Vì sao việc truyền tải tập tin là điểm xâm nhập hàng đầu của phần mềm độc hại?

Rủi ro từ phần mềm độc hại trong quá trình truyền tệp là khả năng nội dung độc hại hoặc được thiết kế để tấn công xâm nhập vào một môi trường đáng tin cậy thông qua việc trao đổi tệp thông thường, từ đó cho phép thực thi mã độc, di chuyển ngang hoặc làm lộ dữ liệu. Rủi ro này gia tăng khi các tệp đến vượt qua ranh giới tin cậy mà không qua kiểm tra hoặc không có các biện pháp kiểm soát phát hành được áp dụng.

Tác động đến hoạt động bao gồm việc chuẩn bị cho các cuộc tấn công ransomware, đánh cắp thông tin đăng nhập thông qua việc phân phối các mô đun tải, xâm nhập chuỗi cung ứng thông qua các đối tác đáng tin cậy, và lây lan chéo giữa các mạng được phân đoạn. Các đội ngũ vận hành CNTT phải coi các tệp tin đến là nội dung không đáng tin cậy cho đến khi hoàn tất quá trình kiểm tra, làm sạch và xác thực chính sách.

Việc truyền tệp thường lách qua các biện pháp kiểm soát phát hiện và phản ứng tại điểm cuối vì các tệp được chuyển trực tiếp lên máy chủ, thư mục chia sẻ mạng hoặc các quy trình làm việc tự động mà không qua kiểm tra của người dùng. Tự động hóa truyền tệp chuyển nội dung thông qua các tài khoản dịch vụ, tác vụ được lên lịch và các tích hợp mà không kích hoạt các thông báo hoặc yêu cầu xem xét ở cấp độ người dùng.

Các đường ống nhập dữ liệu theo lô, thư mục gửi và các tích hợp API tạo ra các quy trình làm việc xuyên nền tảng, trong đó nội dung được xử lý ngay sau khi nhận được. Nếu thiếu các biện pháp kiểm tra trực tiếp và các cơ chế kiểm soát từ cách ly đến phát hành, các tệp độc hại có thể lây lan trước khi bị phát hiện.

Một lộ trình truyền tệp được coi là có rủi ro cao khi tệp đó vượt qua ranh giới tin cậy, được tải lên một hệ thống có đặc quyền, chứa các loại tệp dễ gây nguy hiểm và thiếu cơ chế kiểm tra trực tiếp kèm theo các biện pháp cách ly. Ngược lại, rủi ro của lộ trình truyền tệp sẽ thấp hơn khi các biện pháp kiểm tra, làm sạch dữ liệu, sử dụng các thư mục có mức đặc quyền tối thiểu và áp dụng các chính sách có kết quả xác định được thực thi trước khi tệp được chuyển đến đích.

Việc đánh giá rủi ro cần xem xét:

• Vượt qua ranh giới tin cậy (từ bên ngoài vào bên trong, từ CNTT sang OT, từ DMZ sang mạng lõi)
• Độ nhạy của đích và đặc quyền hệ thống
• Sự biến động của loại tệp và nội dung động
• Việc kiểm tra trước khi giao hàng và kiểm soát cửa xả

Các kẻ tấn công thường lợi dụng các cổng tải lên SFTP, FTPS, HTTPS, tệp đính kèm email, liên kết chia sẻ và các đường dẫn đồng bộ hóa đám mây để lây lan phần mềm độc hại qua tệp tin. Các điểm xâm nhập qua truyền tệp thường được coi là an toàn vì các nhà cung cấp, đối tác và các nhóm nội bộ đều sử dụng các kênh này để trao đổi dữ liệu thường xuyên.

Việc lạm dụng mối quan hệ đối tác đáng tin cậy và tự động hóa quy trình thường xuyên khiến các tệp độc hại trông có vẻ hoạt động bình thường. Kẻ tấn công ưu tiên các đường dẫn vượt qua ranh giới tin cậy và kích hoạt các quy trình xử lý tiếp theo mà không qua kiểm tra.

Việc trao đổi tệp qua SFTP có thể trở thành con đường lây lan phần mềm độc hại khi các nhà cung cấp hoặc các hệ thống tích hợp tự động tải tệp trực tiếp vào các thư mục nội bộ mà không kiểm tra nội dung. Các mô hình sử dụng SFTP bao gồm tài khoản dịch vụ, việc tải tệp theo lịch trình và xử lý hàng loạt ở giai đoạn sau.

Các biện pháp kiểm soát lỏng lẻo như việc sử dụng quá nhiều khóa, tái sử dụng thông tin đăng nhập, quyền truy cập thư mục quá rộng và thiếu cơ chế kiểm tra trực tiếp làm gia tăng rủi ro. Secure không đảm bảo tính an toàn của tệp tin.

Việc truyền tải qua FTPS có thể trở thành công cụ tấn công khi người ta nhầm lẫn giữa việc mã hóa kênh truyền tải với việc bảo mật nội dung. FTPS bảo vệ dữ liệu trong quá trình truyền tải bằng giao thức TLS nhưng không kiểm tra nội dung của tệp.

Các rủi ro trong quá trình vận hành bao gồm sự thay đổi chứng chỉ, các cấu hình khách hàng cũ và các ngoại lệ tường lửa ưu tiên kết nối hơn là việc kiểm tra. Nếu không có cơ chế cách ly và kiểm soát việc giải phóng, nội dung không an toàn sẽ xâm nhập vào các quy trình làm việc đáng tin cậy.

Các cổng tải lên HTTPS cung cấp các giao diện gửi tệp công khai như cổng thông tin khách hàng, hệ thống quản lý vé và biểu mẫu đăng ký. HTTPS mã hóa dữ liệu truyền tải nhưng không loại bỏ được nội dung tệp độc hại. 

Tường lửa ứng dụng web tập trung vào các mẫu yêu cầu và việc xác thực đầu vào thay vì kiểm tra sâu nội dung tệp. Việc kiểm tra tệp trực tiếp tại lớp tải lên giúp ngăn chặn các tệp không an toàn xâm nhập vào hệ thống lưu trữ nội bộ. 

Các kẻ tấn công giấu phần mềm độc hại trong các định dạng tệp thường được chia sẻ bằng cách sử dụng các tệp nén lồng nhau, lạm dụng macro, chuỗi lỗ hổng và giả mạo định dạng tệp. Phần mềm độc hại lây lan qua tệp có thể lách qua các kiểm tra sơ bộ bằng cách nhúng nội dung hoạt động vào bên trong các định dạng tệp hợp pháp được sử dụng trong doanh nghiệp.

Việc thiết kế chính sách phải dựa trên giả định rằng cần phải thực hiện phát hiện dựa trên nội dung đối với tất cả các tệp tin đến vượt qua ranh giới tin cậy.

Các tệp ZIP và kho lưu trữ lồng nhau có thể đánh lừa các công cụ quét đơn giản nhờ cơ chế lồng nhau sâu, bảo vệ bằng mật khẩu và sự không khớp về phần mở rộng. Cơ chế lồng nhau của kho lưu trữ giúp ẩn nội dung thực thi ở nhiều lớp sâu bên trong.

Các biện pháp kiểm soát cần đảm bảo tuân thủ các giới hạn về độ sâu của tệp lưu trữ, chính sách giải nén, quy tắc xử lý tệp lưu trữ có mật khẩu, cũng như việc kiểm tra bắt buộc trước khi phát hành.

Các tài liệu Office hỗ trợ macro phát tánphần mềm tống tiềnvà các trình tải bằng cách kích hoạt các tập lệnh nhúng hoặc các đối tượng được liên kết trong quá trình tương tác với tài liệu. Các định dạng tệp Office hỗ trợ nội dung động được thực thi trong bối cảnh người dùng. 

Các chính sách nên áp dụng các biện pháp kiểm soát theo nguyên tắc "danh sách cho phép trước", hạn chế macro và cơ chế "Content Disarm and Reconstruction" (CDR) để loại bỏ các thành phần hoạt động đồng thời vẫn đảm bảo tính thân thiện với người dùng. 

Các tệp PDF không phải lúc nào cũng an toàn vì các tài liệu PDF có thể chứa các đoạn mã, liên kết và mã độc nhằm khai thác các lỗ hổng bảo mật của trình đọc. Các cuộc tấn công thông qua tệp PDF thường được ngụy trang dưới dạng hóa đơn, hợp đồng hoặc báo cáo. 

Các tệp PDF nhập vào vượt qua ranh giới tin cậy phải được kiểm tra và khử trùng để loại bỏ nội dung hoạt động và xác thực cấu trúc. 

SFTP, FTPS và HTTPS khác nhau về mô hình mã hóa và xác thực trong quá trình truyền tải, nhưng bản thân chúng không làm giảm rủi ro liên quan đến nội dung tệp. Secure bảo vệ kênh truyền thông, chứ không phải dữ liệu được truyền.

Rủi ro từ phần mềm độc hại vẫn tồn tại trừ khi tiến hành kiểm tra, khử trùng và thực thi chính sách trước khi đưa vào các hệ thống đáng tin cậy.

Secure bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu trong quá trình truyền tải bằng cách mã hóa dữ liệu và bảo vệ thông tin đăng nhập khỏi bị đánh cắp. Secure giúp giảm thiểu rủi ro tấn công man-in-the-middle và giám sát thụ động. 

Secure không phát hiện được nội dung độc hại, các lỗ hổng zero-day trong trình phân tích tệp hoặc các vi phạm chính sách được nhúng trong tệp.

Việc truyền tải dữ liệu được mã hóa làm giảm khả năng hiển thị ở lớp mạng khi không có quá trình kiểm tra tại nơi có sẵn văn bản thuần túy. Các công cụ phát hiện mạng không thể phân tích các gói dữ liệu được mã hóa nếu không có điểm kết thúc được kiểm soát. 

Việc kiểm tra nên được thực hiện tại các điểm cuối, cổng kết nối hoặc các lớp truyền tệp được quản lý, nơi các tệp được giải mã, kiểm tra, làm sạch và mã hóa lại trước khi được phát hành. 

Một kiến trúc tiêu chuẩn tốt nhất để quét tất cả các tệp đến trước khi chuyển giao đòi hỏi phải tích hợp quy trình kiểm tra trực tiếp và quy trình cách ly-giải phóng vào các đường dẫn truyền tệp. Việc kiểm tra tệp phải đóng vai trò là điểm thực thi chính sách, chứ không phải là một tính năng bổ sung tùy chọn.

Các đội ngũ vận hành CNTT nên lập bản đồ các quy trình kiểm tra để phù hợp với vị trí của DMZ, các mạng được phân đoạn và việc truyền dữ liệu giữa các vùng.

Quy trình làm việc từ cách ly đến giải phóng sẽ tạm lưu các tệp trong kho lưu trữ cách ly, tiến hành kiểm tra và làm sạch dữ liệu, đưa ra quyết định dựa trên chính sách, và giải phóng các tệp đã được phê duyệt đến đích dự định. 

Các giai đoạn của quy trình làm việc bao gồm: tiếp nhận, cách ly, kiểm tra, khử trùng hoặc kích nổ, phê duyệt hoặc từ chối, và giao hàng. Tự động hóa, cơ chế thử lại và xử lý lỗi hiệu quả giúp duy trì chất lượng dịch vụ mà không làm suy giảm các biện pháp bảo mật. 

Việc kiểm tra tệp tin trong vùng DMZ cần được thực hiện trước khi các tệp tin được chuyển từ các mạng bên ngoài có mức độ tin cậy thấp sang các vùng nội bộ có mức độ tin cậy cao. Các nền tảng truyền tệp tin được quản lý dựa trên DMZ hoặc các cổng an toàn đóng vai trò như các lớp kiểm tra có kiểm soát.

Việc kiểm tra phải được thực hiện trước khi cấp quyền ghi vào các hệ thống nội bộ nhằm đảm bảo tuân thủ các quyết định về ranh giới tin cậy.

Việc phân phối trực tiếp đến thư mục chia sẻ và ứng dụng làm gia tăng phạm vi ảnh hưởng do cho phép các tệp tin nhận được được thực thi hoặc lan truyền trước khi được kiểm tra. Việc ghi trực tiếp vào NAS nội bộ, thư mục lưu trữ hoặc thư mục ứng dụng làm gia tăng nguy cơ rò rỉ thông tin.

Các mô hình phân phối qua trung gian yêu cầu phải có kết quả kiểm tra thành công trước khi cấp quyền ghi cho các mục tiêu nội bộ.

Các biện pháp kiểm soát an ninh giúp giảm thiểu rủi ro phần mềm độc hại trong quá trình truyền tệp ngoài việc mã hóa bao gồm xác thực loại tệp, quét đa lớp, CDR (Content Disarm and Reconstruction), phân tích trong môi trường cách ly và ngăn chặn mất mát dữ liệu. Mã hóa quá trình truyền tải, trong khi các biện pháp kiểm soát an ninh nội dung xác thực và vô hiệu hóa các tải trọng độc hại.

Việc lựa chọn biện pháp kiểm soát cần phản ánh mức độ tin cậy của nguồn, mức độ nhạy cảm của đích và mức độ biến động của loại tệp.

Danh sách cho phép các loại tệp và quy trình xác thực nội dung giúp ngăn chặn các định dạng tệp thực thi và có rủi ro cao xâm nhập vào các môi trường nhạy cảm. Các chính sách ưu tiên danh sách cho phép thực thi việc xác minh nghiêm ngặt về phần mở rộng và loại nội dung.

Các trường hợp ngoại lệ trong hoạt động kinh doanh nên chỉ mang tính tạm thời, cần được rà soát và ghi chép lại để tránh những lỗ hổng chính sách lâu dài.

Multiscanning hiệu quả phát hiện bằng cách sử dụng nhiều động cơ chống phần mềm độc hại để phân tích cùng một tệp, từ đó giảm thiểu các điểm mù do chỉ sử dụng một động cơ duy nhất. Chức năng quét đồng thuận giúp tăng độ tin cậy cho kết quả đánh giá khi chuyển tệp. 

Thiết kế vận hành cần xác định các ngưỡng quyết định đối với hệ thống đa động cơ, quy trình phân loại các trường hợp dương tính giả, cũng như quy trình xử lý nâng cấp đối với các kết quả có tranh cãi. 

Tính năng Loại bỏ và Tái cấu trúc Nội dung sẽ loại bỏ các nội dung hoạt động khỏi tài liệu và tạo lại các phiên bản an toàn để phân phối. Tính năng này giúp giảm thiểu rủi ro từ các lỗ hổng zero-day và các cuộc tấn công khai thác lỗ hổng, đồng thời vẫn đảm bảo tính tiện dụng của tài liệu. 

Việc trao đổi tài liệu với khối lượng lớn sẽ mang lại lợi ích từ việc làm sạch dữ liệu khi các quy trình kinh doanh đòi hỏi thời gian xử lý nhanh chóng và giảm thiểu rủi ro thực thi. 

Phương pháp Sandboxing phân tích hành vi của tệp trong môi trường được kiểm soátđể phát hiện phần mềm độc hại chưa biết hoặc được nhắm mục tiêu. Sandbox cung cấp các chỉ số hành vi vượt ra ngoài các chữ ký tĩnh. 

Sandbox và các kỹ thuật né tránh đòi hỏi phải có cơ chế xử lý việc phát hành chậm được quy định rõ ràng để duy trì mức độ dịch vụ mà không gây ra các rủi ro an ninh. 

Proactive DLP các chính sách phân loại dữ liệu đối với các tệp đang được truyền tải nhằm ngăn chặn rò rỉ thông tin cá nhân (PII), thông tin y tế cá nhân (PHI), thông tin thẻ thanh toán (PCI) hoặc dữ liệu thuộc diện quản lý. Proactive DLP việc quản lý việc truyền tệp tuân thủ các yêu cầu pháp lý. 

Các chính sách DLP cần được liên kết với các nền tảng trao đổi của nhà cung cấp, các hồ sơ được quy định và các hoạt động chuyển giao dữ liệu xuyên biên giới nhằm đảm bảo các kết quả chính sách được thực thi một cách nhất quán. 

Để đảm bảo an toàn cho việc truyền tệp qua các mạng được phân đoạn và ranh giới giữa CNTT và OT, cần phải thực hiện kiểm tra và quản trị bắt buộc tại mọi điểm giao cắt ranh giới tin cậy. Việc phân đoạn mạng làm gia tăng sự phụ thuộc vào việc di chuyển tệp như một phương án ngoại lệ giữa các vùng.

Việc kiểm tra, kiểm dịch và thả hàng có kiểm soát giúp ngăn ngừa ô nhiễm chéo giữa các khu vực và duy trì độ tin cậy trong hoạt động.

Các tệp được chuyển từ vùng có mức độ tin cậy thấp sang vùng có mức độ tin cậy cao phải được xác minh rõ ràng về danh tính người gửi, các loại tệp được phép, kết quả kiểm tra và người nhận được ủy quyền. Các chính sách về ranh giới tin cậy phải quy định rõ ai được phép gửi, nội dung được phép gửi và nơi các tệp có thể được lưu trữ.

Các thư mục áp dụng nguyên tắc "quyền truy cập tối thiểu" và các biện pháp kiểm tra trước khi chuyển giao giúp đảm bảo việc tuân thủ các quy định về ranh giới.

Việc di chuyển tệp tại ranh giới giữa CNTT và OT phải tránh kết nối hai chiều không được kiểm soát hoặc các thư mục chia sẻ. Các thư mục chia sẻ không bị hạn chế sẽ tạo ra các lỗ hổng bảo mật lâu dài giữa mạng CNTT và mạng công nghệ vận hành.

Các mô hình trung gian chuyển giao có kiểm soát, quy trình làm việc một chiều khi cần thiết và các điểm kiểm soát phát hành rõ ràng giúp duy trì sự tách biệt đồng thời vẫn đảm bảo các hoạt động trao đổi cần thiết.

Để chứng minh rằng các giao dịch truyền tệp đã được xác minh, cần phải ghi nhật ký đầy đủ về quá trình kiểm tra, việc thực thi chính sách và các quyết định cho phép. Các bằng chứng phải đủ cơ sở để phục vụ cả công tác kiểm toán và ứng phó sự cố.

Các bản ghi phải thể hiện quá trình thực thi kiểm soát theo quy luật xác định đối với mọi tệp vượt qua ranh giới tin cậy.

Nhật ký MFT cho chức năng phòng chống phần mềm độc hại phải bao gồm thông tin nhận dạng người dùng hoặc hệ thống, các điểm cuối nguồn và đích, dấu thời gian, giao thức được sử dụng, các giá trị băm tệp như SHA-256, các quyết định chính sách và kết quả kiểm tra. 

Các bản ghi chi tiết hỗ trợ các biện pháp cách ly và xác định phạm vi điều tra sau khi phát hiện các sự cố nghi ngờ liên quan đến tệp tin. 

Hồ sơ quét và khử trùng phải bao gồm các phiên bản động cơ, kết quả cho từng động cơ, các hành động vô hiệu hóa nội dung và tái cấu trúc, các chỉ số hộp cát, cũng như kết quả xử lý cuối cùng. 

Các bản ghi có thể tái tạo và nhật ký được bảo vệ tính toàn vẹn giúp tăng cường giá trị chứng cứ trong các cuộc kiểm toán và điều tra.

Danh sách kiểm tra an ninh cho việc truyền tệp được quản lý trong các giao dịch với nhà cung cấp và các ngành chịu sự quản lý cung cấp một phương pháp phù hợp với kiến trúc hệ thống nhằm đánh giá và giảm thiểu rủi ro phần mềm độc hại trong quá trình truyền tệp. Danh sách kiểm tra này cần đánh giá các yếu tố bao gồm chính sách, quy trình làm việc, vị trí triển khai cơ chế kiểm tra và việc thu thập bằng chứng.

Các biện pháp kiểm soát trao đổi tệp với nhà cung cấp cần tiêu chuẩn hóa quy trình tiếp nhận đối tác, xác minh danh tính, cấp quyền truy cập có thời hạn, quản lý khóa và chứng chỉ, cũng như các thư mục áp dụng nguyên tắc "quyền truy cập tối thiểu". Các quy trình làm việc với nhà cung cấp phải bao gồm các bước cách ly, kiểm tra trực tiếp và phân phối có kiểm soát đến các đích nội bộ.

Việc thực thi nhất quán giúp giảm thiểu nguy cơ lạm dụng từ các đối tác đáng tin cậy và nguy cơ vượt qua các biện pháp tự động hóa.

Các biện pháp kiểm soát nhằm hạn chế sự lây lan của ransomware bao gồm chặn các loại tệp có rủi ro cao, khử trùng tài liệu đến, cách ly các khu vực tạm lưu tài liệu đến và hạn chế quyền truy cập của tài khoản dịch vụ. Việc theo dõi khối lượng tệp bất thường hoặc các vi phạm chính sách lặp đi lặp lại sẽ giúp phát hiện các nỗ lực lây lan.

Việc phân giai đoạn riêng biệt và phương pháp đưa thuốc qua trung gian giúp giảm bán kính tác động.

MetaDefender File Transfer™ là giải pháp truyền tệp được quản lý (MFT) OPSWAT, giúp trao đổi tệp an toàn và tuân thủ chính sách trong các môi trường CNTT và OT. MetaDefender File Transfer™ tích hợp trực tiếp các tính năng kiểm tra tệp theo thời gian thực, quét đa lớp, Công nghệ Deep CDR™, Proactive DLP, phân tích hộp cát được tăng cường bằng AI, mã hóa và quản trị tập trung vào quy trình chuyển tệp để hỗ trợ việc phát hành có kiểm soát, bằng chứng sẵn sàng cho kiểm toán và bảo vệ xuyên biên giới.