Sicherung von Dateiübertragungen in isolierten Betriebsumgebungen
Der Versorgungssektor ist nach wie vor mit anhaltenden Cyberbedrohungen konfrontiert, darunter gezielte Malware, Ransomware und Zero-Day-Exploits, insbesondere dort, wo OT-Systeme (Betriebstechnologie) Daten aus externen Quellen aufnehmen müssen. Laut dem X-Force Threat Intelligence Index von IBM sind Energieversorgungsunternehmen im Jahr 2024 die viertgrößte Zielscheibe.
Mit der zunehmenden Digitalisierung des Versorgungsbetriebs ist die Notwendigkeit, externe Dateien wie Diagnoseberichte, Patch-Dateien und System-Updates zu verarbeiten, ohne interne Daten preiszugeben, zu einer zentralen Anforderung geworden. An diesen Übertragungen sind häufig Drittanbieter und tragbare Medien wie USB beteiligt, die bei unzureichender Kontrolle ein hohes Risiko für das Eindringen von Malware und für Compliance-Verstöße bergen.
Um diese Risiken zu mindern, hat das Unternehmen eine segmentierte Architektur eingeführt, die Dateiübertragungsprozesse vollständig innerhalb ihrer jeweiligen Vertrauenszonen hält. MetaDefender Managed File Transfer MFT) (MFT) und MetaDefender Core wurden sowohl in Umgebungen mit geringer Sicherheit (nach außen gerichtet) als auch in Umgebungen mit hoher Sicherheit (intern) eingesetzt. Jede Umgebung arbeitet unabhängig, ohne direkte Verbindung zwischen den Zonen. Dateien werden nun gemäß den zonenspezifischen Sicherheitsrichtlinien gescannt und verarbeitet, wodurch sichergestellt wird, dass externe Übermittlungen die internen Sicherheitsvorkehrungen nicht umgehen.
Durchsetzung richtlinienbasierter Dateiuploads aus internen und externen Quellen
Die Betriebsprozesse des Unternehmens erfordern eine sichere Aufnahme von Dateien sowohl von internen Entwicklungsteams als auch von externen Auftragnehmern. Diese Dateien können Systemdiagnosen, Patch-Pakete oder Update-Payloads enthalten, die in geschützte OT-Umgebungen eingebracht werden müssen, ohne interne Systeme zu gefährden.
Vor der Einführung von MetaDefender beruhten diese Übertragungen oft auf manuellen Verfahren und Ad-hoc-Tools, einschließlich gemeinsam genutzter Laufwerke, ungesicherter Dateiübertragungen und physischer Medienübergaben. Insbesondere bei USB Übertragungen gab es keine standardisierten Scan-Prozeduren, wodurch das Risiko der Einschleppung von Malware und der uneinheitlichen Durchsetzung von Richtlinien bestand.
Um dieses Problem zu beheben, setzte das Unternehmen MetaDefender Managed File Transfer MFT) und MetaDefender Core sowohl in Umgebungen mit niedrigen als auch mit hohen Sicherheitsanforderungen ein. Dateiübertragungen – sei es von USB über MetaDefender Kiosk über authentifizierte Webschnittstellen (WebGUI) MetaDefender Managed File Transfer MFT) – werden innerhalb jeder Zone unabhängig voneinander verarbeitet, wobei für Dateien, USB aus dem Netzwerk stammen, richtlinienbasierte Uploads durchgeführt werden.
MetaDefender Kiosk bietet eine Upload-Station zum Scannen von Wechseldatenträgern, bevor diese in das Netzwerk gelangen, während webbasierte Uploads auf authentifizierte Benutzer über lokal verwaltete Konten beschränkt sind. Alle Dateien werden nach zonenspezifischen Regeln gescannt, einschließlich Content Tagging und Deep Threat Inspection mit MetaDefender Core. Dadurch wird sichergestellt, dass die Übermittlungen sicher verarbeitet werden, ohne dass die gemeinsame Infrastruktur in den verschiedenen Zonen beeinträchtigt wird.
Diese Struktur ermöglicht es dem Unternehmen, eine vollständige betriebliche Trennung zwischen niedrig- und hochsicheren Netzwerken aufrechtzuerhalten und gleichzeitig bei Bedarf Datei-Uploads zu ermöglichen. Außerdem wird eine vollständige Protokollierung und Nachvollziehbarkeit aller Uploads, Benutzeraktionen und Richtlinienentscheidungen gewährleistet, was eine konsequente Durchsetzung interner Richtlinien ermöglicht und zur Erfüllung von Audit- und Compliance-Anforderungen beiträgt.
Die Lösung OPSWAT: MetaDefender Managed File Transfer MFT) in segmentierten Umgebungen
Das Unternehmen entschied sich für MetaDefender Managed File Transfer MFT) OPSWAT, nachdem es den Bedarf an einer Dateiübertragungstechnologie erkannt hatte, die in segmentierten Netzwerkumgebungen sicher funktioniert. Eine grundlegende Anforderung war es, sichere Datei-Uploads innerhalb jeder Umgebung zu ermöglichen, unabhängig davon, ob diese von internen Benutzern oder externen Lieferanten stammen, und gleichzeitig eine strikte Trennung zwischen Zonen mit geringer und hoher Sicherheit aufrechtzuerhalten.
Die Lösung wurde als zwei vollständig unabhängige Umgebungen bereitgestellt. Eine Instanz von MetaDefender Managed File Transfer MFT) und MetaDefender Core in der Zone mit niedriger Sicherheitsstufe installiert, eine weitere Instanz in der Zone mit hoher Sicherheitsstufe. Jede Instanz arbeitet autonom und wendet ihre eigenen Sicherheitsrichtlinien und Scan-Workflows auf alle eingehenden Dateien an.
MetaDefender Kiosks wurden an wichtigen Upload-Punkten installiert, um eine sichere Übertragung von USB zu ermöglichen. Diese Kioske fungieren als kontrollierte Upload-Stationen, die es den Benutzern ermöglichen, Dateien zu scannen und zu übermitteln, ohne direkt auf interne Netzwerke zugreifen zu müssen. Auch webbasierte Uploads werden unterstützt, wobei die Benutzer über lokal verwaltete Konten authentifiziert werden. Dies gewährleistet eine sichere Übermittlung, ohne dass interne Verzeichnisdienste offengelegt werden.
Durch die Durchsetzung segmentierter, richtliniengesteuerter Datei-Workflows und mehrschichtiger Bedrohungserkennung in jeder Umgebung hat das Unternehmen einen sicheren und überprüfbaren Prozess für die Handhabung externer und interner Dateien eingerichtet. Dateien werden nie zwischen den Zonen übertragen und somit werden keine Vertrauensgrenzen überschritten, während gleichzeitig die operative Bereitstellung von Dateien bei Bedarf möglich ist.
3 Schlüsselkompetenzen von OPSWAT Technologies
Scannen von Dateien
Alle über MetaDefender Kiosk die MetaDefender Managed File Transfer MFT) WebGUI übermittelten Dateien werden einer mehrstufigen Bedrohungserkennung unterzogen. Die Dateien werden in der Empfangsumgebung mit MetaDefender Core, das sowohl signatur- als auch verhaltensbasierte Analysen anwendet, um bekannte und unbekannte Bedrohungen zu identifizieren und zu blockieren. Scan-Richtlinien können auch sensible Dateitypen identifizieren, wie z. B. Inhalte von nationalem Interesse (SNI), um eine angemessene Handhabung im Rahmen der gesetzlichen Vorschriften zu gewährleisten.
Zonenspezifische Authentifizierung
Externe Benutzer übermitteln Dateien über die MetaDefender Managed File Transfer MFT) WebGUI unter Verwendung lokaler Konten, die innerhalb jeder Umgebung unabhängig verwaltet werden. Dies ermöglicht eine Zero-Trust-Zugriffskontrolle durch lokale Benutzerauthentifizierung ohne Active Directory-Integration. Alle Benutzeraktionen werden mit vollständiger Zuordnung zu bestimmten Identitäten protokolliert, was die Nachvollziehbarkeit und Verantwortlichkeit unterstützt.
Automatisierte Weiterleitung von Dateien
Genehmigte Dateien werden automatisch und richtlinienkonform an vordefinierte Speicherorte innerhalb jeder Zone (z. B. bestimmte SMB-Freigaben) weitergeleitet, wodurch die Risiken der manuellen Handhabung verringert und kontrollierte Bereitstellungspfade sichergestellt werden. Dies reduziert den manuellen Aufwand, eliminiert das Risiko menschlicher Fehler und stellt sicher, dass nur geprüfte Dateien in Betriebsumgebungen übertragen werden. Alle Übertragungen werden protokolliert, und alle Ausnahmen lösen richtlinienkonforme Reaktionen aus.
Diese Kontrollen ermöglichen es dem Unternehmen, eine strikte Isolierung zwischen den Sicherheitszonen aufrechtzuerhalten und gleichzeitig operative Datei-Uploads und -Verarbeitungen unter einheitlicher Kontrolle zu ermöglichen.
Aufbau von Widerstandsfähigkeit durch segmentierte, richtliniengesteuerte Dateiuploads
Durch die Einführung eines mehrschichtigen, richtliniengesteuerten Ansatzes für Dateiübertragungen hat das Unternehmen seine Anfälligkeit für durch Dateien übertragene Bedrohungen erheblich reduziert und gleichzeitig strenge operative Grenzen zwischen Vertrauenszonen aufrechterhalten. MetaDefender Core eine gründliche InhaltsprüfungCore , unabhängig davon, ob die Dateien von USB stammen, die an einem Kiosk gescannt wurden, Kiosk über die MetaDefender Managed File Transfer MFT) WebGUI übermittelt wurden.
Jede Zone verarbeitet Dateien unabhängig voneinander und stellt sicher, dass keine Dateibewegungen über Sicherheitsgrenzen hinweg stattfinden. Diese Segmentierungsstrategie in Kombination mit automatisierten Workflows und detaillierter Audit-Protokollierung ermöglicht es dem Unternehmen, interne Sicherheitsrichtlinien und regulatorische Erwartungen zu erfüllen, ohne die betriebliche Flexibilität zu beeinträchtigen.
Da sich die Bedrohungslandschaft weiterentwickelt und OT-Umgebungen weiterhin hochwertige Ziele darstellen, bietet diese Architektur eine zukunftssichere Grundlage für eine sichere, nachvollziehbare Dateiverarbeitung, unabhängig davon, woher die Dateien stammen.
Um zu erfahren, wie MetaDefender Managed File Transfer MFT) Ihrem Unternehmen dabei helfen kann, sichere und überprüfbare Datei-Uploads und -Übertragungen in segmentierten Umgebungen durchzusetzen, wenden Sie sich noch heute an einen Experten.
