Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Por qué las transferencias de archivos son uno de los principales puntos de entrada del malware

Por OPSWAT
Comparte esta publicación

Qué implica el riesgo de malware en la transferencia de archivos para las empresas

El riesgo de malware en la transferencia de archivos es la probabilidad de que contenido malicioso o utilizado con fines maliciosos penetre en un entorno de confianza a través del intercambio rutinario de archivos y permita su ejecución, el movimiento lateral o la filtración de datos. Este riesgo aumenta cuando los archivos entrantes cruzan los límites de confianza sin ser inspeccionados o sin que se apliquen controles de acceso.

Las repercusiones operativas incluyen la preparación de ataques de ransomware, el robo de credenciales mediante la distribución de programas de carga, el compromiso de la cadena de suministro a través de socios de confianza y la propagación entre zonas de redes segmentadas. Los equipos de operaciones de TI deben tratar los archivos entrantes como contenido no fiable hasta que se hayan llevado a cabo la inspección, la desinfección y la validación de las políticas.

¿Por qué las transferencias de archivos eluden los controles que suelen detener el malware?

Las transferencias de archivos suelen eludir los controles de detección y respuesta en los puntos finales, ya que los archivos llegan directamente a los servidores, a recursos compartidos de red o a flujos de trabajo automatizados sin que el usuario los revise. La automatización de la transferencia de archivos traslada el contenido a través de cuentas de servicio, tareas programadas e integraciones que no activan avisos ni revisiones a nivel de usuario.

Los procesos de importación por lotes, las carpetas de entrega y las integraciones API crean flujos de trabajo que traspasan los límites, en los que el contenido se procesa inmediatamente después de su llegada. Sin controles de inspección en tiempo real ni de cuarentena y liberación, los archivos maliciosos pueden propagarse antes de que se detecte su presencia.

¿Qué diferencia a una ruta de transferencia de archivos de alto riesgo de una de bajo riesgo?

Una ruta de transferencia de archivos se considera de alto riesgo cuando un archivo traspasa un límite de confianza, llega a un sistema con privilegios, incluye tipos de archivos volátiles y carece de inspección en tiempo real con controles de cuarentena. Una ruta de transferencia de archivos se considera de menor riesgo cuando, antes de la entrega, se aplican medidas de inspección, saneamiento, directorios con privilegios mínimos y resultados de políticas deterministas.

La evaluación del riesgo debe tener en cuenta:

  • Se ha traspasado el límite de confianza (de externo a interno, de TI a OT, de la DMZ al núcleo)
  • Sensibilidad del destino y privilegios del sistema
  • Volatilidad de los tipos de archivo y contenido activo
  • Realización de una inspección previa a la entrega y control de la salida

Lo que debe demostrar a los responsables de seguridad y a los auditores

La ejecución verificable de controles en las transferencias de archivos implica que cada transferencia registra si un archivo fue analizado, desinfectado, bloqueado o autorizado de acuerdo con una política definida. La ejecución verificable de controles reduce las dificultades en las auditorías y agiliza el alcance de la investigación forense tras un incidente relacionado con archivos. 

Las pruebas requeridas incluyen hash de archivos como SHA-256, resultados de inspecciones, decisiones sobre políticas, marcas de tiempo, sistemas de origen y destino, e identidades de usuarios o servicios. El registro de la cadena de custodia vincula cada decisión a un evento de transferencia concreto. 

Las vías de transferencia de archivos más habituales que aprovechan los atacantes

Los atacantes suelen aprovechar los protocolos SFTP, FTPS y HTTPS, los portales de carga de archivos, los archivos adjuntos de correo electrónico, los enlaces compartidos y las rutas de sincronización en la nube para introducir malware transmitido a través de archivos. Los puntos de entrada de transferencia de archivos gozan de la confianza de la empresa, ya que los proveedores, los socios y los equipos internos utilizan los mismos canales para el intercambio rutinario de datos.

El abuso de socios de confianza y la automatización de las tareas rutinarias hacen que los archivos maliciosos parezcan operativamente normales. Los atacantes dan prioridad a las rutas que traspasan los límites de confianza y activan el procesamiento posterior sin que se realice ninguna inspección.

Cómo el intercambio de archivos por SFTP se convierte en una vía de distribución de malware

El intercambio de archivos mediante SFTP se convierte en una vía de distribución de malware cuando los proveedores o las integraciones automatizadas depositan archivos directamente en directorios internos sin realizar una inspección del contenido. Entre los patrones de uso del SFTP se incluyen las cuentas de servicio, las transferencias programadas y el procesamiento por lotes posterior.

Unos controles deficientes, como la proliferación de claves, la reutilización de credenciales, los permisos excesivos en los directorios y la falta de inspección en tiempo real, aumentan el riesgo. Secure no garantiza la seguridad de los archivos.

Cómo se utilizan las transferencias FTPS como arma en los flujos de trabajo de los socios

Las transferencias FTPS se convierten en un riesgo cuando se confunde el transporte cifrado con la seguridad del contenido. El FTPS protege los datos en tránsito mediante TLS, pero no inspecciona el contenido de los archivos.

Entre los riesgos operativos se encuentran la deriva de los certificados, las configuraciones heredadas de los clientes y las excepciones de los cortafuegos que dan prioridad a la conectividad frente a la inspección. Sin un sistema de cuarentena y control de liberación, el contenido no seguro se introduce en los flujos de trabajo de confianza.

Por qué los portales de carga HTTPS y los formularios web son un punto de entrada muy utilizado

Los portales de carga de archivos HTTPS exponen interfaces de envío de archivos accesibles al público, como portales de clientes, sistemas de gestión de incidencias y formularios de registro. El protocolo HTTPS cifra la transmisión, pero no neutraliza el contenido malicioso de los archivos. 

Los cortafuegos de aplicaciones web se centran en los patrones de solicitud y la validación de entradas, en lugar de en la inspección exhaustiva de archivos. La inspección de archivos en línea en la capa de carga impide que los archivos peligrosos lleguen al almacenamiento interno. 

Cómo los archivos adjuntos de correo electrónico y los enlaces compartidos crean un canal paralelo de transferencia de archivos

Los archivos adjuntos de correo electrónico y los enlaces compartidos crean un canal paralelo de transferencia de archivos al margen de MFT gestionados MFT . Los usuarios de la empresa reenvían archivos adjuntos y enlaces de colaboración a recursos compartidos y aplicaciones internas. 

Las cuentas comprometidas, el reenvío de enlaces y el uso indebido de OAuth propagan contenido malicioso a sistemas de confianza. La gestión centralizada de la transferencia de archivos reduce las vías de entrada no controladas. 

Cómo se oculta el malware en los tipos de archivos que se comparten habitualmente

Los atacantes ocultan el malware en tipos de archivos que se transfieren habitualmente mediante archivos anidados, el uso indebido de macros, cadenas de vulnerabilidades y la suplantación de tipos de archivo. El malware transmitido a través de archivos elude los controles superficiales al incrustar contenido activo en formatos empresariales legítimos.

El diseño de las políticas debe partir de la base de que es necesario aplicar una detección basada en el contenido a todos los archivos entrantes que crucen los límites de confianza.

Por qué los archivos ZIP y los archivos anidados dificultan el escaneo sencillo

Los archivos ZIP y los archivos anidados evitan el escaneo simple mediante la recursividad profunda, la protección con contraseña y las discrepancias en las extensiones. La recursividad de los archivos oculta el contenido ejecutable a varias capas de profundidad.

Los controles deben garantizar el cumplimiento de los límites de profundidad de los archivos, las políticas de descompresión, las normas de gestión de archivos protegidos con contraseña y la inspección obligatoria antes de su publicación.

Cómo los documentos de Office con macros activadas propagan ransomware y programas de carga

Los documentos de Office con macros activadas distribuyenransomwarey programas de carga al ejecutar scripts incrustados u objetos vinculados durante la interacción con el documento. Los formatos de archivo de Office admiten contenido activo que se ejecuta en el contexto del usuario. 

Las políticas deben aplicar controles basados en listas de permitidos, restricciones de macros y la técnica de «desactivación y reconstrucción de contenido» para eliminar los elementos activos sin afectar a la usabilidad. 

Por qué los archivos PDF no son seguros por defecto

Los archivos PDF no son seguros por defecto, ya que los documentos PDF pueden contener scripts, enlaces y cargas maliciosas diseñadas para aprovechar las vulnerabilidades de los lectores. Los ataques basados en PDF suelen presentarse en forma de facturas, contratos o informes. 

Los archivos PDF entrantes que cruzan los límites de confianza deben someterse a una inspección y desinfección para eliminar el contenido activo y validar su estructura. 

Cómo utilizan los atacantes Container y la suplantación de tipos de archivo

Container y la suplantación de tipos de archivo permiten que los archivos maliciosos superen los controles superficiales de extensiones. Las extensiones dobles, los archivos multiformato y las discrepancias MIME eluden los filtros más simples. 

La validación de archivos basada en el contenido y la aplicación estricta de los tipos MIME impiden que el contenido ejecutable se haga pasar por documentos inofensivos. 

SFTP, FTPS y HTTPS: qué cambia y qué no en cuanto al riesgo de malware

SFTP, FTPS y HTTPS se diferencian en los modelos de cifrado de transporte y autenticación, pero no reducen de por sí el riesgo asociado al contenido de los archivos. Secure protege el canal de comunicación, no la carga útil.

El riesgo de malware persiste a menos que se lleven a cabo inspecciones, limpiezas y la aplicación de políticas antes de la entrega en sistemas de confianza.

Contra qué protege realmente Secure

Secure protege la confidencialidad y la integridad durante la transmisión mediante el cifrado de los datos y la protección de las credenciales frente a posibles interceptaciones. Secure reduce el riesgo de ataques de tipo «hombre en el medio» y de vigilancia pasiva. 

Secure no detecta contenidos maliciosos, vulnerabilidades de día cero en los analizadores de archivos ni incumplimientos de las políticas integrados en los archivos.

Por qué las transferencias cifradas pueden reducir la visibilidad si no se inspeccionan en tiempo real

Las transferencias cifradas reducen la visibilidad en la capa de red cuando no se lleva a cabo una inspección en la que se disponga de texto sin cifrar. Las herramientas de detección de red no pueden analizar las cargas útiles cifradas sin una terminación controlada. 

La inspección debe realizarse en los puntos finales, las puertas de enlace o las capas de transferencia gestionada de archivos, donde los archivos se descifran, se inspeccionan, se depuran y se vuelven a cifrar antes de su envío. 

Cómo decidir qué protocolo adoptar como estándar

La estandarización de los protocolos debe tener en cuenta la compatibilidad entre socios, la integración de identidades, la compatibilidad con la automatización y los requisitos de auditoría. La elección del protocolo debe ajustarse a los objetivos de fiabilidad operativa y gobernanza. 

La selección del protocolo debe ir acompañada de controles de inspección en línea y de cuarentena y liberación para reducir el riesgo de malware en la transferencia de archivos.

Mejores prácticas de arquitectura para analizar todos los archivos entrantes antes de su entrega

Una arquitectura recomendada para analizar todos los archivos entrantes antes de su entrega requiere la inspección en línea y flujos de trabajo de cuarentena y liberación integrados en las rutas de transferencia de archivos. La inspección de archivos debe funcionar como un punto de aplicación de políticas, no como un complemento opcional.

Los equipos de operaciones de TI deben adaptar los flujos de trabajo de inspección a la ubicación de la DMZ, las redes segmentadas y las transferencias entre zonas.

Cómo funciona en la práctica un flujo de trabajo para la liberación de productos durante la cuarentena

Un flujo de trabajo de cuarentena y liberación almacena los archivos en un espacio de almacenamiento aislado, lleva a cabo su inspección y limpieza, aplica una decisión basada en políticas y libera los archivos aprobados al destino previsto. 

Las etapas del flujo de trabajo incluyen la recepción, la cuarentena, la inspección, la desinfección o la detonación, la aprobación o el bloqueo, y la entrega. La automatización, la lógica de reintentos y la gestión clara de los fallos garantizan el mantenimiento de los niveles de servicio sin comprometer la seguridad. 

Dónde ubicar la inspección de archivos en una DMZ para transferencias de proveedores y externas

La inspección de archivos en una DMZ debe realizarse antes de que los archivos pasen de redes externas de baja confianza a zonas internas de alta confianza. Las plataformas de transferencia gestionada de archivos basadas en la DMZ o las pasarelas seguras actúan como capas de inspección controladas.

La inspección debe preceder al acceso de escritura a los sistemas internos para garantizar el cumplimiento de las decisiones relativas a los límites de confianza.

Cómo evitar la entrega directa a redes sociales y la entrega directa a aplicaciones

La entrega directa a recursos compartidos y a aplicaciones aumenta el alcance del ataque al permitir que los archivos entrantes se ejecuten o se propaguen antes de ser inspeccionados. Escribir directamente en un NAS interno, en carpetas de entrega o en directorios de aplicaciones aumenta el riesgo de exposición.

Los patrones de entrega mediada requieren un veredicto de inspección satisfactorio antes de conceder permisos de escritura a los destinos internos.

Cómo diseñar sistemas de alta disponibilidad sin descuidar la seguridad

La alta disponibilidad de los componentes de inspección y transferencia gestionada de archivos requiere diseños de tipo activo-activo o activo-pasivo sin rutas de derivación de emergencia permanentes. Los controles de seguridad deben seguir aplicándose durante la conmutación por error.

Las medidas de seguridad operativas incluyen la gestión de la cola de tareas pendientes, resultados deterministas de las políticas y mecanismos de reintento que cumplen con el SLA y no merman los requisitos de inspección.

Medidas de seguridad que reducen el riesgo de malware en la transferencia de archivos más allá del cifrado

Entre los controles de seguridad que reducen el riesgo de malware en la transferencia de archivos, además del cifrado, se incluyen la validación del tipo de archivo, el análisis múltiple, el CDR (Content Disarm and Reconstruction), el análisis en entorno aislado y la prevención de pérdida de datos. El cifrado protege la transmisión, mientras que los controles de seguridad del contenido validan y neutralizan las cargas maliciosas.

La selección de los controles debe tener en cuenta el nivel de fiabilidad de la fuente, la sensibilidad del destino y la volatilidad del tipo de archivo.

Cómo las listas de tipos de archivos permitidos y la validación de contenidos evitan los incidentes más fáciles de prevenir

Las listas de tipos de archivo permitidos y la validación de contenidos impiden que los formatos ejecutables y de alto riesgo accedan a entornos sensibles. Las políticas basadas en listas de tipos permitidos aplican una verificación estricta de las extensiones y los tipos de contenido.

Las excepciones comerciales deben ser temporales, revisarse y registrarse para evitar lagunas permanentes en las políticas.

Por qué Multiscanning la detección en las transferencias de archivos

Multiscanning la detección al utilizar varios motores antimalware para evaluar el mismo archivo y reducir los puntos ciegos que pueden surgir con un solo motor. El análisis por consenso aumenta la fiabilidad de los resultados en las transferencias de archivos. 

El diseño operativo debe definir los umbrales de decisión para los sistemas de múltiples motores, los procesos de clasificación de falsos positivos y los flujos de trabajo de escalado para los resultados controvertidos. 

Cuándo utilizar la función de neutralización y reconstrucción de contenido para los documentos entrantes

La función «Desactivación y reconstrucción de contenido» elimina el contenido activo de los documentos y genera versiones seguras para su distribución. Esta función reduce el riesgo de vulnerabilidades de día cero y de exploits, al tiempo que mantiene la usabilidad de los documentos. 

El intercambio de grandes volúmenes de documentos se beneficia de la depuración cuando los procesos empresariales exigen una respuesta rápida con un riesgo de ejecución reducido. 

Cómo ayuda el entorno de aislamiento frente al malware desconocido y dirigido

El análisis en entorno aislado examina el comportamiento de los archivos en entornos controladospara detectar malware desconocido o dirigido. Sandbox proporciona indicadores de comportamiento que van más allá de las firmas estáticas. 

Las técnicas Sandbox y de evasión Sandbox requieren un tratamiento definido de la liberación diferida para mantener los niveles de servicio sin que se produzcan liberaciones inseguras. 

Proactive DLP ) cuando los datos confidenciales se transfieren junto con los archivos

Proactive DLP políticas de clasificación de datos a los archivos en tránsito para evitar la filtración de información de identificación personal (PII), información médica protegida (PHI), datos sujetos a la normativa PCI o cualquier otro tipo de datos regulados. Proactive DLP la gestión de la transferencia de archivos a los requisitos normativos. 

Las políticas de DLP deben estar alineadas con los intercambios de datos de los proveedores, los registros regulados y las transferencias transfronterizas de datos para garantizar resultados deterministas en la aplicación de las políticas. 

Cómo OPSWAT la inspección de archivos en tiempo real para Managed File Transfer

OPSWAT MetaDefender Managed File Transfer la inspección de archivos en tiempo real y la aplicación de políticas directamente dentro del flujo de trabajo de transferencia gestionada de archivos.OPSWAT MetaDefender Managed File Transfer MetascanMultiscanning, la tecnología Deep CDR™, Proactive DLP y análisis en entorno aislado en la ruta de transferencia para inspeccionar, depurar y controlar el movimiento de archivos entre entornos de TI y de tecnología operativa (OT). 

La inspección en línea dentro de la capa de transferencia gestionada de archivos permite priorizar la prevención, ofrece visibilidad centralizada, control de acceso basado en roles e informes listos para auditorías en redes segmentadas y reguladas. 

Cómo garantizar Secure de las transferencias Secure a través de redes segmentadas y de los límites entre TI y TO

Para garantizar la seguridad de las transferencias de archivos a través de redes segmentadas y de los límites entre las infraestructuras de TI y de operaciones (OT), es necesario aplicar controles de inspección y gestión obligatorios en cada punto de cruce entre zonas de confianza. La segmentación aumenta la dependencia del traslado de archivos como vía de excepción entre zonas.

La inspección, la cuarentena y la salida controlada evitan la contaminación entre zonas y garantizan la fiabilidad operativa.

¿Qué cambia cuando los archivos pasan de una zona de baja confianza a una zona de alta confianza?

Los archivos que pasan de una zona de baja confianza a una de alta confianza requieren una verificación explícita de la identidad del remitente, los tipos de archivo permitidos, los resultados de la inspección y los destinatarios autorizados. Las políticas de límites de confianza deben definir quién puede enviar, qué se puede enviar y dónde pueden llegar los archivos.

Los directorios con privilegios mínimos y los controles de inspección previa a la entrega garantizan el cumplimiento de las decisiones relativas a los límites.

Cómo diseñar el flujo de archivos en el límite entre TI y TO sin crear una puerta trasera

El traslado de archivos en el límite entre la tecnología de la información y la tecnología operativa debe evitar la conectividad bidireccional no controlada o los directorios compartidos. Los recursos compartidos sin restricciones crean puertas traseras persistentes entre las redes de la empresa y las de tecnología operativa.

Los patrones de intermediarios de transferencia controlada, los flujos de trabajo unidireccionales cuando es necesario y los controles de liberación explícitos mantienen la separación al tiempo que permiten el intercambio necesario.

Cómo gestionar entornos aislados físicamente o con conexión intermitente

Los entornos aislados físicamente o con conexión intermitente requieren análisis por fases, verificación fuera de línea y controles de la cadena de custodia para los soportes portátiles o las transferencias programadas. La verificación de la integridad mediante hash de archivos confirma la coherencia de los archivos entre las distintas zonas.

Los resultados verificables de las inspecciones deben registrarse antes de que el contenido llegue a los sistemas sensibles.

Qué registros y pruebas necesitas para demostrar que las transferencias de archivos se verificaron

Para demostrar que se han verificado las transferencias de archivos, es necesario llevar un registro exhaustivo de las inspecciones, la aplicación de las políticas y las decisiones de autorización. Las pruebas deben servir de base tanto para las auditorías como para la gestión de incidentes.

Los registros deben demostrar que la ejecución del control es determinista para cada archivo que cruza un límite de confianza.

¿Qué registros MFT son importantes para la defensa contra el malware y el análisis forense?

Los registros MFT para la defensa contra el malware deben incluir las identidades de los usuarios o del sistema, los puntos finales de origen y destino, las marcas de tiempo, el protocolo utilizado, los hash de los archivos (como SHA-256), las decisiones de política y los resultados de la inspección. 

Los registros exhaustivos facilitan las medidas de contención y el análisis forense tras incidentes sospechosos transmitidos a través de archivos. 

Qué datos hay que registrar sobre las decisiones relativas al escaneo, la desinfección y la puesta en circulación

Los registros de análisis y desinfección deben incluir las versiones de los motores, los resultados por motor, las acciones de desactivación de contenido y reconstrucción, los indicadores del entorno de pruebas y la resolución final. 

Los registros reproducibles y los registros con protección de la integridad refuerzan el valor probatorio durante las auditorías y las investigaciones.

Cómo integrar los eventos de transferencia de archivos en los flujos de trabajo de SIEM y SOAR

Los eventos de transferencia de archivos deben normalizarse y reenviarse a las plataformas SIEM para su correlación con los datos de identidad, de los dispositivos finales y de la red. La normalización SIEM permite la correlación de eventos y la detección de anomalías. 

Las guías de SOAR puedenautomatizar medidas de contención, como el bloqueo de cuentas de socios, la cuarentena de destinos y el envío de alertas ante incumplimientos repetidos de las políticas. 

Lista de verificación Managed File Transfer para Managed File Transfer en el intercambio con proveedores y en sectores regulados

Una lista de comprobación de seguridad para la transferencia gestionada de archivos, destinada a las relaciones con proveedores y a los sectores regulados, ofrece un método alineado con la arquitectura para evaluar y reducir el riesgo de malware en la transferencia de archivos. La lista de comprobación debe evaluar las políticas, los flujos de trabajo, la ubicación de los controles de inspección y la recopilación de pruebas.

Controles para el intercambio de archivos con proveedores que deberías estandarizar en toda la empresa

Los controles de intercambio de archivos con proveedores deben estandarizar la incorporación de socios, la verificación de identidad, el acceso con plazos limitados, la gestión de claves y certificados, y los directorios con privilegios mínimos. Los flujos de trabajo con proveedores deben incluir la cuarentena, la inspección en línea y la entrega controlada a destinos internos.

Una aplicación coherente de las normas reduce el abuso por parte de socios de confianza y el riesgo de que se eluda la automatización.

Medidas de control que reducen la propagación del ransomware a través del intercambio de archivos y la automatización

Entre las medidas que reducen la propagación del ransomware se incluyen el bloqueo de tipos de archivos de alto riesgo, la desinfección de documentos entrantes, el aislamiento de las áreas de almacenamiento temporal de entrada y la restricción de los permisos de las cuentas de servicio. La supervisión de volúmenes de archivos inusuales o de incumplimientos repetidos de las políticas permite identificar los intentos de almacenamiento temporal.

La intervención en un escenario aislado y la administración mediada reducen el radio de acción.

Qué hay que tener en cuenta al evaluar los controles de inspección en línea para MFT

La evaluación de los controles de inspección en línea para la transferencia gestionada de archivos debe valorar la eficacia de la detección, la gestión de los falsos positivos, la flexibilidad de las políticas, el impacto en el rendimiento, el diseño de alta disponibilidad y la compatibilidad con la integración de SIEM o SOAR.

La validación mediante pruebas debe incluir conjuntos de archivos representativos, muestras adversarias, tiempos de publicación cuantificables y resultados documentados de las políticas.

Managed File Transfer Secure yManaged File Transfer inspección en tiempo real

MetaDefender File Transfer™ es la solución de transferencia gestionada de archivos (MFT) OPSWATpara el intercambio seguro de archivos, regulado por políticas, entre entornos de TI y de tecnología operativa (OT). MetaDefender File Transfer™ integra la inspección de archivos en línea, el escaneo múltiple, la tecnología Deep CDR™, Proactive DLP, el análisis de sandbox mejorado con IA, el cifrado y la gobernanza centralizada directamente en el flujo de trabajo de transferencia para permitir la liberación controlada, la obtención de pruebas listas para auditorías y la protección transfronteriza.

Preguntas frecuentes

¿Qué controles de seguridad debe MFT una solución MFT empresarial para evitar la propagación de malware y en qué punto del flujo de transferencia debe situarse cada control?

Una MFT empresarial MFT aplicar la validación de tipos de archivo, el análisis múltiple, la neutralización y reconstrucción de contenidos (CDR), el análisis en entorno aislado y la prevención de pérdida de datos (DLP) dentro de un flujo de trabajo de inspección en línea y de cuarentena previa a la liberación. La validación de tipos de archivo y las listas de permitidos deben ejecutarse en el momento de la ingesta; el análisis múltiple y el análisis en entorno aislado, durante la inspección; la CDR, antes de la liberación en el caso de los tipos de documentos de alto riesgo; y la DLP, antes de la entrega a destinos sensibles.

¿Cómo podemos reforzar o sustituir los flujos de trabajo FTP heredados sin afectar a las integraciones ni a los acuerdos de nivel de servicio?

Para reforzar o sustituir los flujos de trabajo FTP heredados, es necesario migrar a SFTP, FTPS o HTTPS con integración de identidades, autenticación sólida e inspección en línea incorporada en la ruta de transferencia. La incorporación gradual de socios, las pruebas en paralelo y los resultados deterministas de las políticas permiten cumplir los compromisos del SLA al tiempo que se aplican controles de cuarentena y liberación.

¿Cómo podemos analizar y desinfectar archivos de forma segura al transferirlos entre zonas de baja y alta confianza?

El análisis y la desinfección de archivos entre zonas de baja y alta confianza requieren una inspección basada en la DMZ, un proceso de cuarentena, análisis múltiples, desactivación y reconstrucción de contenidos, entornos de pruebas (sandboxing) cuando sea necesario, y un control de acceso antes de conceder el permiso de escritura. Los hash de los archivos y los resultados de la inspección deben registrarse antes de que se produzca el cruce de límites.

¿Cuáles son las formas más habituales en que los atacantes se aprovechan de las plataformas de intercambio de archivos de confianza y qué MFT mitigan esos riesgos?

Los atacantes se aprovechan de las plataformas de intercambio de archivos de confianza mediante cuentas comprometidas, enlaces públicos para compartir archivos, el uso indebido de aplicaciones OAuth y el robo de credenciales de socios. MFT que imponen una autenticación sólida, un acceso con límite de tiempo, la inspección en tiempo real, directorios con privilegios mínimos y el registro de auditoría mitigan esos riesgos.

¿Qué registros de auditoría y documentos de informes debe MFT para cumplir los requisitos de cumplimiento normativo y facilitar la investigación de incidentes?

MFT generar registros de auditoría que incluyan las identidades de los usuarios y del sistema, el origen y el destino, las marcas de tiempo, el protocolo, los hash de los archivos, los resultados de la inspección, las medidas de depuración y el destino final. Los informes deben garantizar la reproducibilidad, el seguimiento de la cadena de custodia y la integridad probatoria.

¿Cómo podemos diseñar un sistema de acceso con privilegios mínimos y una autenticación sólida para el intercambio de archivos con terceros?

El acceso con privilegios mínimos para el intercambio de archivos externos requiere un control de acceso basado en roles, la delimitación del ámbito de los directorios, un acceso temporal, una autenticación sólida (como el inicio de sesión único o la autenticación multifactorial) y una gestión controlada de las claves. El acceso debe limitarse a las rutas necesarias y regirse por la aplicación de políticas y el registro de actividades.

¿Qué criterios debemos utilizar para evaluar y comparar MFT destinadas a la defensa contra el malware y la gestión de riesgos?

Los criterios de evaluación MFT deben incluir la eficacia de la detección en múltiples motores, los flujos de trabajo para la gestión de falsos positivos, los controles de la cuarentena a la liberación, la integración con SIEM y SOAR, un diseño de alta disponibilidad, la flexibilidad de las políticas y el rendimiento bajo carga. La validación mediante pruebas con muestras maliciosas y métricas de liberación cuantificables refuerza los resultados de la evaluación.


Opciones con enfoque social o promocional

  • Secure protege la tubería, no la carga.
  • Considera los archivos entrantes como no fiables hasta que se hayan revisado y autorizado.
  • La estrategia de «cuarentena y liberación» reduce el riesgo de propagación del ransomware.
  • Multiscanning la recuperación de datos (CDR) aumentan la confianza en la seguridad de los documentos.
  • La inspección en línea en los límites de confianza limita el alcance del impacto.
  • El registro de datos preparado para auditorías mejora la respuesta ante incidentes y el cumplimiento normativo.
  • Las redes segmentadas aumentan la dependencia de la gestión controlada del movimiento de archivos.

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.