為何檔案傳輸是惡意軟體的主要入侵途徑

檔案傳輸惡意軟體風險，是指惡意或經武器化的內容透過例行檔案交換進入受信任環境，並導致其被執行、橫向移動或造成資料外洩的可能性。當傳入檔案在未經檢查或未實施強制釋放控制的情況下跨越信任邊界時，檔案傳輸惡意軟體風險便會增加。

營運層面的影響包括：勒索軟體的部署、透過載入程式傳遞竊取憑證、經由可信賴的合作夥伴導致的供應鏈遭入侵，以及分段網路之間的跨區域感染。IT 運維團隊必須將傳入的檔案視為不可信內容，直至完成檢查、淨化及政策驗證為止。

檔案傳輸往往能繞過端點偵測與回應（EDR）控制措施，因為檔案會直接存入伺服器、網路共用資料夾或自動化工作流程中，而無需經過使用者檢查。檔案傳輸自動化會透過服務帳戶、排程工作及整合功能來傳輸內容，這些過程不會觸發使用者層級的提示或審查。

批次匯入管道、資料夾上傳功能以及API整合機制，共同構成了跨域工作流程，使內容在抵達後立即被處理。若缺乏內嵌式檢查及隔離至釋放的管控機制，惡意檔案便可能在被偵測前就已擴散。

當檔案跨越信任邊界、進入具特權的系統、包含易受攻擊的檔案類型，且缺乏具備隔離控制功能的內嵌檢查時，該檔案傳輸路徑即屬高風險。若在傳輸前強制執行檢查、淨化處理、採用最低權限目錄，並確保政策結果具有確定性，則該檔案傳輸路徑的風險較低。

風險評分應考量：

• 跨越信任邊界（外部至內部、IT 至 OT、DMZ 至核心網路）
• 目標敏感度與系統權限
• 檔案類型的波動性與動態內容
• 交貨前檢驗及放行程序

攻擊者通常會利用 SFTP、FTPS、HTTPS 上傳入口、電子郵件附件、共享連結以及雲端同步路徑，來植入透過檔案傳播的惡意軟體。由於供應商、合作夥伴和內部團隊會使用相同的管道進行例行資料交換，因此檔案傳輸的入口點往往被視為值得信賴的業務管道。

透過濫用受信任的合作夥伴及常規自動化流程，惡意檔案在運作上會顯得與常規檔案無異。攻擊者會優先選擇那些能跨越信任邊界、並在未經檢查的情況下觸發下游處理流程的路徑。

當供應商或自動化整合系統在未進行內容檢查的情況下，將檔案直接存入內部目錄時，SFTP 檔案傳輸便會成為惡意軟體的傳播途徑。SFTP 的使用模式包括服務帳戶、排程上傳，以及後續的批次處理。

諸如密鑰過度擴散、憑證重複使用、目錄權限過寬以及缺乏內聯檢查等薄弱管控措施，會增加系統暴露於風險中的可能性。Secure 並不會驗證檔案的安全性。

當加密傳輸被誤認為是內容安全時，FTPS 傳輸便會淪為攻擊工具。FTPS 雖透過 TLS 保護傳輸中的資料，但並不會檢查檔案的內容。

運作上的陷阱包括憑證漂移、舊版客戶端設定，以及那些優先確保連線而非進行檢查的防火牆例外規則。若缺乏隔離與釋放管制機制，不安全的內容便會進入受信任的工作流程。

HTTPS 上傳入口會暴露對外開放的檔案提交介面，例如客戶入口網站、票務系統及註冊表單。HTTPS 雖能加密傳輸過程，但無法消除惡意檔案內容。 

Web 應用程式防火牆著重於請求模式和輸入驗證，而非深度檔案檢查。在上傳層進行的內嵌式檔案檢查，可防止不安全的檔案進入內部儲存空間。 

攻擊者利用嵌套壓縮檔、濫用巨集、漏洞鏈及偽造檔案類型等手法，將惡意軟體隱藏於常見的傳輸檔案類型中。透過將動態內容嵌入合法的商務檔案格式中，檔案型態的惡意軟體得以規避表面層次的檢查。

政策設計必須假設，所有跨越信任邊界的傳入檔案均需進行內容檢測。

ZIP 檔案與嵌套式壓縮檔透過深度遞迴、密碼保護及副檔名不符等機制，使簡單的掃描難以奏效。壓縮檔的遞迴結構將可執行內容隱藏在數層深處。

控制措施應強制執行壓縮檔層級限制、解壓縮政策、受密碼保護的壓縮檔處理規則，以及發布前的強制性檢查。

啟用巨集的 Office 文件會在使用者與文件互動時，透過觸發內嵌的腳本或連結的物件，來散佈勒索軟體和載入程式。Office 檔案格式支援在使用者執行環境下執行的動態內容。 

相關政策應採用「白名單優先」的管控機制、巨集限制，以及「內容無害化與重建」技術，以移除具活動性的元素，同時維持系統的可用性。 

PDF 檔案並非天生安全，因為 PDF 文件可能嵌入腳本、連結，以及針對閱讀器漏洞的攻擊載荷。以 PDF 為載體的攻擊通常偽裝成發票、合約或報告。 

對於跨越信任邊界的傳入 PDF 檔案，必須進行檢查與消毒，以移除主動式內容並驗證結構。 

SFTP、FTPS 和 HTTPS 在傳輸加密與驗證模型上有所不同，但並不會本質上降低檔案內容的風險。Secure 僅保護通訊通道，而非資料內容。

除非在將資料傳送至受信任系統之前進行檢查、清理及執行政策，否則惡意軟體的風險將持續存在。

Secure 透過加密資料並防止憑證遭攔截，以確保傳輸過程中的機密性與完整性。Secure 可降低中間人攻擊及被動監控的風險。 

Secure 無法偵測惡意內容、檔案解析器中的零日漏洞，或嵌入檔案中的政策違規行為。

當未進行檢查且明文可用的情況下，加密傳輸會降低網路層的可見性。若未經受控終止，網路偵測工具便無法分析加密載荷。 

檢查應在終端點、閘道器或受管檔案傳輸層進行，在此處檔案會在釋出前經過解密、檢查、淨化及重新加密。 

一種在傳送前掃描所有傳入檔案的最佳實踐架構，需要將內嵌式檢查及「隔離至釋放」的工作流程整合至檔案傳輸路徑中。檔案檢查必須作為政策執行的關鍵節點，而非可選的附加功能。

IT 運維團隊應將檢查工作流程與 DMZ 配置、分段網路以及跨區域傳輸進行對應。

「隔離至釋放」工作流程會將檔案暫存於隔離儲存區，執行檢查與清理，做出政策決策，並將經核准的檔案釋放至預定目的地。 

工作流程階段包括接收、隔離、檢查、清理或觸發、批准或阻擋，以及交付。透過自動化、重試邏輯及完善的失敗處理機制，可在不犧牲安全性的前提下維持服務水準。 

在 DMZ 中的檔案檢查應在檔案從低信任度的外部網路傳輸至高信任度的內部區域之前進行。基於 DMZ 的受管檔案傳輸平台或安全閘道可作為受控的檢查層。

為落實信任邊界決策，在對內部系統進行寫入存取之前，必須先進行檢查。

「直接分享」與「直接傳送至應用程式」的傳輸方式，會讓進來的檔案在經過檢查前便能執行或傳播，從而擴大影響範圍。若直接寫入內部 NAS、暫存資料夾或應用程式目錄，則會增加系統暴露於風險的機會。

經中介的傳輸模式需在取得成功的檢查結果後，才會授予對內部目標的寫入權限。

除了加密之外，能降低檔案傳輸惡意軟體風險的安全控制措施還包括：檔案類型驗證、多重掃描、CDR（內容無害化與重建）、沙箱分析，以及資料外洩防護。加密可保護傳輸過程的安全，而內容安全控制措施則能驗證並中和惡意載荷。

控制選項應反映來源的可信度、目標的敏感程度以及檔案類型的變動性。

檔案類型白名單與內容驗證機制可防止可執行檔及高風險格式進入敏感環境。以白名單為優先的政策會執行嚴格的副檔名與內容類型驗證。

業務例外情況應屬暫時性，並應予以審查及記錄，以避免出現永久性的政策漏洞。

Multiscanning 透過使用多個反惡意軟體引擎來分析同一個檔案，Multiscanning 偵測效能並減少單一引擎的偵測盲點。共識掃描則能提高檔案傳輸時判定結果的準確性。 

運作設計應明確定義多引擎判定閾值、誤報分流流程，以及針對有爭議結果的升級處理流程。 

「內容無害化與重建」功能會從文件中移除主動式內容，並重建安全的版本以供傳送。此功能在降低零日漏洞與漏洞利用風險的同時，亦能維持文件的可用性。 

當業務流程需要快速處理且降低執行風險時，大規模文件交換將因資料淨化而受益。 

沙箱技術透過在受控環境中分析檔案行為，以偵測未知或針對性惡意軟體。相較於靜態簽名，Sandbox 能提供更全面的行為指標。 

Sandbox 與規避技術需要明確的延遲釋放處理機制，以確保在不進行不安全釋放的情況下維持服務水準。 

Proactive DLP 針對傳輸中的檔案Proactive DLP 資料分類政策，以防止個人識別資訊 (PII)、個人健康資訊 (PHI)、支付卡產業 (PCI) 資料或受監管資料外洩。Proactive DLP 檔案傳輸治理Proactive DLP 監管要求。 

DLP 政策應與供應商交換機制、受監管記錄及跨境資料傳輸相互對應，以確保政策結果具有確定性。 

要在分段網路及 IT 與 OT 邊界之間確保檔案傳輸的安全，必須在每個信任邊界交界處實施強制性的檢查與治理。網路分段會增加對檔案傳輸作為區域間例外路徑的依賴。

檢驗、檢疫及受控釋放可防止跨區域污染，並維持運作可靠性。

從低信任區域傳輸至高信任區域的檔案，必須明確驗證發送者身分、允許的檔案類型、檢查結果以及授權收件人。信任邊界政策必須明確定義誰可以發送、可以發送什麼，以及檔案可以傳送至何處。

「最小權限」目錄與「交付前檢查」控制措施，可確保邊界決策得以落實。

在 IT 與 OT 邊界進行檔案傳輸時，必須避免未受控的雙向連通性或共用目錄。不受限制的共用會於企業網路與營運技術網路之間建立持久的後門。

透過受控傳輸中介模式、必要時採用單向工作流程，以及明確的釋放閘門，既能維持隔離，又能實現必要的資料交換。

要證明檔案傳輸已通過驗證，必須對檢查、政策執行及釋出決策進行全面的記錄。相關證據必須能同時支援稽核審查與事件應變。

日誌應能顯示每個跨越信任邊界的檔案之確定性控制執行過程。

用於惡意軟體防禦的MFT 日誌必須包含使用者或系統身分、來源與目標端點、時間戳記、所使用的通訊協定、檔案雜湊值（例如 SHA-256）、政策決策以及檢查結果。 

詳盡的日誌記錄有助於在發生疑似檔案傳播事件後，採取隔離措施並進行取證範圍界定。 

掃描與清理記錄應包含引擎版本、各引擎的檢測結果、內容無害化與重建措施、沙箱指標，以及最終處置方式。 

可重現的記錄與具備完整性保護的日誌，能強化其在稽核與調查過程中的證據效力。

一份針對供應商資料交換及受監管產業的受管文件傳輸安全檢查清單，提供了一種與架構相符的方法，用以評估並降低文件傳輸中的惡意軟體風險。該檢查清單應評估政策、工作流程、檢查點設置以及證據擷取。

供應商檔案交換管控措施應將合作夥伴入駐流程、身分驗證、限時存取權限、金鑰與憑證管理，以及最小權限原則的目錄進行標準化。供應商工作流程必須包含隔離、內聯檢查，以及對內部目標的受控傳輸。

一貫的執行措施可降低可信夥伴濫用及自動化規避的風險。

可減少勒索軟體傳播的管控措施包括：封鎖高風險檔案類型、對傳入文件進行清理、隔離傳入的暫存區，以及限制服務帳戶的權限。透過監控異常的檔案流量或反覆違反政策的情況，即可識別出暫存攻擊的企圖。

分階段實施與媒介化傳遞可降低影響範圍。

MetaDefender File Transfer™ 是OPSWAT託管檔案傳輸 (MFT) 解決方案，旨在實現 IT 與 OT 環境間符合安全規範且受政策約束的檔案交換。MetaDefender File Transfer™ 將內嵌式檔案檢查、多重掃描、Deep CDR™ 技術、Proactive DLP、AI 增強型沙箱分析、加密以及集中式治理直接整合至傳輸工作流程中，以支援受控釋放、符合稽核要求的證據，以及跨邊界防護。