La sicurezza dei file ai margini della rete funziona solo se riesce a stare al passo. Quando un gateway web sicuro ispeziona ogni file che transita attraverso la rete (tramite download, upload o contenuti web), il livello di sicurezza deve rimanere trasparente: invisibile agli utenti, affidabile anche sotto carico e non deve costituire motivo di segnalazioni in caso di verifica di conformità.
Si tratta di realtà operative che diventano sempre più difficili da gestire con l'aumentare del traffico, l'inasprimento delle politiche di accesso e l'ampliamento dell'ambito di controllo. MetaDefender ICAP Server .13.0 affronta direttamente tre di questi aspetti.
Gestire un traffico maggiore senza ampliare l'infrastruttura
Una delle difficoltà che spesso mette in difficoltà i team quando monitorano ICAP è la seguente: un singolo utente che naviga sul web attraverso un gateway sicuro può generare decine, o addirittura centinaia, di ICAP in rapida successione. Ogni immagine, script, documento e download costituisce una richiesta di ispezione del file a sé stante che arriva al server in modo simultaneo.
In presenza di un traffico moderato, la maggior parte delle implementazioni gestisce questa situazione senza problemi. Con l'aumentare della concorrenza, il collo di bottiglia si riscontra solitamente nelle operazioni correlate: la scrittura dei risultati nel database, lo svuotamento dell'output di log e la gestione dello stato dei thread.
In presenza di un elevato numero di connessioni simultanee, l'elaborazione delle richieste e la registrazione dei risultati nella stessa pipeline diventano il collo di bottiglia, limitando la produttività proprio quando la domanda è più elevata.
MetaDefender ICAP Server .13.0 separa queste operazioni. I thread di scansione ora trasferiscono le operazioni di scrittura sul database e l'output dei log a processi in background dedicati non appena una scansione viene completata, per poi passare immediatamente alla richiesta successiva. Il risultato è che la capacità di elaborazione delle ispezioni si adatta in modo più fluido al traffico, senza la necessità di aggiungere hardware o aumentare le dimensioni del pool di thread.
Particolarmente rilevante per: team che gestiscono gateway web sicuri, in cui una singola sessione utente può generare decine di richieste simultanee di analisi dei file. Maggiore è il traffico, maggiore è l'importanza di questa modifica.
Disconnessione SSO che copre l'intero ciclo di vita della sessione
Il logout singolo SAML è uno degli aspetti più spesso trascurati nelle implementazioni SSO. I team dedicano solitamente molto tempo alla configurazione dell'autenticazione, che comprende la creazione di un rapporto di fiducia, la convalida delle asserzioni e la creazione della sessione. Il processo di logout tende invece a ricevere meno attenzione e, a prima vista, un logout parziale può sembrare funzionare correttamente.
È importante comprendere questa lacuna: quando un utente esce da un'applicazione che cancella solo la propria sessione locale, la sessione dell'IdP rimane attiva. Tale sessione può essere riutilizzata in modo invisibile. Un utente che torna alla pagina di accesso potrebbe essere autenticato nuovamente in modo automatico, senza dover reinserire le credenziali e senza l'autenticazione a più fattori (MFA). In ambienti con postazioni di lavoro condivise o account con privilegi elevati, si tratta di un percorso di accesso che persiste al di là delle intenzioni.
MetaDefender ICAP Server .13.0 introduce il supporto completo per il Single Logout (SLO) SAML. Al momento della disconnessione, MetaDefender ICAP Server una richiesta di logout direttamente al provider di identità, interrompe la sessione alla fonte e richiede una nuova autenticazione prima che l'accesso venga ripristinato. È inoltre possibile configurare il comportamento di reindirizzamento dopo il logout.
Per i team soggetti a verifiche sul controllo degli accessi o a politiche "zero-trust", ciò rende la chiusura delle sessioni conforme a quanto richiesto da un'implementazione SAML completa.
Quando i registri di scansione diventano un problema per la privacy
I team di sicurezza concentrano gran parte della loro attenzione su ciò che entra nell'ambiente: ciò che viene bloccato, ciò che viene segnalato, ciò che viene registrato per essere esaminato. In genere, invece, si presta meno attenzione a ciò che gli stessi strumenti di sicurezza accumulano nel tempo.
Nell'ambito della cronologia di elaborazione, MetaDefender ICAP Server gli URL delle richieste e, in molte implementazioni, tali URL contengono più di un semplice percorso di file. I parametri di query aggiunti durante la normale attività web possono includere dati identificativi dell'utente soggetti al GDPR, al CCPA o a normative sulla privacy specifiche del settore.
Questo tipo di vulnerabilità tende a emergere durante gli audit, quando si scopre che l'ambito dei dati archiviati è più ampio del previsto.
MetaDefender ICAP Server .13.0 introduce un'impostazione opzionale di mascheramento degli URL che rimuove i parametri di query sensibili dalla cronologia di elaborazione prima che vengano salvati in memoria.
Particolarmente indicato per: organizzazioni soggette al GDPR, al CCPA o a normative sulla protezione dei dati specifiche del settore, in particolare quelle in cui gli URL delle applicazioni web contengono regolarmente parametri che consentono l'identificazione degli utenti.
Configurazione avanzata dei registri tramite console web
Impostazioni quali il fuso orario locale, il formato CEF (Common Event Format), i registri di sistema e le impostazioni syslog sono ora tutte configurabili tramite la console web, senza bisogno di modificare manualmente i file.
Altre novità di questa versione
Aggiornamenti della libreria di sicurezza
Sono stati aggiornati PostgreSQL (v16.13), OpenSSL (v3.4.4), Angular (v19.2.19), gRPC (v1.71.1) e Curl (v8.18.0), con l'applicazione di ulteriori misure di rafforzamento della sicurezza in tutto il prodotto.
Esportazione più rapida della cronologia delle elaborazioni
L'esportazione di database di cronologie di scansione di grandi dimensioni poteva andare in timeout. Il processo di esportazione è stato ottimizzato per gestire set di dati di grandi dimensioni senza raggiungere tali limiti — un aspetto rilevante per i team che si affidano alle cronologie di elaborazione per la rendicontazione di conformità o l'analisi post-incidente.
Gestione corretta delle intestazioni Content-Encoding non standard
Se una richiesta contiene un'intestazione di codifica che il server non riconosce, il file potrebbe arrivare al motore di scansione in uno stato imprevisto o non essere analizzato come previsto. MetaDefender ICAP Server .13.0 introduce la gestione dei valori di codifica non standard presenti nel traffico reale, garantendo una copertura di analisi uniforme.
Progettato per proteggere ciò che entra nel tuo ambiente
MetaDefender ICAP Server i file al perimetro della rete, prima che entrino nell'organizzazione e raggiungano utenti, applicazioni o sistemi di archiviazione. È proprio lì che le minacce vengono intercettate con maggiore efficacia e dove le lacune in termini di affidabilità o conformità hanno un impatto maggiore.
MetaDefender ICAP Server .13.0 punta a rendere tale livello più affidabile: costanza della velocità di trasmissione sotto carico, integrità delle sessioni durante l'intero ciclo di vita dell'SSO e gestione dei dati conservati nel rispetto della privacy. Le funzionalità di protezione fondamentali, tra cui Metascan Multiscanning su più motori anti-malware e intelligenza artificiale, la tecnologia Deep CDR™ e File-Based Vulnerability Assessment, rimangono invariate. Questa versione rafforza l'infrastruttura che le supporta
Aggiorna ora
MetaDefender ICAP Server .13.0 è ora disponibile. I clienti esistenti possono scaricare l'ultima versione dal OPSWAT My OPSWAT . Per le note di rilascio complete e le istruzioni di aggiornamento, consultare la OPSWAT .
Non utilizzi ancora MetaDefender ICAP Server? Contatta il nostro team per scoprire come può proteggere il tuo traffico di file in perimetro.
MetaDefender ICAP Server le organizzazioni dalle minacce basate sui file a livello del perimetro di rete, su bilanciatori di carico, firewall per applicazioni web, proxy e qualsiasi altro dispositivo ICAP.
