Sicherung von Dateiübertragungen in isolierten Betriebsumgebungen
Der Versorgungssektor ist nach wie vor mit anhaltenden Cyberbedrohungen konfrontiert, darunter gezielte Malware, Ransomware und Zero-Day-Exploits, insbesondere dort, wo OT-Systeme (Betriebstechnologie) Daten aus externen Quellen aufnehmen müssen. Laut dem X-Force Threat Intelligence Index von IBM sind Energieversorgungsunternehmen im Jahr 2024 die viertgrößte Zielscheibe.
Mit der zunehmenden Digitalisierung des Versorgungsbetriebs ist die Notwendigkeit, externe Dateien wie Diagnoseberichte, Patch-Dateien und System-Updates zu verarbeiten, ohne interne Daten preiszugeben, zu einer zentralen Anforderung geworden. An diesen Übertragungen sind häufig Drittanbieter und tragbare Medien wie USB beteiligt, die bei unzureichender Kontrolle ein hohes Risiko für das Eindringen von Malware und für Compliance-Verstöße bergen.
Um diese Risiken zu minimieren, hat das Unternehmen eine segmentierte Architektur eingeführt, die Dateitransferprozesse vollständig innerhalb ihrer jeweiligen Vertrauenszonen hält. MetaDefender Managed File TransferMFT) und MetaDefender Core wurden sowohl in Umgebungen mit geringer Sicherheit (nach außen) als auch mit hoher Sicherheit (intern) eingesetzt. Jede Umgebung arbeitet unabhängig, ohne direkte Verbindung zwischen den Zonen. Die Dateien werden nun gemäß den zonenspezifischen Sicherheitsrichtlinien gescannt und verarbeitet, so dass sichergestellt ist, dass externe Übermittlungen die internen Sicherheitsvorkehrungen nicht umgehen können.
Durchsetzung richtlinienbasierter Dateiuploads aus internen und externen Quellen
Die Betriebsprozesse des Unternehmens erfordern eine sichere Aufnahme von Dateien sowohl von internen Entwicklungsteams als auch von externen Auftragnehmern. Diese Dateien können Systemdiagnosen, Patch-Pakete oder Update-Payloads enthalten, die in geschützte OT-Umgebungen eingebracht werden müssen, ohne interne Systeme zu gefährden.
Vor der Einführung von MetaDefender beruhten diese Übertragungen oft auf manuellen Verfahren und Ad-hoc-Tools, einschließlich gemeinsam genutzter Laufwerke, ungesicherter Dateiübertragungen und physischer Medienübergaben. Insbesondere bei USB Übertragungen gab es keine standardisierten Scan-Prozeduren, wodurch das Risiko der Einschleppung von Malware und der uneinheitlichen Durchsetzung von Richtlinien bestand.
Um dieses Problem zu lösen, hat die Organisation MetaDefender Managed File Transfer und MetaDefender Core Scan-Engines sowohl in Umgebungen mit niedriger als auch mit hoher Sicherheit eingesetzt. Dateiübertragungen - ob von USB über MetaDefender Kiosk oder MetaDefender MFT authentifizierte Webschnittstellen (WebGUI) - werden innerhalb jeder Zone unabhängig voneinander mit richtliniengesteuerten Uploads für USB und Netzwerkdateien behandelt.
MetaDefender Kiosk bietet eine Upload-Station zum Scannen von Wechseldatenträgern, bevor diese in das Netzwerk gelangen, während webbasierte Uploads auf authentifizierte Benutzer über lokal verwaltete Konten beschränkt sind. Alle Dateien werden nach zonenspezifischen Regeln gescannt, einschließlich Content Tagging und Deep Threat Inspection mit MetaDefender Core. Dadurch wird sichergestellt, dass die Übermittlungen sicher verarbeitet werden, ohne dass die gemeinsame Infrastruktur in den verschiedenen Zonen beeinträchtigt wird.
Diese Struktur ermöglicht es dem Unternehmen, eine vollständige betriebliche Trennung zwischen niedrig- und hochsicheren Netzwerken aufrechtzuerhalten und gleichzeitig bei Bedarf Datei-Uploads zu ermöglichen. Außerdem wird eine vollständige Protokollierung und Nachvollziehbarkeit aller Uploads, Benutzeraktionen und Richtlinienentscheidungen gewährleistet, was eine konsequente Durchsetzung interner Richtlinien ermöglicht und zur Erfüllung von Audit- und Compliance-Anforderungen beiträgt.
Die Lösung von OPSWAT: MetaDefender Managed File Transfer in segmentierten Umgebungen
Das Unternehmen entschied sich für MetaDefender Managed File Transfer von OPSWAT, nachdem es den Bedarf an einer Dateitransfertechnologie erkannt hatte, die sicher in segmentierten Netzwerkumgebungen arbeiten kann. Eine Grundanforderung war, sichere Datei-Uploads innerhalb jeder Umgebung zu ermöglichen, egal ob von internen Nutzern oder externen Lieferanten, während gleichzeitig eine strikte Trennung zwischen Niedrig- und Hochsicherheitszonen beibehalten werden sollte.
Die Lösung wurde in zwei völlig unabhängigen Umgebungen implementiert. Eine Instanz von MetaDefender Managed File Transfer und MetaDefender Core wurde in der Niedrigsicherheitszone installiert, eine weitere Instanz in der Hochsicherheitszone. Jede Instanz arbeitet autonom und wendet ihre eigenen Sicherheitsrichtlinien und Scan-Workflows auf alle eingehenden Dateien an.
MetaDefender Kiosks wurden an wichtigen Upload-Punkten installiert, um eine sichere Übertragung von USB zu ermöglichen. Diese Kioske fungieren als kontrollierte Upload-Stationen, die es den Benutzern ermöglichen, Dateien zu scannen und zu übermitteln, ohne direkt auf interne Netzwerke zugreifen zu müssen. Auch webbasierte Uploads werden unterstützt, wobei die Benutzer über lokal verwaltete Konten authentifiziert werden. Dies gewährleistet eine sichere Übermittlung, ohne dass interne Verzeichnisdienste offengelegt werden.
Durch die Durchsetzung segmentierter, richtliniengesteuerter Datei-Workflows und mehrschichtiger Bedrohungserkennung in jeder Umgebung hat das Unternehmen einen sicheren und überprüfbaren Prozess für die Handhabung externer und interner Dateien eingerichtet. Dateien werden nie zwischen den Zonen übertragen und somit werden keine Vertrauensgrenzen überschritten, während gleichzeitig die operative Bereitstellung von Dateien bei Bedarf möglich ist.
3 Schlüsselkompetenzen von OPSWAT Technologies
Scannen von Dateien
Alle Dateien, die über MetaDefender Kiosk oder die MetaDefender Managed File Transfer WebGUI übertragen werden, unterliegen einer mehrschichtigen Bedrohungserkennung. Die Dateien werden in der empfangenden Umgebung gescannt mit MetaDefender Coregescannt, das sowohl signatur- als auch verhaltensbasierte Analysen anwendet, um bekannte und unbekannte Bedrohungen zu identifizieren und zu blockieren. Die Scan-Richtlinien können auch sensible Dateitypen identifizieren, z. B. Inhalte von nationalem Interesse (SNI), um eine angemessene Behandlung im Rahmen der gesetzlichen Bestimmungen zu gewährleisten.
Zonenspezifische Authentifizierung
Externe Benutzer übermitteln Dateien über die MetaDefender MFT WebGUI unter Verwendung lokaler Konten, die in jeder Umgebung unabhängig verwaltet werden. Dies ermöglicht eine Zero-Trust-Zugangskontrolle durch lokale Benutzerauthentifizierung ohne Active Directory-Integration. Alle Benutzeraktionen werden mit vollständiger Zuordnung zu bestimmten Identitäten protokolliert, was die Nachvollziehbarkeit und Rückverfolgbarkeit unterstützt.
Automatisierte Weiterleitung von Dateien
Genehmigte Dateien werden automatisch und richtlinienkonform an vordefinierte Speicherorte innerhalb jeder Zone (z. B. bestimmte SMB-Freigaben) weitergeleitet, wodurch die Risiken der manuellen Handhabung verringert und kontrollierte Bereitstellungspfade sichergestellt werden. Dies reduziert den manuellen Aufwand, eliminiert das Risiko menschlicher Fehler und stellt sicher, dass nur geprüfte Dateien in Betriebsumgebungen übertragen werden. Alle Übertragungen werden protokolliert, und alle Ausnahmen lösen richtlinienkonforme Reaktionen aus.
Diese Kontrollen ermöglichen es dem Unternehmen, eine strikte Isolierung zwischen den Sicherheitszonen aufrechtzuerhalten und gleichzeitig operative Datei-Uploads und -Verarbeitungen unter einheitlicher Kontrolle zu ermöglichen.
Aufbau von Widerstandsfähigkeit durch segmentierte, richtliniengesteuerte Dateiuploads
Durch die Einführung eines mehrschichtigen, richtliniengesteuerten Ansatzes für Dateiübertragungen hat das Unternehmen seine Anfälligkeit für Dateibedrohungen deutlich reduziert und gleichzeitig strenge operative Grenzen zwischen den Vertrauenszonen aufrechterhalten. MetaDefender Core erzwingt eine tiefgreifende Inhaltsprüfung, unabhängig davon, ob die Dateien von USB stammen, die an einem Kiosk gescannt wurden, oder ob sie über die MetaDefender MFT WebGUI übertragen wurden.
Jede Zone verarbeitet Dateien unabhängig voneinander und stellt sicher, dass keine Dateibewegungen über Sicherheitsgrenzen hinweg stattfinden. Diese Segmentierungsstrategie in Kombination mit automatisierten Workflows und detaillierter Audit-Protokollierung ermöglicht es dem Unternehmen, interne Sicherheitsrichtlinien und regulatorische Erwartungen zu erfüllen, ohne die betriebliche Flexibilität zu beeinträchtigen.
Da sich die Bedrohungslandschaft weiterentwickelt und OT-Umgebungen weiterhin hochwertige Ziele darstellen, bietet diese Architektur eine zukunftssichere Grundlage für eine sichere, nachvollziehbare Dateiverarbeitung, unabhängig davon, woher die Dateien stammen.
So erkunden Sie, wie MetaDefender Managed File Transfer Ihrem Unternehmen helfen kann, sichere, überprüfbare Dateiuploads und -übertragungen in segmentierten Umgebungen durchzusetzen, sprechen Sie noch heute mit einem Experten.
