保護隔離作業環境中的檔案傳輸安全
公用事業部門持續面臨持續性的網路威脅,包括有針對性的惡意軟體、贖金軟體和零時差攻擊,尤其是在 OT (作業技術) 系統必須從外部來源擷取資料的地方。根據IBM 的 X-ForceThreat Intelligence Index,能源公用事業是 2024 年第四大受攻擊的產業。
隨著公用事業營運日益數位化,處理外部檔案 (例如診斷報告、修補檔案和系統更新) 而不暴露內部資產已成為核心需求。這些傳輸通常會涉及第三方廠商和可攜式媒體,例如USB 磁碟機,如果控制不當,會有惡意軟體入侵和違反法規的高風險。
為降低這些風險,該公司採用了分段式架構,使檔案傳輸流程完全封閉於各自的信任區域內。MetaDefender Managed File Transfer MFT)MFTMetaDefender Core 分別部署於低安全等級(對外)與高安全等級(內部)環境。各環境獨立運作,區域間無直接連通性。檔案現依據區域專屬安全政策進行掃描與處理,確保外部提交的檔案不會繞過內部防護機制。
內、外部上傳檔案都必須符合公司資安政策
公司的作業流程需要從內部工程團隊和外部承包商安全地接收檔案。這些檔案可能包括系統診斷、修補程式套件或更新有效載荷,這些檔案必須導入受保護的 OT 環境,而不會危害內部系統。
在採用MetaDefender 解決方案之前,這些傳輸通常依賴手動程序和臨時工具,包括共用磁碟機、不安全的檔案傳輸和實體媒體交接。特別是USB傳輸,缺乏標準化的掃描程序,造成惡意軟體入侵和政策執行不一致的風險。
為解決此問題,該組織在低安全級別與高安全級別環境中部署MetaDefender Managed File Transfer MFT)MetaDefender Core 引擎。所有檔案提交——無論是MetaDefender Kiosk USB 提交Kiosk Managed File Transfer MFT)驗證的網頁介面(WebGUI)提交——均在各自區域內獨立處理,並USB 網路來源檔案實施策略強制上傳機制。
MetaDefender Kiosk提供上傳檔案的中繼站,可在可攜式多媒體進入網路前進行掃描,而網頁式上傳則限制由透過本機管理帳戶的認證使用者進行。所有檔案都會根據特定區域的規則進行掃描,包括使用MetaDefender Core 進行內容標籤和深度威脅檢查。這可確保安全地處理提交的檔案,而不會暴露於跨區的共用基礎架構。
此架構可讓公司在低安全性與高安全性網路之間維持完全的作業分離,同時仍允許在需要時上傳檔案。它還能確保所有上傳、使用者動作和政策決策的完整稽核記錄和可追蹤性,使內部政策得以一致執行,並有助於滿足稽核和合規要求。
OPSWAT解決方案:分段環境中的MetaDefender Managed File Transfer MFT)
該公司經評估後,選定Managed File Transfer MFT)解決方案,以滿足其在分段式網路環境中安全運作的檔案傳輸技術需求。核心要求在於確保無論內部使用者或外部供應商,皆能在各環境內進行安全檔案上傳,同時嚴格維持低安全區域與高安全區域之間的隔離。
該解決方案部署為兩個完全獨立的環境。MetaDefender Managed File Transfer MFT)Core 有一套Core 於低安全區域Core 獨立實例Core 高安全區域。每個實例皆自主運作,對所有傳入檔案執行各自的安全政策與掃描工作流程。
MetaDefender Kiosks 安裝在關鍵上傳點,以達成USB 媒體的安全傳輸。這些 Kiosks 可以作為受控制的上傳站,允許使用者掃描和提交檔案,而無需直接存取內部網路。此外,也支援網頁式上傳,使用者可透過本機管理的帳號進行驗證。這可確保安全提交,而不會暴露內部目錄服務。
透過在每個環境中強制執行分割、政策控制的檔案工作流程和分層威脅偵測,該公司建立了一套安全且可稽核的流程,以處理外部和內部檔案。檔案不會在區域之間傳輸,因此不會跨越信任邊界,同時仍可在需要的地方進行作業檔案傳送。
OPSWAT Technologies 提供的 3 項主要功能
檔案掃描
所有透過MetaDefender Kiosk MetaDefender Managed File Transfer MFT) WebGUI 提交的檔案,均需經過多層次威脅偵測。檔案將在接收環境中使用 MetaDefender Core進行掃描,該系統同時採用簽名式與行為式分析技術,以識別並攔截已知及未知威脅。掃描政策亦能識別敏感檔案類型(如國家利益相關內容),確保在法規框架下進行適當處理。
特定區域驗證
外部使用者透過MetaDefender Managed File Transfer MFT) WebGUI 提交檔案,使用各環境內獨立管理的本地帳戶。此機制透過本地使用者驗證實現零信任存取控制,無需整合 Active Directory。所有使用者操作皆會產生稽核記錄,完整歸屬至特定身分,支援責任歸屬與可追溯性。
自動檔案路由
核准的檔案會根據政策自動傳送至每個區域內的預先定義儲存位置 (例如指定的 SMB 共用),減少手動處理的風險,並確保傳送路徑受到控制。這可減少人工工作、消除人為錯誤的風險,並確保只有經過審核的檔案才會傳送至作業環境。所有傳輸都會記錄起來,有任何預期外的訊號抵觸公司的資安政策,都會採取行動。
這些控制措施可讓公司在安全區間維持嚴格的隔離,同時仍能在一致的管理下進行作業檔案上傳和處理。
透過分段、政策驅動的檔案上傳建立彈性
透過採用分層式、政策控制的檔案傳輸方法,該公司大幅降低了檔案傳播威脅的風險,同時在信任區域之間維持嚴格的運作邊界。無論檔案是來自於Kiosk 掃描USB Kiosk MetaDefender Managed File Transfer MFT)網頁圖形介面提交Core 深度內容檢查。
每個區域獨立處理檔案,確保不會發生跨越安全邊界的檔案移動。此分離策略結合自動化工作流程,和詳細的稽核記錄,可讓組織在不影響作業彈性的情況下,滿足內部安全政策和法規期望。
隨著威脅形勢的演變,OT 環境仍然是高價值的目標。無論檔案源自何處,這個架構為安全、可追蹤的檔案處理提供了面向未來的基礎。
若要瞭解MetaDefender Managed File Transfer MFT)如何協助貴組織在分段式環境中實施安全且可稽核的檔案上傳與傳輸,請立即聯繫專家。
