ispezione approfondita delle minacce con MetaDefender Core. In questo modo si garantisce che le richieste vengano elaborate in modo sicuro, senza l'esposizione all'infrastruttura condivisa tra le varie zone.
Questa struttura consente all'azienda di mantenere una completa separazione operativa tra le reti a bassa e ad alta sicurezza, pur consentendo il caricamento dei file laddove necessario. Inoltre, garantisce la registrazione completa degli audit e la tracciabilità di tutti i caricamenti, le azioni degli utenti e le decisioni relative ai criteri, consentendo un'applicazione coerente dei criteri interni e aiutando a soddisfare i requisiti di audit e conformità.
La soluzione OPSWAT: MetaDefender Managed File Transfer MFT) in ambienti segmentati
L'azienda ha scelto MetaDefender Managed File Transfer MFT) OPSWATdopo aver individuato la necessità di una tecnologia di trasferimento file in grado di operare in modo sicuro in ambienti di rete segmentati. Un requisito fondamentale era quello di consentire il caricamento sicuro dei file all'interno di ciascun ambiente, sia da parte di utenti interni che di fornitori esterni, mantenendo al contempo una rigorosa separazione tra zone a bassa sicurezza e zone ad alta sicurezza.
La soluzione è stata implementata come due ambienti completamente indipendenti. Un'istanza di MetaDefender Managed File Transfer MFT) e MetaDefender Core installata nella zona a bassa sicurezza e un'istanza separata nella zona ad alta sicurezza. Ciascuna istanza opera in modo autonomo, applicando le proprie politiche di sicurezza e i propri flussi di lavoro di scansione a tutti i file in entrata.
I Kiosk MetaDefender sono stati installati nei punti chiave di upload per consentire il trasferimento sicuro dei supporti USB . Questi Kiosk fungono da stazioni di upload controllate, consentendo agli utenti di scansionare e inviare i file senza accesso diretto alle reti interne. Sono supportati anche i caricamenti via web, con gli utenti autenticati tramite account gestiti localmente. Questo garantisce un invio sicuro senza esporre i servizi di directory interni.
Applicando flussi di lavoro segmentati e controllati da policy e il rilevamento delle minacce a più livelli in ogni ambiente, l'azienda ha stabilito un processo sicuro e verificabile per la gestione dei file esterni e interni. I file non vengono mai trasferiti da una zona all'altra e quindi i confini della fiducia non vengono mai superati, pur consentendo la consegna di file operativi ovunque sia necessario.
3 Capacità chiave fornite da OPSWAT Technologies
Scansione dei file
Tutti i file inviati tramite MetaDefender Kiosk MetaDefender Managed File Transfer MFT) WebGUI sono soggetti a più livelli di rilevamento delle minacce. I file vengono scansionati nell'ambiente di ricezione utilizzando MetaDefender Core, che applica analisi basate sia sulle firme che sul comportamento per identificare e bloccare minacce note e sconosciute. Le politiche di scansione possono anche identificare tipi di file sensibili, come i contenuti di interesse nazionale (SNI), per garantire una gestione adeguata nel rispetto dei quadri normativi.
Autenticazione specifica della zona
Gli utenti esterni inviano i file tramite l'interfaccia WebGUI MetaDefender Managed File Transfer MFT) utilizzando account locali gestiti in modo indipendente all'interno di ciascun ambiente. Ciò garantisce un controllo degli accessi zero-trust tramite l'autenticazione degli utenti locali senza integrazione con Active Directory. Tutte le azioni degli utenti vengono registrate in un log di audit con piena attribuzione a identità specifiche, a garanzia di responsabilità e tracciabilità.
Instradamento automatico dei file
I file approvati vengono instradati automaticamente verso posizioni di archiviazione predefinite all'interno di ciascuna zona (come le condivisioni SMB designate) in base ai criteri, riducendo i rischi di gestione manuale e garantendo percorsi di consegna controllati. In questo modo si riduce il lavoro manuale, si elimina il rischio di errore umano e si garantisce che solo i file controllati vengano consegnati agli ambienti operativi. Tutti i trasferimenti vengono registrati e le eventuali eccezioni attivano risposte definite dai criteri.
L'insieme di questi controlli consente all'azienda di mantenere un rigoroso isolamento tra le zone di sicurezza, consentendo al contempo il caricamento e l'elaborazione di file operativi nell'ambito di una governance coerente.
Costruire la resilienza attraverso il caricamento di file segmentato e guidato dalle politiche
Adottando un approccio stratificato e controllato da policy per il trasferimento dei file, l'azienda ha ridotto significativamente la propria esposizione alle minacce veicolate dai file, mantenendo al contempo rigidi confini operativi tra le zone di fiducia. MetaDefender Core un'ispezione approfondita dei contenuti, sia che i file provengano da USB scansionati presso un Kiosk vengano inviati tramite la WebGUI MetaDefender Managed File Transfer MFT).
Ogni zona elabora i file in modo indipendente, garantendo che nessun movimento di file attraversi i confini della sicurezza. Questa strategia di segmentazione, combinata con flussi di lavoro automatizzati e registrazioni di audit dettagliate, consente all'organizzazione di soddisfare le politiche di sicurezza interne e le aspettative normative senza compromettere la flessibilità operativa.
Poiché il panorama delle minacce si evolve e gli ambienti OT rimangono obiettivi di alto valore, questa architettura fornisce una base a prova di futuro per la gestione sicura e tracciabile dei file, indipendentemente dalla loro origine.
Per scoprire come MetaDefender Managed File Transfer MFT) può aiutare la tua organizzazione a garantire upload e trasferimenti di file sicuri e verificabili all'interno di ambienti segmentati, parla oggi stesso con un esperto.
