Proteger as transferências de ficheiros em ambientes operacionais isolados
O setor de serviços públicos continua a enfrentar ameaças cibernéticas persistentes, incluindo malware direcionado, ransomware e explorações de dia zero, especialmente quando os sistemas OT (tecnologia operacional) precisam ingerir dados de fontes externas. De acordo com o X-Force Threat Intelligence Index da IBM, os serviços públicos de energia foram o quarto setor mais visado em 2024.
À medida que as operações de serviços públicos se tornam cada vez mais digitalizadas, a necessidade de processar ficheiros externos - tais como relatórios de diagnóstico, ficheiros de correção e actualizações do sistema, sem expor os activos internos, tornou-se um requisito essencial. Estas transferências envolvem frequentemente fornecedores terceiros e suportes portáteis, como unidades USB , que implicam um elevado risco de infiltração de malware e violações de conformidade se não forem devidamente controladas.
Para mitigar estes riscos, a empresa adoptou uma arquitetura segmentada que mantém os processos de transferência de ficheiros inteiramente contidos nas suas respectivas zonas de confiança. MetaDefender Managed File TransferMFT) e o MetaDefender Core foram implementados em ambientes de baixa segurança (externos) e de alta segurança (internos). Cada ambiente funciona de forma independente, sem conetividade direta entre zonas. Os ficheiros são agora analisados e processados de acordo com as políticas de segurança específicas da zona, garantindo que os envios externos não contornam as salvaguardas internas.
Aplicação de carregamentos de ficheiros baseados em políticas a partir de fontes internas e externas
Os processos operacionais da empresa requerem uma entrada segura de ficheiros, tanto das equipas de engenharia internas como dos contratantes externos. Estes ficheiros podem incluir diagnósticos do sistema, pacotes de patches ou cargas de atualização que devem ser introduzidos em ambientes OT protegidos sem comprometer os sistemas internos.
Antes de adotar as soluções MetaDefender , estas transferências dependiam frequentemente de procedimentos manuais e ferramentas ad hoc, incluindo unidades partilhadas, transferências de ficheiros não seguras e entregas de suportes físicos. As entregas USB, em particular, não tinham procedimentos de verificação padronizados, criando o risco de introdução de malware e aplicação inconsistente de políticas.
Para resolver isso, a organização implantou os mecanismos de varredura MetaDefender Managed File Transfer e MetaDefender Core em ambientes de baixa e alta segurança. O envio de arquivos - seja de dispositivos USB via MetaDefender Kiosk ou interfaces web autenticadas MetaDefender MFT (WebGUI) - é tratado independentemente dentro de cada zona com uploads reforçados por políticas para arquivos USB e originados na rede.
MetaDefender Kiosk O MetaDefender Kiosk fornece uma estação de carregamento para analisar os suportes amovíveis antes de entrarem na rede, enquanto que os carregamentos baseados na Web são restritos a utilizadores autenticados através de contas geridas localmente. Todos os ficheiros são analisados de acordo com as regras específicas da zona, incluindo a marcação de conteúdos e a inspeção profunda de ameaças utilizando MetaDefender Core. Isto assegura que os envios são processados de forma segura, sem exposição a infra-estruturas partilhadas entre zonas.
Esta estrutura permite à empresa manter uma separação operacional completa entre redes de baixa e alta segurança, ao mesmo tempo que permite o carregamento de ficheiros sempre que necessário. Também assegura um registo de auditoria completo e a rastreabilidade de todos os carregamentos, acções do utilizador e decisões políticas, permitindo uma aplicação consistente da política interna e ajudando a cumprir os requisitos de auditoria e conformidade.
A solução da OPSWAT:Managed File Transfer MetaDefender em ambientes segmentados
A empresa selecionou o MetaDefender Managed File Transfer da OPSWATdepois de identificar a necessidade de uma tecnologia de transferência de ficheiros capaz de funcionar de forma segura em ambientes de rede segmentados. Um requisito básico era permitir o carregamento seguro de ficheiros dentro de cada ambiente, quer de utilizadores internos quer de fornecedores externos, mantendo uma separação rigorosa entre zonas de baixa e alta segurança.
A solução foi implementada como dois ambientes totalmente independentes. Uma instância do MetaDefender Managed File Transfer e do MetaDefender Core foi instalada na zona de baixa segurança, e uma instância separada na zona de alta segurança. Cada instância funciona de forma autónoma, aplicando as suas próprias políticas de segurança e fluxos de trabalho de verificação a todos os ficheiros recebidos.
Os quiosques MetaDefender foram instalados nos principais pontos de carregamento para permitir a transferência segura de suportes USB . Estes quiosques funcionam como estações de carregamento controladas, permitindo aos utilizadores digitalizar e enviar ficheiros sem acesso direto às redes internas. Também são suportados carregamentos baseados na Web, com utilizadores autenticados através de contas geridas localmente. Isto garante uma submissão segura sem expor os serviços de diretórios internos.
Ao impor fluxos de trabalho de ficheiros segmentados e controlados por políticas e a deteção de ameaças em camadas em cada ambiente, a empresa estabeleceu um processo seguro e auditável para o tratamento de ficheiros externos e internos. Os ficheiros nunca são transferidos entre zonas e, por isso, as fronteiras de confiança nunca são ultrapassadas, permitindo ainda a entrega operacional de ficheiros sempre que necessário.
3 Principais capacidades fornecidas pela OPSWAT Technologies
Digitalização de ficheiros
Todos os ficheiros submetidos através do MetaDefender Kiosk ou do MetaDefender Managed File Transfer WebGUI estão sujeitos a múltiplas camadas de deteção de ameaças. Os ficheiros são verificados no ambiente de receção usando o MetaDefender Coreque aplica análises baseadas em assinaturas e comportamentos para identificar e bloquear ameaças conhecidas e desconhecidas. As políticas de scanning podem também identificar tipos de ficheiros sensíveis, tais como conteúdos de interesse nacional (SNI), para assegurar o tratamento adequado no âmbito das estruturas regulamentares.
Autenticação específica da zona
Os utilizadores externos enviam ficheiros através do MetaDefender MFT WebGUI utilizando contas locais geridas de forma independente em cada ambiente. Isto fornece um controlo de acesso de confiança zero através da autenticação do utilizador local sem integração no Active Diretory. Todas as acções do utilizador são registadas por auditoria com atribuição total a identidades específicas, suportando a responsabilidade e a rastreabilidade.
Encaminhamento automatizado de ficheiros
Os ficheiros aprovados são automaticamente encaminhados para locais de armazenamento predefinidos dentro de cada zona (tais como partilhas SMB designadas) de acordo com a política, reduzindo os riscos de manuseamento manual e assegurando caminhos de entrega controlados. Isto reduz o esforço manual, elimina o risco de erro humano e garante que apenas os ficheiros aprovados são entregues em ambientes operacionais. Todas as transferências são registadas e quaisquer excepções desencadeiam respostas definidas por políticas.
Em conjunto, estes controlos permitem à empresa manter um isolamento rigoroso entre zonas de segurança, ao mesmo tempo que permitem carregamentos e processamento de ficheiros operacionais sob uma governação consistente.
Criar resiliência através de carregamentos de ficheiros segmentados e orientados por políticas
Ao adotar uma abordagem em camadas e controlada por políticas para as transferências de ficheiros, a empresa reduziu significativamente a sua exposição a ameaças transmitidas por ficheiros, mantendo simultaneamente limites operacionais rigorosos entre zonas de confiança. MetaDefender Core impõe uma inspeção profunda do conteúdo, quer os ficheiros provenham de dispositivos USB analisados num Kiosk ou sejam submetidos através do MetaDefender MFT WebGUI.
Cada zona processa os ficheiros de forma independente, assegurando que nenhum movimento de ficheiros ocorre através dos limites de segurança. Esta estratégia de segmentação, combinada com fluxos de trabalho automatizados e registo de auditoria detalhado, permite que a organização cumpra as políticas de segurança internas e as expectativas regulamentares sem comprometer a flexibilidade operacional.
À medida que o cenário de ameaças evolui e os ambientes OT continuam a ser alvos de elevado valor, esta arquitetura fornece uma base à prova de futuro para o tratamento seguro e rastreável de ficheiros, independentemente da sua origem.
Para explorar como o MetaDefender Managed File Transfer pode ajudar a sua organização a aplicar uploads e transferências de ficheiros seguros e auditáveis em ambientes segmentados, fale com um especialista hoje mesmo.
