Managed File Transfer reti IT, OT e DMZ

Il trasferimento di file IT/OT attraverso una DMZ industriale diventa un problema sia dal punto di vista della sicurezza che delle operazioni, poiché lo scambio operativo di file deve attraversare i confini di segmentazione creati proprio per ridurre i rischi informatici. Industrial continuano a richiedere che patch, ricette, registri, documenti forniti dai fornitori, backup e report vengano trasferiti tra le zone secondo scadenze prestabilite.

Canali ad hoc quali e-mail, unità condivise, host di transito e supporti rimovibili aumentano l'esposizione al malware veicolato dai file e riducono la tracciabilità. I flussi di lavoro Industrial (IDMZ) richiedono inoltre prove di audit, allineamento dei controlli sulle modifiche e un'applicazione coerente in tutti i siti per evitare eccezioni isolate.

Tra i casi d'uso più comuni del trasferimento di file dall'IT all'OT figurano i pacchetti di lavoro di progettazione, gli aggiornamenti di PLC e HMI, gli estratti dell'historian, gli aggiornamenti delle firme antivirus, i backup e i pacchetti firmware dei fornitori. I prodotti di progettazione e gli aggiornamenti del firmware richiedono in genere prove più rigorose relative alla catena di custodia rispetto ai rapporti di routine o alle esportazioni periodiche dei log.

I flussi periodici comprendono solitamente backup programmati, aggiornamenti antivirus e l'invio di report standard. I flussi urgenti comprendono solitamente hotfix di emergenza per il firmware, estrazioni di dati per la risposta agli incidenti o modifiche alle ricette che richiedono tempestività. I requisiti relativi alla catena di custodia diventano più rigorosi quando i file possono modificare comportamenti critici per la sicurezza o influire in modo significativo sulla qualità della produzione.

Il modello tradizionale di DMZ aziendale non è perfettamente applicabile all'OT, poiché una DMZ esposta a Internet gestisce principalmente gli accessi esterni, mentre una DMZ industriale garantisce soprattutto operazioni deterministiche, un rigoroso controllo delle modifiche e la protezione dei processi critici per la sicurezza. L'obiettivo della segmentazione di livello 3.5 di Purdue è limitare i percorsi di accesso all'OT e ridurre la fiducia implicita tra le zone. 

Il rischio legato ai file è amplificato nell'OT poiché i sistemi legacy, le finestre di aggiornamento limitate e i vincoli di disponibilità riducono la tolleranza nei confronti degli interventi correttivi reattivi. Industrial richiedono inoltre percorsi di trasferimento prevedibili e procedure di approvazione ripetibili che possano essere sottoposte a verifica senza creare sessioni dirette tra IT e OT. 

Il fatto che tutte le connessioni terminino nella DMZ implica che i trasferimenti di file tra IT e OT debbano evitare sessioni dirette end-to-end tra gli endpoint aziendali e quelli OT oltre il confine di fiducia. Il fatto che tutte le connessioni terminino nella DMZ implica inoltre che i progetti debbano evitare l'uso di server dual-homed che fungono da ponte tra le zone ed evitare regole firewall che consentano connessioni client tra zone diverse.

Questo principio si traduce in vincoli ben definiti: i sistemi IT comunicano esclusivamente con i servizi della DMZ, i sistemi OT comunicano esclusivamente con i servizi della DMZ e lo spostamento dei file avviene tramite flussi di lavoro di tipo "store-and-forward" gestiti da un broker. I punti di terminazione nella DMZ industriale fungono da punti di controllo per l'ispezione, la quarantena, le approvazioni e la registrazione degli audit.

Per impedire sessioni dirette tra IT e OT senza compromettere l'automazione, sono necessari modelli di trasferimento mediato in cui il mittente si connette esclusivamente a servizi di trasferimento residenti nella DMZ e il destinatario OT si connette esclusivamente a servizi di recupero residenti nella DMZ. Il trasferimento di file mediato prevede solitamente una fase di invio verso la DMZ seguita da una fase di recupero verso l'OT, in modo che non esistano sessioni tra zone diverse.

L'esposizione delle porte rimane minima grazie all'uso di porte bloccate, a liste di autorizzazione rigorose e a identità di servizio limitate a livello di flusso di lavoro. Gli account di servizio specifici per ogni flusso di lavoro riducono il rischio di spostamenti laterali e facilitano la ricertificazione delle regole di accesso durante le revisioni periodiche.

Il dual homing e lo storage condiviso generano collegamenti accidentali tra zone, poiché un host dotato di doppia scheda di rete può diventare un punto di snodo per il routing o le credenziali oltre i confini della segmentazione. Anche le condivisioni di file SMB e le credenziali replicate possono compromettere l'efficacia della segmentazione, consentendo percorsi di accesso impliciti tra zone che sono difficili da individuare e ricertificare.

Tra le pratiche da evitare figurano i file server con doppia connessione che interagiscono contemporaneamente con le reti IT e OT, le cartelle SMB condivise utilizzate come punti di "trasferimento" tra zone e lo scambio di file tramite host intermedi che aggirano i punti di controllo. L'applicazione dei confini si basa sulla terminazione, sull'ispezione e sull'autorizzazione esplicita, piuttosto che su percorsi di convenienza.

Un'architettura DMZ industriale di livello 3.5 secondo il modello Purdue per il trasferimento dei file posiziona l'IDMZ come confine di ispezione e applicazione delle politiche tra le reti IT e OT aziendali. Un'architettura DMZ industriale di livello 3.5 secondo il modello Purdue garantisce inoltre che gli endpoint IT e OT si integrino con i servizi della DMZ anziché integrarsi tra loro.

I servizi minimi della DMZ includono in genere un gateway per il trasferimento dei file o un server di trasferimento file gestito, uno spazio di quarantena, livelli di ispezione e una registrazione centralizzata. Il comportamento di "store-and-forward" mediato supporta operazioni deterministiche mantenendo intatto l'obiettivo della segmentazione.

I servizi che devono essere integrati nella DMZ industriale per garantire uno scambio sicuro di file comprendono un gateway di trasferimento file o un server di trasferimento file gestito, livelli di scansione antimalware e sandboxing, livelli di disinnesco e ricostruzione dei contenuti (CDR), archiviazione in quarantena e raccolta centralizzata dei log. I servizi Industrial includono inoltre componenti per la gestione dei flussi di lavoro e l'applicazione delle politiche che controllano le procedure di approvazione e rilascio.

Gli endpoint IT devono inviare i file alle aree di deposito della DMZ, mentre gli endpoint OT devono recuperare i pacchetti approvati dalle aree di transito della DMZ. Il confine della DMZ diventa il punto di controllo unico per la scansione alla ricerca di malware, la sanificazione, la valutazione delle politiche e la registrazione della catena di custodia.

Il modello di firewall e routing in un'architettura brokered utilizza comunemente un'architettura IDMZ a doppio firewall, in cui il traffico dall'azienda alla DMZ e quello dall'OT alla DMZ sono controllati separatamente. Le liste di autorizzazione si applicano all'origine, alla destinazione, al protocollo e all'identità del servizio, in modo che ogni flusso di lavoro abbia un percorso esplicito e verificabile.

Un numero ridotto di flussi ben definiti riduce la complessità del firewall rispetto a una moltitudine di percorsi personalizzati. Le architetture basate su broker supportano inoltre le porte fisse e gli endpoint di servizio coerenti, il che semplifica la ricertificazione delle regole e riduce il rischio che le regole generiche si espandano nel tempo.

Il flusso di lavoro che prevede l'invio dei dati alla DMZ e il successivo recupero verso l'OT si articola, nella pratica, in una sequenza ripetibile: acquisizione, quarantena, ispezione, sanificazione, approvazione, rilascio e distribuzione. Questo flusso di lavoro preserva inoltre la segmentazione, poiché entrambe le parti si connettono esclusivamente ai servizi della DMZ.

Il modello "push" è generalmente indicato quando i sistemi IT generano pacchetti, mentre il modello "pull" è generalmente indicato quando i sistemi OT recuperano contenuti approvati secondo scadenze prestabilite. Un flusso di lavoro standard diventa applicabile in più stabilimenti quando le convenzioni di denominazione, l'acquisizione dei metadati e le decisioni relative alle politiche sono coerenti per ogni flusso.

I modelli di invio dall'IT alla DMZ mantengono chiuso il perimetro OT limitando la connettività dei mittenti IT ai servizi di acquisizione della DMZ e alle zone di destinazione della DMZ. Tra i modelli più comuni figurano i caricamenti programmati, quelli attivati da eventi e gli invii API che allegano i metadati necessari per le decisioni relative alle politiche e per le prove di audit.

Le linee guida operative prevedono convenzioni di denominazione uniformi, campi di metadati obbligatori per il sistema di origine e la zona di destinazione prevista, nonché la crittografia in transito tramite TLS. L'invio da parte del reparto IT dovrebbe inoltre includere il binding dell'identità, in modo che la DMZ possa registrare quale utente o servizio abbia avviato il trasferimento.

I modelli di trasferimento da DMZ a OT riducono i rischi e semplificano la gestione dei firewall, consentendo agli agenti di recupero OT o ai processi pianificati di avviare connessioni in uscita dall'OT alla DMZ per recuperare esclusivamente i pacchetti approvati. Il recupero OT dovrebbe essere limitato a code o directory specifiche per destinazione, in modo che gli endpoint OT non possano accedere a contenuti in quarantena non approvati.

Pull riduce l'esposizione evitando le connessioni in entrata verso l'OT e limitando le porte e i servizi esposti verso l'OT. Il recupero OT supporta inoltre le finestre di modifica, poiché i sistemi OT possono effettuare il recupero solo quando i programmi operativi consentono l'installazione o la messa in fase.

I controlli indispensabili per il trasferimento di file nella DMZ industriale comprendono l'ispezione, la sanificazione, la quarantena, le approvazioni, l'accesso con il principio del privilegio minimo, la crittografia e la registrazione degli audit a supporto della catena di custodia. Tali controlli indispensabili devono essere applicati principalmente nella DMZ, poiché essa costituisce il punto di terminazione e il confine delle politiche per lo spostamento di file tra zone.

Endpoint e quelli sulle destinazioni mantengono la loro rilevanza, ma la DMZ dovrebbe fungere da punto di controllo sistematico in grado di impedire eventuali tentativi di aggiramento. Ogni controllo dovrebbe essere associato a una fase del flusso di lavoro, in modo che il personale operativo possa prevedere i risultati e i team di sicurezza possano verificare le prove.

La scansione antimalware nella DMZ che non si affida a un unico motore richiede una scansione multipla e un rilevamento a più livelli, in modo che le minacce note ed emergenti abbiano una copertura di rilevamento più ampia. I risultati ottenuti dall'utilizzo di più motori dovrebbero fornire esiti chiari, quali "superato", "non superato" e "sconosciuto", affinché i flussi di lavoro rimangano deterministici.

Gli esiti falliti devono rimanere in quarantena con percorsi di escalation. Gli esiti sconosciuti devono rimanere in quarantena in attesa di ulteriori analisi, quali l'esecuzione in ambiente sandbox o politiche di ispezione più approfondite. La politica relativa alla DMZ deve definire i tempi di attesa, le fasi di revisione da parte degli analisti e le regole di rilascio, in modo che la quarantena non si trasformi in un accumulo incontrollato di casi.

Il Content Disarm and Reconstruction (CDR) risulta più efficace rispetto agli approcci basati esclusivamente sul rilevamento quando è necessaria una sanificazione incentrata sulla prevenzione per rimuovere i contenuti attivi, anche nei casi in cui il rilevamento del malware non individui alcuna minaccia. Il CDR riduce i rischi ricostruendo i file per preservarne l'utilizzabilità aziendale, rimuovendo al contempo i componenti attivi, quali macro o oggetti incorporati, in base alle politiche aziendali.

Tra i tipi di file che spesso traggono vantaggio dalla sanificazione figurano i documenti di Office, i PDF e gli archivi che possono contenere script o payload incorporati. Le politiche che privilegiano la sanificazione riducono inoltre la dipendenza dalla copertura delle firme e diminuiscono l'esposizione operativa al rischio che documenti "puliti ma potenzialmente dannosi" entrino nell'ambiente OT.

Sandbox per i trasferimenti ad alto rischio o ad alto impatto integra l'analisi dinamica per individuare comportamenti che la scansione statica potrebbe non rilevare. Sandbox dovrebbero basarsi sul tipo di file, sul livello di affidabilità della fonte, sulla criticità della destinazione e sui modelli storici di minaccia osservati nell'ambiente.

Sandbox dovrebbero orientare le decisioni relative alle politiche, con scadenze precise, in modo che le operazioni possano prevedere eventuali ritardi. La politica relativa alla DMZ dovrebbe definire in che modo i risultati della sandbox si traducano in termini di durata della quarantena, requisiti di revisione da parte degli analisti e procedure di escalation per scenari di manutenzione urgenti.

La prevenzione della perdita di dati (DLP) per lo spostamento di file tra zone dovrebbe prevedere controlli proattivi quali il confronto di parole chiave e modelli, la gestione della classificazione e le restrizioni sulla destinazione. L'applicazione delle misure DLP dovrebbe allinearsi alle politiche specifiche per ogni flusso, in modo che i dati sensibili non vengano trasferiti in zone o destinazioni non autorizzate.

Il rischio di overblocking dovrebbe essere gestito attraverso un'applicazione graduale delle misure e liste di autorizzazione specifiche per il flusso che riflettano le esigenze operative. I campi di registrazione dovrebbero riportare le regole DLP applicate, i risultati delle corrispondenze e l'esito delle azioni intraprese, in modo che i report di conformità possano dimostrare la coerenza della gestione.

Il principio del privilegio minimo e le autorizzazioni per il trasferimento di file tra zone richiedono un controllo degli accessi basato sui ruoli, la separazione dei compiti e un accesso limitato nel tempo, in linea con le finestre di manutenzione e i vincoli relativi alle interruzioni del servizio. Le politiche basate sul principio del privilegio minimo dovrebbero impedire l'uso di account condivisi e definire le autorizzazioni in base al flusso di lavoro, alla destinazione e al tipo di file.

I modelli di approvazione dovrebbero essere scalabili tra i vari siti attraverso l'utilizzo di ruoli uniformi, una raccolta coerente delle prove e l'automazione dei flussi a basso rischio. La governance dovrebbe inoltre definire procedure di emergenza con requisiti espliciti in materia di registrazione e revisione post-evento.

Il controllo degli accessi basato sui ruoli (RBAC) per i file broker IT-OT-DMZ suddivide le responsabilità in ruoli quali mittente, revisore, responsabile della pubblicazione e responsabile del recupero OT. Il sistema RBAC deve garantire che un mittente non possa pubblicare autonomamente contenuti nell'OT e che un responsabile del recupero OT non possa accedere ai contenuti in quarantena.

L'integrazione delle identità con i provider di identità esistenti può ridurre gli oneri amministrativi, ma i rischi legati alle identità OT devono essere tenuti sotto controllo attraverso la definizione dell'ambito di applicazione, la segmentazione e il principio del privilegio minimo. Gli account di servizio devono essere univoci per ogni flusso di lavoro, al fine di facilitare l'audit e impedire il riutilizzo dei privilegi in trasferimenti non correlati.

L'accesso a tempo determinato per i fornitori e le situazioni di emergenza dovrebbe prevedere l'uso di credenziali a scadenza, autorizzazioni a tempo determinato e accessi con ambito ristretto per ogni flusso di lavoro. L'accesso a tempo determinato riduce l'esposizione prolungata e allinea le finestre di accesso ai programmi di manutenzione e ai tempi di approvazione delle modifiche.

I requisiti di registrazione dovrebbero includere chi ha richiesto l'accesso, chi lo ha approvato, quale ambito è stato concesso e quali file sono stati trasferiti nel rispetto della politica che prevede limiti temporali. Le azioni di emergenza dovrebbero generare un fascicolo probatorio esplicito da sottoporre a revisione, al fine di garantire la responsabilità in situazioni di emergenza.

La registrazione degli audit per il trasferimento di file tra IT, OT e DMZ, conforme ai requisiti normativi, deve fornire una tracciabilità end-to-end attraverso IT, DMZ e OT senza ricorrere alla creazione manuale di ticket. La registrazione degli audit dovrebbe supportare le indagini, la rendicontazione di conformità e la risoluzione dei problemi operativi con identificatori coerenti in tutte le fasi del flusso di lavoro.

Le prove relative alla catena di custodia dovrebbero indicare chi ha inviato un file, quali operazioni di ispezione e sanificazione sono state eseguite, chi ha approvato il rilascio e se la consegna è stata confermata. La registrazione incentrata sulla DMZ riduce la dipendenza dalla visibilità degli endpoint OT e preserva la segmentazione.

I campi minimi del registro che dimostrano chi ha inviato quale file e dove è stato inviato includono l'identità dell'utente e del servizio, la zona di origine e quella di destinazione, i nomi dei file, gli hash dei file (come SHA-256), i timestamp relativi a ciascuna fase del flusso di lavoro, la politica applicata, i risultati dell'ispezione e della sanificazione, i registri di approvazione e la conferma di consegna. Gli identificatori di correlazione dovrebbero collegare gli eventi di acquisizione, quarantena, ispezione, rilascio e consegna.

Campi di log coerenti garantiscono la tracciabilità nelle implementazioni su più siti. L'hashing garantisce la non ripudiabilità e facilita la risposta agli incidenti, dimostrando l'integrità dei file lungo l'intero percorso di trasferimento.

Il monitoraggio operativo e gli avvisi dovrebbero essere ricavati dai registri di audit utilizzando criteri di allerta quali errori ripetuti, violazioni delle politiche, tipi di file insoliti, volumi di trasferimento anomali e esiti sconosciuti ripetuti rilevati dai motori di ispezione. I dashboard operativi dovrebbero monitorare la produttività, l'arretrato in quarantena e i tassi di conferma di consegna per garantire l'affidabilità.

L'integrazione SIEM supporta la correlazione dei dati di sicurezza, mentre i dashboard operativi garantiscono lo stato di integrità dei servizi e la prevedibilità dei flussi di lavoro. Le soglie di allerta devono essere configurate in base al flusso, in modo che le destinazioni critiche generino un'escalation più rapida rispetto alle consegne di report a bassa criticità.

La differenza tra il trasferimento file gestito e un server SFTP autonomo in una DMZ OT risiede principalmente nella governance, nell'integrazione dei controlli e nella tracciabilità, piuttosto che nel supporto dei protocolli. Il trasferimento file gestito fornisce un piano di controllo per le reti segmentate, orchestrando le politiche per ogni flusso, applicando misure di quarantena e approvazioni e centralizzando la raccolta delle prove.

Un sistema SFTP autonomo diventa spesso un punto di trasporto che si affida a processi esterni per la scansione, le approvazioni e la generazione di report. Le implementazioni Industrial richiedono in genere punti di controllo coerenti che rimangano affidabili su scala multisito.

L'implementazione autonoma di SFTP nella DMZ spesso fallisce durante l'ora di punta a causa delle approvazioni manuali, della scansione antimalware non uniforme, degli account condivisi, dell'acquisizione limitata dei metadati e della frammentazione dei registri tra più sistemi. Le operazioni manuali aumentano inoltre il rischio di comportamenti di aggiramento delle misure di sicurezza, specialmente durante le finestre di manutenzione urgenti.

La presenza di più sedi accentua le discrepanze, poiché ciascuna sede tende ad applicare controlli di scansione, conservazione e accesso leggermente diversi. La frammentazione delle prove rallenta inoltre le indagini, poiché la verifica della catena di custodia richiede una correlazione manuale tra registri e sistemi di gestione dei ticket disparati.

Il trasferimento gestito dei file con riconoscimento dei confini dovrebbe garantire l'orchestrazione delle politiche per ogni flusso, controlli di quarantena e rilascio, sicurezza integrata dei file su più livelli e visibilità centralizzata tra le zone. Il trasferimento gestito dei file con riconoscimento dei confini dovrebbe inoltre supportare livelli di ispezione che includano scansioni multiple, CDR, analisi in sandbox e applicazione delle politiche DLP lungo il percorso di trasferimento.

OPSWAT MetaDefender File Transfer™ (MFT) rappresenta un esempio di piattaforma di trasferimento file gestito incentrata sulla sicurezza, che integra Metascan™ Multiscanning, la tecnologia Deep CDR™, Proactive DLP™ e l'analisi in sandbox in un unico flusso di lavoro. La governance centralizzata garantisce un'applicazione coerente delle politiche in tutti gli ambienti IT, IDMZ e OT.

La differenza tra la sanificazione dei file CDR e la scansione antivirus dei file in entrata nell'ambiente OT risiede nel fatto che la prima si basa su un approccio incentrato sulla prevenzione, mentre la seconda su un approccio incentrato sul rilevamento dei contenuti dannosi. I controlli a più livelli riducono il rischio derivante da minacce sconosciute e generate dall'intelligenza artificiale, combinando la scansione multi-motore, la sanificazione dei formati ad alto rischio e l'analisi opzionale in sandbox per i casi sospetti.

I criteri di selezione dovrebbero mettere in relazione il tipo di file e la criticità della destinazione con il livello di controllo. Le politiche dovrebbero definire quali tipi di file richiedono la sanificazione per impostazione predefinita e quali possono essere sottoposti solo a scansione con trigger di escalation.

La scansione antivirus può dimostrare che un motore di scansione non ha rilevato contenuti dannosi noti sulla base delle firme e dei criteri euristici disponibili al momento della scansione, ma non può garantire che un file sia sicuro per l'uso in contesti OT. I falsi negativi e le minacce di nuova generazione continuano a rivestire una notevole importanza operativa negli ambienti critici.

I casi "puliti ma sospetti" dovrebbero rimanere in quarantena in attesa di un'analisi approfondita, che includa scansioni multiple, test in ambiente sandbox o politiche di sanificazione. La progettazione del flusso di lavoro dovrebbe garantire che i risultati "puliti" continuino a registrare le prove e a supportare eventuali indagini successive in caso di anomalie operative.

La sanificazione basata sulla tecnologia Deep CDR™ rappresenta l'opzione predefinita più sicura quando è necessario ridurre il rischio legato ai contenuti attivi, anche nel caso in cui i risultati del rilevamento risultino negativi. La sanificazione riduce il rischio rimuovendo o neutralizzando gli elementi attivi, pur mantenendo i contenuti utilizzabili per le esigenze operative.

Tra gli esempi di politiche figurano la pulizia automatica dei documenti Office e dei PDF che entrano in aree di transito OT ad alta criticità, una gestione più rigorosa degli archivi annidati e una gestione controllata degli artefatti di ingegneria in base alla criticità della destinazione. Le politiche di pulizia dovrebbero registrare le trasformazioni effettuate per preservare la tracciabilità della catena di custodia.

La scelta tra un diodo di dati e una DMZ con doppio firewall per il trasferimento di file OT rappresenta una scelta progettuale tra l'applicazione unidirezionale e flussi di lavoro bidirezionali controllati che terminano comunque nella DMZ. Le soluzioni basate su diodi di dati garantiscono la direzionalità per loro stessa natura, mentre quelle basate su una DMZ con doppio firewall garantiscono la direzionalità tramite policy e liste di autorizzazione.

L'applicazione unidirezionale modifica le aspettative relative al flusso di lavoro, poiché le conferme e la risoluzione interattiva dei problemi risultano limitate. Il trasferimento bidirezionale controllato può continuare a essere giustificabile quando i casi d'uso richiedono la bidirezionalità e i controlli compensativi rimangono espliciti e verificabili.

Un diodo di dati è necessario per i trasferimenti da OT a IT quando la tolleranza al rischio, le normative o gli ambienti ad alto impatto richiedono una telemetria rigorosamente unidirezionale e una riduzione della superficie di attacco. I casi d'uso dei diodi di dati includono comunemente il monitoraggio unidirezionale, la replica verso l'esterno di dati storici o gli ambienti regolamentati che limitano qualsiasi percorso in entrata verso l'OT.

Tra i compromessi operativi figurano una minore capacità di confermare la ricezione tramite conferme interattive e una minore capacità di risolvere i problemi in tempo reale. La progettazione del flusso di lavoro dovrebbe prevedere metodi alternativi di verifica, quali la conferma di consegna dal lato della DMZ e registri immutabili.

L'utilizzo di due firewall in una DMZ industriale consente di gestire le esigenze bidirezionali in modo controllato, garantendo che ogni flusso di dati, in entrambe le direzioni, termini all'interno della DMZ attraverso punti di controllo, misure di quarantena e una rigorosa applicazione delle politiche. I flussi di lavoro bidirezionali dovrebbero essere limitati a casi d'uso giustificati, quali la distribuzione di aggiornamenti da parte dei fornitori, l'esportazione controllata dei dati o gli artefatti necessari per la riconciliazione.

È necessario documentare i controlli di compensazione, inclusi elenchi di autorizzazioni rigorosi, porte bloccate, identità di servizio per flusso e requisiti di approvazione. La documentazione dovrebbe inoltre prevedere la ricertificazione periodica delle regole del firewall per evitare la proliferazione delle regole.

La consegna dei file da parte dei fornitori all'OT attraverso una DMZ dovrebbe avvenire secondo un flusso di lavoro a misura di fornitore che interrompa l'accesso dei fornitori alla DMZ e garantisca l'ispezione, la quarantena, l'accesso a tempo determinato e la registrazione degli audit. I flussi di lavoro dei fornitori devono impedire l'accesso diretto dei fornitori alle risorse OT, garantendo al contempo tempi di consegna prevedibili ai fini della pianificazione operativa.

L'autenticazione e l'autorizzazione devono essere limitate alle aree di deposito e ai tipi di file specifici del fornitore. Il rilascio nella DMZ deve essere soggetto ad approvazione documentata e deve prevedere una conferma di consegna nell'ambiente di staging OT.

L'autenticazione dei fornitori senza account condivisi o accesso permanente dovrebbe avvalersi di identità individuali per ciascun fornitore, dell'autenticazione a più fattori ove possibile e di permessi di accesso a scadenza, in linea con le finestre di manutenzione. Le identità dei fornitori dovrebbero essere limitate a specifiche aree di deposito e a criteri restrittivi sui tipi di file, al fine di ridurre l'esposizione.

L'accesso dovrebbe essere limitato all'invio e alla visualizzazione dello stato, piuttosto che al recupero diretto degli OT. L'accesso dei fornitori dovrebbe inoltre includere l'applicazione di criteri relativi alle destinazioni consentite, in modo che i pacchetti dei fornitori non possano essere instradati al di fuori delle aree di transito OT approvate.

I file dei fornitori passano dalla quarantena allo stato di rilascio approvato entrando nell'archivio di quarantena della DMZ, dove vengono sottoposti a scansione antivirus, a pulizia (se necessario) e ad analisi in sandbox qualora si verifichino i criteri previsti dalla politica. Il recupero da parte dell'OT dovrebbe essere consentito solo dopo l'approvazione del rilascio e dopo che la politica ha contrassegnato il pacchetto come approvato.

L'approvazione deve essere effettuata da figure designate con una chiara separazione dei compiti, quali revisori e responsabili dell'approvazione. La documentazione deve includere i risultati delle ispezioni, le misure di sanificazione, i timestamp e l'identità del responsabile dell'approvazione.

Configurazioni errate del trasferimento di file OT nella DMZ comportano rischi, poiché reintroducono la connettività tra zone, indeboliscono i controlli di sicurezza o compromettono la tracciabilità delle approvazioni e degli accessi. Per prevenire tali configurazioni errate sono necessari modelli espliciti di comportamento da evitare, revisioni periodiche e sistemi di monitoraggio in grado di individuare tempestivamente eventuali tentativi di aggirare i controlli.

Tra i modelli a rischio figurano le identità condivise, l'espansione delle condivisioni SMB, la proliferazione delle regole del firewall e le operazioni di copia manuale che aggirano la quarantena. Gli standard dovrebbero tradurre le modalità di guasto in requisiti architetturali e operativi applicabili.

Gli account condivisi e le operazioni di copia manuale compromettono la tracciabilità, poiché le credenziali condivise eliminano la non ripudiabilità e impediscono un'attribuzione affidabile durante le indagini. Le operazioni di copia manuale aumentano inoltre il rischio che, sotto pressione, alcune fasi di controllo vengano saltate.

Per le operazioni di invio, revisione, pubblicazione e recupero dovrebbero essere previsti una separazione dei ruoli e identità individuali. I flussi di lavoro automatizzati con approvazioni riducono il ricorso a pratiche informali e generano prove coerenti a supporto degli audit e della risposta agli incidenti.

La proliferazione delle condivisioni SMB e delle regole del firewall crea percorsi invisibili, poiché i modelli di accesso SMB tendono ad ampliarsi nel tempo e le regole generiche del firewall diventano difficili da verificare. I percorsi invisibili compromettono l'efficacia della segmentazione, consentendo movimenti laterali non tracciati.

L'assegnazione fissa dei servizi e l'uso di elenchi di autorizzazioni rigorosi riducono il rischio di espansioni accidentali. La ricertificazione periodica delle regole del firewall dovrebbe verificare che ogni regola corrisponda a un flusso di lavoro approvato e che le regole rimangano limitate ai punti di terminazione della DMZ, anziché consentire un accesso end-to-end.

Una checklist per il rafforzamento della sicurezza del trasferimento di file nella DMZ industriale standardizza le revisioni dell'architettura, l'integrazione dei siti e la gestione delle modifiche, trasformando i controlli della DMZ in elementi di verifica ripetibili. Una checklist per il rafforzamento della sicurezza del trasferimento di file nella DMZ industriale dovrebbe essere in linea con la terminazione della DMZ, i punti di controllo, i flussi di lavoro di governance e i requisiti relativi alle prove di audit.

La standardizzazione basata su liste di controllo riduce le discrepanze tra i vari siti e migliora il coordinamento tra i soggetti coinvolti nella sicurezza. Le voci delle liste di controllo devono essere formulate come affermazioni verificabili, che possano essere testate durante l'implementazione e ricertificate nel corso delle revisioni periodiche.

I controlli relativi al rafforzamento della sicurezza Firewall dei servizi per i trasferimenti terminati nella DMZ dovrebbero verificare la presenza di porte fisse, liste di autorizzazione rigorose, l'assenza di sessioni dirette tra IT e OT e l'assenza di sistemi di bridging dual-homed. Anche i modelli di accesso amministrativo dovrebbero essere limitati, in modo che l'accesso di gestione non crei canali nascosti verso le reti OT.

La strategia di applicazione delle patch per i sistemi della DMZ dovrebbe allinearsi alle finestre di manutenzione e dare priorità alla riduzione al minimo delle interruzioni del servizio. La ricertificazione delle regole dovrebbe confermare che ogni regola corrisponda a un flusso di lavoro documentato e che la terminazione avvenga all'interno della DMZ.

I controlli di rafforzamento relativi all'ispezione e alla sanificazione dei tipi di file ad alto rischio dovrebbero verificare la copertura della scansione multipla, la copertura delle politiche CDR, l'attivazione della sandbox, i limiti di gestione degli archivi e il comportamento in quarantena in caso di esiti negativi o sconosciuti. La gestione degli archivi dovrebbe includere limiti all'estrazione di archivi annidati e controlli per il rilevamento accurato del tipo di file.

La gestione delle eccezioni dovrebbe prevedere la registrazione delle motivazioni, l'approvazione esplicita e la conservazione dei documenti giustificativi. Le eccezioni dovrebbero inoltre dare luogo a revisioni periodiche, al fine di evitare che le deroghe temporanee si trasformino in vie di aggiramento permanenti.

I requisiti della richiesta di offerta (RFP) per il trasferimento gestito dei file attraverso reti IT, OT e DMZ dovrebbero dare priorità all'applicazione dei confini, alla sicurezza multistrato dei file, alla governance centralizzata e alla tracciabilità per gli ambienti segmentati. Il testo della RFP dovrebbe rimanere incentrato sui flussi di lavoro, in modo che i requisiti riflettano la terminazione nella DMZ, i punti di controllo, le approvazioni e l'acquisizione delle prove, piuttosto che limitarsi alle sole funzionalità di trasporto.

I requisiti della richiesta di offerta dovrebbero inoltre comprendere l'alta disponibilità, il funzionamento offline o in condizioni di rete limitata e l'applicazione coerente delle politiche in tutti i siti. I requisiti dovrebbero definire in che modo la piattaforma applica i flussi di lavoro "push verso la DMZ e poi pull verso l'OT" senza creare sessioni tra zone.

I requisiti relativi ai protocolli e ai connettori dovrebbero includere i protocolli comuni necessari negli ambienti aziendali e industriali, senza concentrarsi eccessivamente sul protocollo di trasporto. Le aspettative in materia di integrazione dovrebbero comprendere il supporto per il comportamento "store-and-forward" e il supporto per reti con limitazioni o disconnesse.

I requisiti della richiesta di offerta (RFP) dovrebbero specificare un comportamento prevedibile in caso di tentativi ripetuti, trasferimenti riprendibili per file di grandi dimensioni e controlli della larghezza di banda che rispettino le operazioni dell'impianto. I requisiti del connettore dovrebbero inoltre riguardare la gestione delle identità dei servizi e l'integrazione con i sistemi di gestione delle identità, ove possibile.

I requisiti di orchestrazione delle politiche dovrebbero specificare la definizione delle politiche per singolo flusso, i flussi di lavoro relativi alla quarantena e al rilascio, l'instradamento automatizzato e la separazione dei compiti. L'orchestrazione delle politiche dovrebbe includere punti di integrazione espliciti per la scansione multipla, il CDR, il sandboxing e l'applicazione delle misure DLP lungo il percorso di trasferimento.

I requisiti relativi al flusso di lavoro di approvazione dovrebbero prevedere un sistema di approvazioni a più livelli e l'automazione dei flussi a basso rischio, con una gestione documentata delle eccezioni. I requisiti dovrebbero inoltre specificare i campi di dati da acquisire in ogni fase a fini di audit e indagine.

I requisiti in materia di visibilità e tracciabilità dovrebbero specificare le modalità di rendicontazione, i requisiti relativi ai campi dei log, i controlli sulla conservazione dei dati e l'esportazione verso piattaforme SIEM o piattaforme di log centralizzate. I requisiti relativi alla registrazione immutabile dovrebbero specificare i controlli di integrità dei dati e i controlli di accesso per il recupero delle prove.

I requisiti relativi alla conferma di consegna devono specificare la prova che i pacchetti approvati abbiano raggiunto l'area di smistamento OT e siano stati ritirati da soggetti autorizzati. I requisiti relativi alle prove relative ai pacchetti devono specificare hash, timestamp, risultati delle ispezioni, approvazioni e identificatori di correlazione.

Grazie alle tecnologie Metascan Multiscanning, Deep CDR™, Proactive DLP e sandboxing, MetaDefender Managed File Transfer MFT) è la soluzione di trasferimento file gestito (MFT) OPSWATche riduce i rischi legati ai file grazie a un controllo centralizzato per il trasferimento di file IT/OT mediato attraverso una DMZ industriale.