A los expertos en transferencia segura de archivos se les pregunta comúnmente si FTP es seguro. La respuesta definitiva es no. FTP puede ser conveniente y parece seguro. Pero las apariencias no lo son todo. FTP es casi tan seguro como una puerta con un candado de papel maché.
Es por eso que las tiendas inteligentes no usan FTP para archivos confidenciales, sino que implementan soluciones de transferencia de archivos mucho más seguras.
De dónde vino FTP
Inicie el camino de regreso cuando la máquina para ver de dónde vino FTP (abreviatura de Protocolo de transferencia de archivos). FTP surgió en 1971, justo en medio de los días de mainframe y minicomputadora (¿los recuerdas?), una década más o menos antes de que las redes de Protocolo de Internet (IP) se basaran en en TCP (Protocolo de Control de Transmisión) hizo la escena a principios de la década de 1980.
La transferencia de archivos, como su nombre indica, era el nombre del juego de FTP, que fue construido para enviar archivos de una computadora a otra.
Más tarde, FTP surgió para transferir archivos demasiado grandes para que los sistemas de correo electrónico los manejen, un caso de uso que impulsa muchas implementaciones de FTP en la actualidad.
FTP mejor que los archivos adjuntos de correo electrónico, pero no lo suficientemente bueno
Las soluciones de transferencia de archivos FTP superan el correo electrónico, pero tienen límites que ninguna organización consciente de la seguridad debería soportar.
El principal problema es la falta de un método para el cifrado durante el transporte de archivos, lo que significa que sus datos confidenciales podrían ser interceptados durante el transporte. Soluciones FTP, que se basan en procesos manuales sin medios nativos para la automatización y la integración con el negocio procesos, no son escalables. Si desea automatizar e integrar, vuelva a sus scripts internos para escribir scripts personalizados.
Mientras tanto, los archivos almacenados en un servidor FTP permanecen allí hasta que alguien los quita. Esta es una gran carga para los administradores de cuentas que deben tomar medidas para la configuración, eliminación o cambio de procesos de administración de una sola vez. Finalmente, las soluciones FTP carecen de todas las excelentes características de Managed File Transfer que incluyen conectividad, administración, automatización e informes.
FTP y la grave falta de cifrado
FTP, a menos que se mejore con la seguridad de SSH o SSL (cada uno de los cuales tiene límites de seguridad), transfiere y comparte archivos sin cifrar. Mientras tanto, a menudo los servidores FTP no administrados contienen grandes cantidades de datos empresariales que se pueden descifrar, al igual que la actividad de FTP. trozas.
Servidores FTP convertidos en sistemas de mando y control
Una vez que un servidor FTP se ve comprometido, puede convertirse en un centro de ataque. "Los servidores de transferencia de archivos, si no están suficientemente protegidos, pueden ser objetivos fáciles para los atacantes experimentados. Aquellos configurados para el acceso anónimo, donde el inicio de sesión es a menudo un correo electrónico y el La contraseña puede ser "contraseña", son el primer y más fácil objetivo. Un servidor FTP anónimo que no está correctamente segregado proporciona un fácil acceso a los activos críticos en la red ", argumentó el MOVEit eBook Vulnerabilidades de ransomware en la transferencia de archivos. "El protocolo FTP, sin la seguridad añadida de SSH o SSL, transmite datos sin cifrar. Estos servidores También suelen ser relativamente poco administrados y podría haber un gran volumen de información a la que se accede y consume fácilmente que puede ser valiosa o podría ayudar al ataque. Los scripts de automatización y los registros de actividad a menudo no están protegidos. Los hackers explotan esto limitación para modificar los archivos de registro para cubrir sus huellas".
Tipos de ataques FTP
Hay muchos tipos de ataques FTP, e incluso los más antiguos siguen siendo una preocupación importante. Puede tomar mucho tiempo para que un tipo de ataque cibernético caiga en desgracia. En cambio, los hackers toman los ataques heredados y los modifican para que parezcan nuevos y eviten las defensas establecidas. Aquí son cuatro ataques por los que los usuarios de FTP deben preocuparse.
1. Ataques de autenticación anónima
Las contraseñas (y la autenticación de dos o múltiples factores) son un paso hacia la seguridad de la transferencia de archivos. Pero los hackers usan autenticación anónima, donde los usuarios inician sesión con un nombre de usuario simple (a menudo aprovechando el hecho de que muchos usan su dirección de correo electrónico). como nombre de usuario) o inicie sesión en un servidor FTP de forma totalmente anónima. Esto a menudo puede permitir el acceso a todos o la mayoría de los datos en el sistema FTP.
Esto se debe a una configuración laxa, contraseñas débiles como la palabra "contraseña" y una falta de segregación entre el servidor FTP y el resto de la red.
2. Cross-Site Scripting
Los ataques de secuencias de comandos entre sitios (XSS) se dirigen a una variedad de sistemas, incluido FTP. Aquí, el hacker envía código malicioso a un usuario final a través de una aplicación web, generalmente un script del lado del navegador a un usuario final.
El navegador de un usuario final ejecuta el script creyendo que proviene de una fuente de confianza, y los datos del navegador, incluido el token de sesión, se ven comprometidos.
3. Ataques transversales de directorios
Los ataques transversales de directorios son HTTP que permiten a los delincuentes acceder a directorios restringidos y luego ejecutar comandos maliciosos fuera del directorio raíz del servidor web. Los hackers pueden sobrescribir o crear archivos no autorizados que se almacenan aparte de la web carpeta raíz.
4. Ransomware
Una vez que los hackers convierten un servidor FTP en un servidor de comando y control, pueden lanzar una serie de ataques, incluido el siempre desagradable ransomware. Pueden cifrar archivos en el servidor FTP haciéndolos no sólo inútiles, sino destruyendo la única versión del datos que existen.
La expansión de FTP multiplica el riesgo
Una vez que una organización prueba FTP, su uso explota. "TI a menudo se encuentra con docenas de servidores FTP desplegados en toda la red. A esto lo llamamos "FTP Sprawl". Muchos de estos pueden configurarse en modo anónimo, enviar y almacenar archivos en servidores FTP de texto no cifrado o dependen de scripts. Estos son a menudo los primeros objetivos que buscan los ciberdelincuentes. El FBI emitió una alerta (FBI PIN 170322-001) de que los piratas informáticos estaban apuntando a servidores FTP de texto no cifrado configurados con modo anónimo para lanzar ataques. en la red", argumentó el libro electrónico Vulnerabilidades de ransomware en la transferencia de archivos .
Las tiendas inteligentes han eliminado todos los servidores de texto claro y FTP anónimos de su infraestructura de TI.
Deficiencias de FTP
Hay otras graves deficiencias de FTP. Cuando necesita mover muchos archivos, TI a menudo se basa en scripts para automatizar el proceso. Los guiones vienen con sus propias complicaciones. Primero, alguien debe escribir los guiones, lo que lleva tiempo, y alguien debe probar El script para asegurarse de que funciona según lo previsto. Pero los guiones son complicados de gestionar y a menudo solo los entiende la persona que los escribió, y ¿qué pasa si dejan tu empresa?
Y aunque los scripts ofrecen un bajo nivel de automatización, realmente no está a la altura del volumen de archivos que su empresa necesita enviar o los diferentes tipos de transferencias que probablemente necesite. En resumen, FTP es difícil de asegurar, difícil de automatizar y no puede hacerlo correctamente. Realice un seguimiento y audite sus transferencias de archivos.
La peor situación es tener una amplia gama de métodos para transferir archivos. Aquí, las copias de los archivos se guardan por todas partes sin supervisión central ni seguridad. Es un desastre a punto de suceder.
FTP y cumplimiento
"Cuando existen servidores FTP no administrados o inseguros en una organización que rutinariamente trata con datos que están protegidos por HIPAA, PCI, FINRA, FDA, SOX u otras regulaciones de la industria, también existe el riesgo de multas significativas. Alrededor del 65% de todas las violaciones de datos originar con un usuario", argumentó el blog MOVEit Why You Should not Use FTP to Transfer Cloud Files . "La mayoría de esos casos se deben a errores inadvertidos o mal juicio cuando los datos confidenciales se manejan mal o se almacenan en una ubicación no autorizada, como el directorio de archivos de un servidor FTP o un servicio de intercambio de archivos de nivel de consumidor".
La respuesta: Transferencia de archivos administrada
FTP fue construido en 1971 utilizando el modelo cliente/servidor. Los sistemas de transferencia administrada de archivos (MFT) están centralizados y vienen equipados con "toda la visibilidad, informes, registro, seguridad, seguimiento, integraciones con su arquitectura de seguridad, conmutación por error y características de entrega aseguradas ya incorporadas por diseño (a diferencia de los complementos)", explicó el blog en la nube de MOVEit. "Estas son soluciones de clase empresarial sobre las cuales los procesos centrales, como la facturación médica y los sistemas de pago de un hospital, se puede construir. Por ejemplo, una sola implementación puede incluir múltiples servidores de transferencia, sistemas de automatización de flujo de trabajo y servicios de transferencia basados en la nube, todos bajo administración desde una consola centralizada".
Transferencia administrada de archivos frente a FTP
Puede obtener más información sobre MFT con el libro electrónico MOVEit para profesionales de TI que intentan decidir entre FTP y MFT llamado Por qué los equipos de TI migran a MFT.
Como explica el libro electrónico, las soluciones MFT incluyen:
- Visibilidad
- Informes
- Registro
- Seguridad
- Seguimiento
- Integraciones con su arquitectura de seguridad
- Conmutación por error y garantía de entrega
Integraciones críticas
MOVEit MFT se puede hacer aún más seguro al integrarse con su seguridad, como la prevención de pérdida de datos (DLP), los sistemas de control de acceso y los antivirus / antimalware.