Por que razão as transferências de ficheiros são um dos principais pontos de entrada de malware

O risco de malware na transferência de ficheiros é a probabilidade de conteúdo malicioso ou utilizado para fins maliciosos entrar num ambiente de confiança através da troca rotineira de ficheiros e permitir a execução, o movimento lateral ou a violação de dados. O risco de malware na transferência de ficheiros aumenta quando os ficheiros recebidos atravessam limites de confiança sem inspeção ou sem controlos de libertação aplicados.

O impacto operacional inclui a preparação de ransomware, o roubo de credenciais através da entrega de loaders, o comprometimento da cadeia de abastecimento por meio de parceiros de confiança e a contaminação entre zonas em redes segmentadas. As equipas de operações de TI devem tratar os ficheiros recebidos como conteúdo não confiável até que sejam inspecionados, sanitizados e submetidos à validação das políticas.

As transferências de ficheiros contornam frequentemente os controlos de deteção e resposta nos terminais, uma vez que os ficheiros são enviados diretamente para servidores, recursos partilhados em rede ou fluxos de trabalho automatizados sem serem inspecionados pelo utilizador. A automatização da transferência de ficheiros transfere o conteúdo através de contas de serviço, tarefas agendadas e integrações que não acionam avisos nem exigem a revisão do utilizador.

Os pipelines de ingestão em lote, as pastas de envio e as integrações API criam fluxos de trabalho que ultrapassam limites, nos quais o conteúdo é processado imediatamente após a sua chegada. Sem inspeção em linha e sem controlos de quarentena e libertação, os ficheiros maliciosos podem propagar-se antes de serem detetados.

Uma rota de transferência de ficheiros apresenta um risco elevado quando um ficheiro atravessa um limite de confiança, chega a um sistema com privilégios, inclui tipos de ficheiros voláteis e não é submetido a uma inspeção em tempo real com controlos de quarentena. Uma rota de transferência de ficheiros apresenta um risco menor quando a inspeção, a sanitização, diretórios com privilégios mínimos e resultados determinísticos das políticas são aplicados antes da entrega.

A avaliação de risco deve ter em conta:

• Limite de confiança ultrapassado (do exterior para o interior, de TI para OT, da DMZ para o núcleo)
• Sensibilidade do destino e privilégios do sistema
• Volatilidade do tipo de ficheiro e conteúdo ativo
• Realização de inspeção antes da entrega e controlo de libertação

Os atacantes costumam aproveitar-se de portais de upload SFTP, FTPS e HTTPS, anexos de e-mail, links partilhados e vias de sincronização na nuvem para introduzir malware transmitido por ficheiros. Os pontos de entrada de transferência de ficheiros gozam de confiança da empresa, uma vez que fornecedores, parceiros e equipas internas utilizam os mesmos canais para a troca rotineira de dados.

O abuso de parceiros de confiança e a automatização de rotinas fazem com que os ficheiros maliciosos pareçam operacionalmente normais. Os atacantes dão prioridade a percursos que ultrapassam os limites de confiança e desencadeiam o processamento a jusante sem inspeção.

A troca de ficheiros via SFTP torna-se uma via de distribuição de malware quando os fornecedores ou integrações automatizadas depositam ficheiros diretamente em diretórios internos sem inspeção do conteúdo. Os padrões de utilização do SFTP incluem contas de serviço, transferências programadas e processamento em lote a jusante.

Controlos deficientes, tais como a dispersão de chaves, a reutilização de credenciais, permissões de diretório demasiado amplas e a ausência de inspeção em tempo real, aumentam a exposição. Secure não garante a segurança dos ficheiros.

As transferências FTPS tornam-se vulneráveis quando o transporte encriptado é confundido com segurança do conteúdo. O FTPS protege os dados em trânsito utilizando o TLS, mas não inspeciona o conteúdo dos ficheiros.

Entre os riscos operacionais contam-se a deriva de certificados, configurações de clientes antigas e exceções de firewall que dão prioridade à conectividade em detrimento da inspeção. Sem quarentena e controlo de libertação, conteúdos não seguros entram em fluxos de trabalho confiáveis.

Os portais de envio de ficheiros HTTPS disponibilizam interfaces públicas para o envio de ficheiros, tais como portais de clientes, sistemas de tickets e formulários de integração. O HTTPS encripta a transmissão, mas não neutraliza o conteúdo malicioso dos ficheiros. 

Os firewalls de aplicações web concentram-se nos padrões de pedidos e na validação de entradas, em vez de numa inspeção aprofundada dos ficheiros. A inspeção de ficheiros em linha na camada de carregamento impede que ficheiros perigosos cheguem ao armazenamento interno. 

Os atacantes ocultam malware em tipos de ficheiros frequentemente partilhados, recorrendo a arquivos aninhados, abuso de macros, cadeias de exploração e falsificação do tipo de ficheiro. O malware transmitido por ficheiros consegue escapar às verificações superficiais ao incorporar conteúdo ativo em formatos empresariais legítimos.

A definição das políticas deve partir do princípio de que é necessária uma deteção baseada no conteúdo para todos os ficheiros recebidos que atravessam as fronteiras de confiança.

Os ficheiros ZIP e os arquivos aninhados impedem a análise simples através de recursão profunda, proteção por palavra-passe e incompatibilidades de extensão. A recursão do arquivo oculta o conteúdo executável em várias camadas.

Os controlos devem garantir o cumprimento dos limites de profundidade dos arquivos, das políticas de descompressão, das regras de tratamento de arquivos protegidos por palavra-passe e da inspeção obrigatória antes da libertação.

Os documentos do Office com macros ativadas disseminamransomwaree programas de instalação ao acionarem scripts incorporados ou objetos ligados durante a interação com o documento. Os formatos de ficheiro do Office suportam conteúdo ativo que é executado no contexto do utilizador. 

As políticas devem aplicar controlos baseados na lista de permissões, restrições de macros e a técnica de «Content Disarm and Reconstruction» para remover elementos ativos, preservando simultaneamente a usabilidade. 

Os ficheiros PDF não são automaticamente seguros, uma vez que os documentos PDF podem conter scripts, links e cargas maliciosas destinadas a explorar vulnerabilidades dos leitores. Os ataques baseados em PDF surgem frequentemente sob a forma de faturas, contratos ou relatórios. 

É necessário inspecionar e higienizar os ficheiros PDF recebidos que atravessam limites de confiança, a fim de remover conteúdos ativos e validar a estrutura. 

O SFTP, o FTPS e o HTTPS diferem nos modelos de encriptação de transporte e de autenticação, mas não reduzem, por si só, o risco associado ao conteúdo dos ficheiros. Secure protege o canal de comunicação, não a carga útil.

O risco de malware persiste, a menos que se proceda à inspeção, à limpeza e à aplicação das políticas antes da entrega em sistemas de confiança.

Secure protege a confidencialidade e a integridade durante a transmissão, encriptando os dados e salvaguardando as credenciais contra a interceção. Secure reduz o risco de ataques «man-in-the-middle» e de monitorização passiva. 

Secure não deteta conteúdos maliciosos, vulnerabilidades de dia zero em analisadores de ficheiros nem violações de políticas incorporadas nos ficheiros.

As transferências encriptadas reduzem a visibilidade na camada de rede quando não é possível inspecionar o texto simples. As ferramentas de deteção de rede não conseguem analisar cargas úteis encriptadas sem uma terminação controlada. 

A inspeção deve ser realizada nos pontos finais, nos gateways ou nas camadas de transferência de ficheiros gerida, onde os ficheiros são descodificados, inspecionados, limpos e recodificados antes da sua libertação. 

Uma arquitetura recomendada para analisar todos os ficheiros recebidos antes da entrega requer inspeção em linha e fluxos de trabalho de quarentena e libertação integrados nos percursos de transferência de ficheiros. A inspeção de ficheiros deve funcionar como um ponto de aplicação de políticas, e não como um complemento opcional.

As equipas de operações de TI devem mapear os fluxos de trabalho de inspeção em relação à localização da DMZ, às redes segmentadas e às transferências entre zonas.

Um fluxo de trabalho de quarentena e libertação coloca os ficheiros em armazenamento isolado, realiza a inspeção e a higienização, atribui uma decisão de política e liberta os ficheiros aprovados para o destino pretendido. 

As etapas do fluxo de trabalho incluem receção, quarentena, inspeção, higienização ou destruição, aprovação ou bloqueio e entrega. A automatização, a lógica de repetição de tentativas e o tratamento eficaz de falhas garantem o cumprimento dos níveis de serviço sem comprometer a segurança. 

A inspeção de ficheiros na DMZ deve ocorrer antes de os ficheiros passarem de redes externas de baixa confiança para zonas internas de alta confiança. As plataformas de transferência de ficheiros geridas baseadas na DMZ ou os gateways seguros funcionam como camadas de inspeção controladas.

A inspeção deve preceder o acesso de escrita aos sistemas internos, a fim de garantir o cumprimento das decisões relativas aos limites de confiança.

A entrega direta para partilha e para aplicações aumenta o alcance do ataque, permitindo que os ficheiros recebidos sejam executados ou propagados antes da inspeção. A gravação direta em NAS internos, pastas de entrega ou diretórios de aplicações aumenta a exposição.

Os padrões de entrega mediada exigem um resultado de inspeção favorável antes de concederem permissões de gravação a destinos internos.

Os controlos de segurança que reduzem o risco de malware na transferência de ficheiros, para além da encriptação, incluem a validação do tipo de ficheiro, a análise múltipla, o CDR (Content Disarm and Reconstruction), a análise em sandbox e a prevenção da perda de dados. A encriptação protege o transporte, enquanto os controlos de segurança de conteúdo validam e neutralizam as cargas maliciosas.

A seleção dos controlos deve ter em conta o nível de confiança da fonte, a sensibilidade do destino e a volatilidade do tipo de ficheiro.

As listas de tipos de ficheiros permitidos e a validação de conteúdo impedem que formatos executáveis e de alto risco entrem em ambientes sensíveis. As políticas que dão prioridade às listas de tipos de ficheiros permitidos impõem uma verificação rigorosa das extensões e dos tipos de conteúdo.

As exceções comerciais devem ser temporárias, revistas e registadas para evitar lacunas permanentes nas políticas.

Multiscanning a deteção ao utilizar vários motores antimalware para analisar o mesmo ficheiro e reduzir os pontos cegos de um único motor. A verificação por consenso aumenta a confiança nos resultados das transferências de ficheiros. 

O projeto operacional deve definir limites para os resultados de múltiplos motores, processos de triagem de falsos positivos e fluxos de trabalho de escalonamento para resultados contestados. 

A função «Desativação e Reconstrução de Conteúdo» remove o conteúdo ativo dos documentos e recria versões seguras para envio. Esta função reduz o risco de vulnerabilidades de dia zero e de exploração, mantendo ao mesmo tempo a usabilidade dos documentos. 

A troca de grandes volumes de documentos beneficia da sanitização quando os processos empresariais exigem uma resposta rápida com um risco de execução reduzido. 

A técnica de sandbox analisa o comportamento dos ficheiros em ambientes controladospara detetar malware desconhecido ou direcionado. Sandbox fornece indicadores comportamentais que vão além das assinaturas estáticas. 

Sandbox e as técnicas de evasão exigem um tratamento definido para a libertação diferida, de modo a manter os níveis de serviço sem que haja uma libertação insegura. 

Proactive DLP políticas de classificação de dados a ficheiros em trânsito, para evitar a fuga de dados pessoais identificáveis (PII), informações de saúde protegidas (PHI), dados PCI ou dados sujeitos a regulamentação. Proactive DLP a gestão da transferência de ficheiros com os requisitos regulamentares. 

As políticas de DLP devem estar alinhadas com as trocas de dados entre fornecedores, os registos regulamentados e as transferências transfronteiriças de dados, a fim de garantir resultados determinísticos das políticas. 

A segurança das transferências de ficheiros em redes segmentadas e através das fronteiras entre TI e OT exige uma inspeção e uma gestão obrigatórias em cada ponto de passagem entre zonas de confiança. A segmentação aumenta a dependência da transferência de ficheiros como via de exceção entre zonas.

A inspeção, a quarentena e a libertação controlada evitam a contaminação entre zonas e garantem a fiabilidade operacional.

Os ficheiros que transitam de uma zona de baixa confiança para uma zona de alta confiança requerem uma verificação explícita da identidade do remetente, dos tipos de ficheiros permitidos, dos resultados da inspeção e dos destinatários autorizados. As políticas relativas aos limites de confiança devem definir quem pode enviar, o que pode ser enviado e onde os ficheiros podem ser recebidos.

Os diretórios com privilégios mínimos e os controlos de verificação prévia à entrega garantem o cumprimento das decisões relativas aos limites.

A transferência de ficheiros na fronteira entre as redes de TI e de tecnologia operacional deve evitar a conectividade bidirecional não controlada ou diretórios partilhados. As partilhas sem restrições criam portas traseiras persistentes entre as redes empresariais e as redes de tecnologia operacional.

Modelos de corretagem de transferência controlada, fluxos de trabalho unidirecionais quando necessário e mecanismos de aprovação explícitos mantêm a separação, permitindo simultaneamente a troca de informações necessária.

Para comprovar que as transferências de ficheiros foram verificadas, é necessário um registo exaustivo das inspeções, da aplicação das políticas e das decisões de aprovação. As provas devem servir de base tanto para a revisão de auditoria como para a resposta a incidentes.

Os registos devem demonstrar uma execução de controlo determinística para cada ficheiro que atravesse um limite de confiança.

Os registos MFT relativos à defesa contra malware devem incluir as identidades dos utilizadores ou do sistema, os terminais de origem e de destino, os registos de data e hora, o protocolo utilizado, os hash de ficheiros, como o SHA-256, as decisões de política e os resultados da inspeção. 

Os registos abrangentes apoiam as medidas de contenção e a definição do âmbito da análise forense após incidentes suspeitos relacionados com ficheiros. 

Os registos de análise e sanitização devem incluir as versões do motor, os resultados por motor, as ações de desarmamento e reconstrução de conteúdo, os indicadores da sandbox e a disposição final. 

Os registos reproduzíveis e os registos com integridade protegida reforçam o valor probatório durante auditorias e investigações.

Uma lista de verificação de segurança para a transferência gerida de ficheiros, destinada a interações com fornecedores e setores regulamentados, oferece um método alinhado com a arquitetura para avaliar e reduzir o risco de malware na transferência de ficheiros. A lista de verificação deve avaliar as políticas, o fluxo de trabalho, a localização dos pontos de inspeção e a recolha de provas.

Os controlos de troca de ficheiros com fornecedores devem padronizar a integração de parceiros, a verificação de identidade, o acesso com prazo definido, a gestão de chaves e certificados e os diretórios com o princípio do privilégio mínimo. Os fluxos de trabalho com fornecedores devem incluir quarentena, inspeção em linha e entrega controlada a destinos internos.

A aplicação consistente das regras reduz o abuso por parte de parceiros de confiança e o risco de contornar a automação.

As medidas de controlo que reduzem a propagação do ransomware incluem o bloqueio de tipos de ficheiros de alto risco, a limpeza de documentos recebidos, o isolamento de áreas de preparação de entrada e a restrição das permissões das contas de serviço. A monitorização de volumes de ficheiros invulgares ou de violações repetidas das políticas permite identificar tentativas de preparação.

A intervenção isolada e a administração mediada reduzem o raio de ação.

MetaDefender File Transfer™ é a solução de transferência de ficheiros gerida (MFT) OPSWATpara a troca segura de ficheiros, sujeita a políticas, entre ambientes de TI e OT. MetaDefender File Transfer™ integra inspeção de ficheiros em linha, multiscanning, tecnologia Deep CDR™, Proactive DLP, análise em sandbox otimizada por IA, encriptação e governança centralizada diretamente no fluxo de trabalho de transferência para suportar a libertação controlada, provas prontas para auditoria e proteção transfronteiriça.