Perché il trasferimento di file rappresenta uno dei principali punti di ingresso del malware

Il rischio legato al malware nel trasferimento di file è la probabilità che contenuti dannosi o strumentalizzati penetrino in un ambiente affidabile attraverso lo scambio di file di routine e consentano l'esecuzione, il movimento laterale o la compromissione dei dati. Il rischio legato al malware nel trasferimento di file aumenta quando i file in entrata superano i confini di affidabilità senza essere sottoposti a ispezione o a controlli di rilascio obbligatori.

L'impatto operativo comprende la preparazione del ransomware, il furto di credenziali tramite la distribuzione di loader, la compromissione della catena di fornitura attraverso partner di fiducia e la contaminazione tra zone diverse all'interno di reti segmentate. I team operativi IT devono considerare i file in entrata come contenuti non attendibili fino a quando non vengono sottoposti a ispezione, sanificazione e verifica della conformità alle politiche.

I trasferimenti di file spesso eludono i controlli di rilevamento e risposta degli endpoint perché i file vengono inviati direttamente ai server, alle condivisioni di rete o ai flussi di lavoro automatizzati senza essere sottoposti a verifica da parte dell'utente. L'automazione del trasferimento dei file fa transitare i contenuti attraverso account di servizio, processi pianificati e integrazioni che non generano richieste di conferma o revisioni a livello di utente.

Le pipeline di importazione in batch, le cartelle di invio e le integrazioni API creano flussi di lavoro trasversali in cui i contenuti vengono elaborati immediatamente dopo il loro arrivo. In assenza di controlli di ispezione in tempo reale e di quarantena prima del rilascio, i file dannosi possono diffondersi prima di essere individuati.

Un percorso di trasferimento file è considerato ad alto rischio quando un file supera un confine di affidabilità, viene trasferito su un sistema con privilegi, contiene tipi di file sensibili e non è sottoposto a ispezione in tempo reale con controlli di quarantena. Un percorso di trasferimento file è considerato a basso rischio quando, prima della consegna, vengono applicati controlli quali ispezione, sanificazione, directory con privilegi minimi e risultati deterministici delle politiche.

La valutazione del rischio dovrebbe tenere conto di:

• Superamento dei confini di fiducia (da esterno a interno, da IT a OT, da DMZ al core)
• Sensibilità alla destinazione e privilegi di sistema
• Volatilità dei tipi di file e contenuti attivi
• Controllo prima della consegna e gestione delle autorizzazioni

Gli hacker sfruttano comunemente protocolli SFTP, FTPS e HTTPS, portali di caricamento file, allegati e-mail, link condivisi e percorsi di sincronizzazione su cloud per introdurre malware veicolato da file. I punti di ingresso relativi al trasferimento di file godono della fiducia dell'azienda poiché fornitori, partner e team interni utilizzano gli stessi canali per lo scambio di dati di routine.

L'abuso dei partner di fiducia e l'automazione delle procedure standard fanno sì che i file dannosi appaiano normali dal punto di vista operativo. Gli autori degli attacchi privilegiano i percorsi che superano i confini di fiducia e attivano l'elaborazione a valle senza alcuna verifica.

Lo scambio di file tramite SFTP diventa una via di diffusione del malware quando i fornitori o le integrazioni automatizzate salvano i file direttamente nelle directory interne senza effettuare alcuna verifica dei contenuti. Le modalità di utilizzo dell'SFTP comprendono account di servizio, trasferimenti programmati e l'elaborazione in batch a valle.

Controlli inadeguati, quali l'uso eccessivo delle chiavi, il riutilizzo delle credenziali, permessi troppo generici sulle directory e la mancanza di ispezioni in tempo reale, aumentano il rischio di esposizione. Secure non garantisce la sicurezza dei file.

I trasferimenti FTPS diventano un punto debole quando il trasporto crittografato viene scambiato per sicurezza dei contenuti. L'FTPS protegge i dati in transito utilizzando il protocollo TLS, ma non controlla il contenuto dei file.

Tra le insidie operative figurano la deriva dei certificati, le configurazioni obsolete dei client e le eccezioni dei firewall che danno priorità alla connettività rispetto al controllo. In assenza di procedure di quarantena e di rilascio controllato, i contenuti non sicuri entrano nei flussi di lavoro considerati affidabili.

I portali di caricamento HTTPS espongono interfacce pubbliche per l'invio di file, quali portali clienti, sistemi di ticket e moduli di registrazione. Il protocollo HTTPS crittografa il trasporto dei dati, ma non neutralizza i contenuti dannosi dei file. 

I firewall per applicazioni web si concentrano sui modelli di richiesta e sulla convalida degli input piuttosto che sull'analisi approfondita dei file. L'analisi dei file in linea a livello di caricamento impedisce ai file pericolosi di raggiungere l'archivio interno. 

Gli autori degli attacchi nascondono il malware in tipi di file comunemente trasferiti utilizzando archivi annidati, l'uso improprio delle macro, catene di exploit e la falsificazione dei tipi di file. Il malware veicolato dai file elude i controlli superficiali incorporando contenuti attivi all'interno di formati aziendali legittimi.

La progettazione delle politiche deve prevedere che sia necessario un rilevamento basato sul contenuto per tutti i file in entrata che attraversano i confini di affidabilità.

I file ZIP e gli archivi annidati eludono la semplice scansione grazie alla ricorsione profonda, alla protezione con password e alla discrepanza delle estensioni. La ricorsione degli archivi nasconde il contenuto eseguibile a diversi livelli di profondità.

I controlli devono garantire il rispetto dei limiti di profondità degli archivi, delle politiche di decompressione, delle regole relative alla gestione degli archivi protetti da password e dell'ispezione obbligatoria prima della pubblicazione.

I documenti Office con macro distribuisconoransomwaree loader attivando script incorporati o oggetti collegati durante l'interazione con il documento. I formati di file Office supportano contenuti attivi che vengono eseguiti nel contesto dell'utente. 

Le politiche dovrebbero prevedere controlli basati sul principio "allowlist-first", restrizioni sulle macro e l'applicazione della tecnica "Content Disarm and Reconstruction" per rimuovere gli elementi attivi, preservando al contempo l'usabilità. 

I file PDF non sono automaticamente sicuri, poiché i documenti PDF possono contenere script, link e payload dannosi che sfruttano le vulnerabilità dei lettori. Gli attacchi basati sui PDF si presentano spesso sotto forma di fatture, contratti o relazioni. 

I file PDF in entrata che superano i confini di affidabilità devono essere sottoposti a ispezione e sanificazione per rimuovere i contenuti attivi e verificarne la struttura. 

SFTP, FTPS e HTTPS differiscono per quanto riguarda i modelli di crittografia del trasporto e di autenticazione, ma non riducono di per sé i rischi legati al contenuto dei file. Secure protegge il canale di comunicazione, non il contenuto del messaggio.

Il rischio di malware permane a meno che non vengano effettuati controlli, bonifiche e applicazione delle politiche prima della distribuzione nei sistemi affidabili.

Secure garantisce la riservatezza e l'integrità dei dati durante il trasferimento, crittografandoli e proteggendo le credenziali da eventuali intercettazioni. Secure riduce il rischio di attacchi "man-in-the-middle" e di monitoraggio passivo. 

Secure non rileva contenuti dannosi, vulnerabilità zero-day nei parser di file né violazioni delle politiche incorporate nei file.

I trasferimenti crittografati riducono la visibilità a livello di rete quando non viene effettuata alcuna ispezione e il testo in chiaro è disponibile. Gli strumenti di rilevamento di rete non sono in grado di analizzare i payload crittografati senza una terminazione controllata. 

L'ispezione dovrebbe avvenire nei punti terminali, nei gateway o nei livelli di trasferimento file gestito, dove i file vengono decriptati, ispezionati, ripuliti e ricriptati prima di essere rilasciati. 

Un modello di best practice per l'analisi di tutti i file in entrata prima della consegna richiede flussi di lavoro di ispezione in linea e di quarantena con successivo rilascio integrati nei percorsi di trasferimento dei file. L'ispezione dei file deve fungere da punto di applicazione delle politiche, non da componente aggiuntivo facoltativo.

I team IT dovrebbero allineare i flussi di lavoro relativi alle ispezioni alla configurazione della DMZ, alle reti segmentate e ai trasferimenti tra zone.

Un flusso di lavoro dalla quarantena al rilascio trasferisce i file in un archivio isolato, esegue l'ispezione e la sanificazione, assegna una decisione in base alle criteri e rilascia i file approvati alla destinazione prevista. 

Le fasi del flusso di lavoro comprendono: ricezione, quarantena, ispezione, sanificazione o disattivazione, approvazione o blocco e consegna. L'automazione, la logica di riprova e la gestione chiara degli errori garantiscono il mantenimento dei livelli di servizio senza compromettere la sicurezza. 

L'ispezione dei file nella DMZ dovrebbe avvenire prima che questi passino da reti esterne a basso livello di affidabilità a zone interne ad alto livello di affidabilità. Le piattaforme di trasferimento file gestito o i gateway sicuri basati sulla DMZ fungono da livelli di ispezione controllati.

L'ispezione deve precedere l'accesso in scrittura ai sistemi interni per garantire il rispetto delle decisioni relative ai confini di affidabilità.

La distribuzione diretta alle condivisioni e alle applicazioni aumenta il raggio d'azione, consentendo ai file in entrata di essere eseguiti o propagati prima dell'ispezione. La scrittura diretta su NAS interni, cartelle di destinazione o directory delle applicazioni amplia l'esposizione.

I modelli di distribuzione mediata richiedono un esito positivo dell'ispezione prima di concedere i permessi di scrittura alle destinazioni interne.

Tra i controlli di sicurezza che riducono il rischio di malware durante il trasferimento dei file, oltre alla crittografia, figurano la verifica del tipo di file, la scansione multipla, il CDR (Content Disarm and Reconstruction), l'analisi in sandbox e la prevenzione della perdita di dati. La crittografia protegge il trasporto, mentre i controlli di sicurezza dei contenuti verificano e neutralizzano i payload.

La scelta dei controlli dovrebbe tenere conto del livello di affidabilità della fonte, della sensibilità dei dati di destinazione e della volatilità del tipo di file.

Le liste di tipi di file consentiti e la convalida dei contenuti impediscono che formati eseguibili e ad alto rischio entrino in ambienti sensibili. Le politiche basate sulle liste di tipi consentiti impongono una rigorosa verifica delle estensioni e dei tipi di contenuto.

Le deroghe aziendali devono essere temporanee, sottoposte a revisione e registrate per evitare lacune permanenti nelle politiche.

Multiscanning il rilevamento utilizzando più motori antimalware per analizzare lo stesso file e ridurre i punti ciechi dei singoli motori. La scansione consensuale aumenta l'affidabilità dei risultati relativi ai trasferimenti di file. 

La progettazione operativa dovrebbe definire le soglie di verdetto per i sistemi multimotore, i processi di triage dei falsi positivi e i flussi di lavoro di escalation per i risultati contestati. 

La funzione "Content Disarm and Reconstruction" rimuove i contenuti attivi dai documenti e ne ricrea versioni sicure per la distribuzione. Questa funzione riduce il rischio di attacchi zero-day e di exploit, preservando al contempo la fruibilità dei documenti. 

Lo scambio di grandi volumi di documenti trae vantaggio dalla pulizia dei dati quando i processi aziendali richiedono tempi di elaborazione rapidi e una riduzione dei rischi operativi. 

Il sandboxing analizza il comportamento dei file in ambienti controllatiper individuare malware sconosciuti o mirati. Sandbox fornisce indicatori comportamentali che vanno oltre le firme statiche. 

Sandbox e le tecniche di elusione richiedono una gestione definita dei rilasci differiti per garantire il mantenimento dei livelli di servizio senza rilasci non sicuri. 

Proactive DLP le politiche di classificazione dei dati ai file in transito per impedire la fuga di dati personali identificativi (PII), informazioni sanitarie protette (PHI), dati PCI o dati soggetti a normative. Proactive DLP la governance del trasferimento dei file ai requisiti normativi. 

Le politiche DLP dovrebbero essere associate agli scambi con i fornitori, ai registri soggetti a regolamentazione e ai trasferimenti transfrontalieri di dati, al fine di garantire l'applicazione deterministica delle politiche. 

Per garantire la sicurezza dei trasferimenti di file attraverso reti segmentate e i confini tra IT e OT, è necessario applicare controlli obbligatori e misure di governance ad ogni punto di attraversamento dei confini di fiducia. La segmentazione aumenta la dipendenza dal trasferimento di file come percorso eccezionale tra le zone.

L'ispezione, la quarantena e il rilascio controllato prevengono la contaminazione tra zone e garantiscono l'affidabilità operativa.

I file che passano da una zona a basso livello di affidabilità a una zona ad alto livello di affidabilità richiedono una verifica esplicita dell'identità del mittente, dei tipi di file consentiti, dei risultati dell'ispezione e dei destinatari autorizzati. Le politiche relative ai confini di affidabilità devono definire chi può inviare, cosa può essere inviato e dove i file possono essere destinati.

Le directory con privilegi minimi e i controlli di verifica prima della consegna garantiscono il rispetto dei limiti.

Il trasferimento di file al confine tra IT e OT deve evitare una connettività bidirezionale non controllata o directory condivise. Le condivisioni senza restrizioni creano backdoor permanenti tra le reti aziendali e quelle operative.

Modelli di brokeraggio a trasferimento controllato, flussi di lavoro unidirezionali ove necessario e punti di controllo espliciti garantiscono la separazione, consentendo al contempo lo scambio necessario.

Per dimostrare che i trasferimenti di file sono stati verificati è necessaria una registrazione completa delle operazioni di controllo, dell'applicazione delle politiche e delle decisioni relative al rilascio. Le prove devono essere sufficienti a supportare sia la revisione di audit che la risposta agli incidenti.

I log devono dimostrare l'esecuzione deterministica dei controlli per ogni file che attraversa un confine di affidabilità.

I registri MFT relativi alla difesa dal malware devono includere le identità degli utenti o dei sistemi, gli endpoint di origine e destinazione, i timestamp, il protocollo utilizzato, gli hash dei file (ad esempio SHA-256), le decisioni relative alle politiche e i risultati dell'ispezione. 

La registrazione completa dei log supporta le misure di contenimento e l'analisi forense in caso di sospetti incidenti causati da file. 

I registri relativi alla scansione e alla sanificazione devono includere le versioni dei motori, i risultati per ciascun motore, le azioni di Content Disarm and Reconstruction, gli indicatori della sandbox e la destinazione finale. 

I registri riproducibili e i log protetti in termini di integrità rafforzano il valore probatorio durante gli audit e le indagini.

Una lista di controllo sulla sicurezza del trasferimento gestito dei file per gli scambi con i fornitori e i settori regolamentati offre un metodo in linea con l'architettura aziendale per valutare e ridurre il rischio di malware associato al trasferimento dei file. La lista di controllo dovrebbe valutare le politiche, i flussi di lavoro, l'implementazione dei controlli e l'acquisizione delle prove.

I controlli sullo scambio di file con i fornitori dovrebbero standardizzare le procedure di onboarding dei partner, la verifica dell'identità, l'accesso a tempo determinato, la gestione delle chiavi e dei certificati e le directory con il principio del privilegio minimo. I flussi di lavoro relativi ai fornitori devono prevedere la quarantena, l'ispezione in linea e la consegna controllata alle destinazioni interne.

Un'applicazione coerente delle norme riduce gli abusi da parte dei partner di fiducia e il rischio di elusione dei sistemi di automazione.

Tra le misure di controllo volte a ridurre la diffusione del ransomware figurano il blocco dei tipi di file ad alto rischio, la sanificazione dei documenti in entrata, l'isolamento delle aree di staging in entrata e la limitazione delle autorizzazioni degli account di servizio. Il monitoraggio di volumi di file anomali o di violazioni ripetute delle politiche consente di individuare i tentativi di staging.

La somministrazione localizzata e quella mediata riducono il raggio d’azione.

MetaDefender File Transfer™ è la soluzione di trasferimento file gestito (MFT) OPSWATper uno scambio di file sicuro e regolato da criteri tra ambienti IT e OT. MetaDefender File Transfer™ integra l'ispezione dei file in linea, la scansione multipla, la tecnologia Deep CDR™, Proactive DLP, l'analisi sandbox potenziata dall'intelligenza artificiale, la crittografia e la governance centralizzata direttamente nel flusso di lavoro di trasferimento per supportare il rilascio controllato, le prove pronte per l'audit e la protezione transfrontaliera.