无论这些文件是Word文档,报告和电子表格,还是运输通知和确认,个人都不断地将文件传输给其同事和贸易伙伴。大多数时候,人们只是认为这些文件传输是安全的。
但实际上,隐藏的风险比比皆是。
电子邮件传输可以使用不安全的纯文本。文件可以不加密。或者文件传输服务器可以暴露于Internet。而且,如果危及到业务关键的数据传输,您将遭受昂贵的停机时间,并使自己面临严重的安全漏洞和其他业务风险。
考虑到这一点,这里是您将遇到的一些主要风险以及您可以采取的措施。
1.纯文本FTP
FTP不是传输文件的安全方法。虽然它足以在您自己的内部网络上发送和接收非敏感文件,但它不提供加密,也不会保护通过Internet发送的文件。更糟糕的是,不仅文件没有被清除,而且用户凭据也没有清除,这意味着文件和登录信息都可能在传输过程中被盗。
解决方案:FTPS和SFTP
使用FTPS(带TLS加密的FTP)或SFTP(带SSH加密的FTP)来加密文件和传输文件的用户凭据。您还可以使用文件传输解决方案,该解决方案将添加的加密(例如OpenPGP)合并到FTP文件传输中。
2.不安全的纯文本电子邮件
大多数现代电子邮件服务器都支持TLS加密,以在传输过程中保护您的文件。但是,并非所有人都可以,如果不这样做,您的文件就不会被撬开。
解决方案:加密电子邮件服务器
仅使用支持最新TLS加密的电子邮件服务器。某些文件传输工具确实提供了安全的电子邮件机制。
3. DMZ中暴露给网络的服务器
一名核心安全租户将您的文件传输服务器与外部网络和威胁隔离开来。对于内部传输,从组织中的一个数据库或应用程序到组织内的另一数据库或应用程序,可以将所有传输包含在安全网络内。但是与外部贸易伙伴共享文件则是另一回事。某些B2B文件交换协议(例如AS2)要求您通过网络公开服务器。AS2消息的内容经过加密和签名,但是由于AS2是HTTP服务,因此您可能必须公开FTP服务器供您的贸易伙伴连接,以便他们可以交换文件。这样,您就使服务器面临风险。另一个选择是将服务器放置在DMZ内,这比将其放置在内部网络中安全性低。
解决方案:文件加密或反向代理网关
当使用AS2之类的协议时,请在防火墙中实施仅允许来自特定IP地址的连接的规则,以减轻暴露服务器的风险。然后,您可以安全地允许指定的白名单贸易伙伴进行连接。如果将服务器留在DMZ中,请在静止状态下加密文件。然后,如果有人穿透了DMZ,他们将无法查看文件的内容。或者,将服务器保留在内部网络中,并在DMZ中使用反向代理将连接转发到该服务器。
4.不安全脚本
如今,许多系统管理员使用脚本来自动化文件传输过程,例如FTP上载和下载。但是,此类FTP文件传输脚本可能不包括诸如加密之类的基本安全性。脚本通常以纯文本形式包含密码,这可能会损害其安全性。
解决方案:托管文件传输
托管文件传输解决方案为您提供了全面的安全功能以降低风险,其中包括通过Active Directory和加密集中的更安全的多因素身份验证。安全性是MFT优于文件传输自动化脚本的众多原因之一。
5.不安全的开源客户端
通常,作为开放源代码工具的一部分,可以免费使用SFTP客户端。这些SFTP工具提供了一种便宜的文件交换方式,使您可以通过加密和用户身份验证执行基本文件传输,并且每个服务器连接都可以进行无限制的文件传输并控制端口的使用。但是,这些免费工具通常缺少企业级安全功能,例如集成的密钥和安全管理器或可以保护数据并满足某些法规要求的文件夹级权限。而且,由于免费工具往往很少更新或根本没有更新,因此,如果用户忽视修补漏洞本身,就会使用户容易受到网络攻击。
解决方案:免费的企业级SFTP-是的,它确实存在
并非所有免费的SFTP解决方案都是一样的。确保选择一个托管文件传输解决方案,以提供全套功能丰富的企业级SFTP客户端功能。它应包括企业级安全功能,例如基于密钥,密码和双因素身份验证;综合安全经理;和文件夹级别的权限。
6.共享私钥
即使您具有SFTP服务器和强制公钥身份验证,您的文件传输仍可能并不完全安全。如果组织中的任何人都可以访问私钥,那么与不需要公钥身份验证相比,文件传输将得到更好的保护。
解决方案:安全证书管理
设置强制人们以安全方式存储私钥的过程。确保不与组织外部或组织内部的未授权用户共享密钥。此外,考虑一种可以为您处理安全证书管理的解决方案,该解决方案可以简化和集中生成,管理和存储证书的过程,并且仅对授权用户进行访问限制。
7.不安全的API
有时,文件传输解决方案可能会使用不安全的API。在这种情况下,数据可以广泛访问且不受保护,并且您放置的许多其他安全层可能会受到损害。
解决方案:需要身份验证才能访问API
检查您的API是否安全,并且只有具有足够权限的用户才能访问。确保所选文件传输工具中的API访问需要与更广泛的管理员访问相同的严格身份验证。
8.损坏的服务器系统
如果您有一台包含所有文件并执行所有文件传输的服务器,则可能会出现单点故障。如果磁盘驱动器发生故障并变得无法使用,则可能会丢失数据,从而对进程造成威胁。
解决方案:常规数据备份和同步
执行常规备份,并测试在出现问题时恢复系统的能力。此外,请确保您的文件传输解决方案提供了简化的机制,可将数据同步到您已经在企业中使用的数据存储。
9.处理文件传输的人员离开您的组织
如果设置文件传输解决方案的人离开了,而没有其他人了解您的传输流程,那么这些过程将变得无法使用。如果您的设置中包含多个临时文件传输工具以及一堆脚本,那么这将特别成问题。
解决方案:记录的流程和受支持的集中式解决方案
完整记录您的过程,以便您可以轻松地将必要的知识转移给其他人。此外,选择一个受良好支持,使用直观且易于维护的集中式系统-理想的情况是只需很少的编码。
10.保持开灯
IT经理面临的最大风险之一就是保持警惕。当出现问题时,他们可能很难找出解决问题的方法。
解决方案:选择具有出色支持的文件传输工具
确保您的解决方案得到了足够的支持,以便在出现问题时可以快速获得解决所需的帮助。
来发评论吧~