Sichere Dateiübertragung – Ist FTP sicher? Nein. Zum Glück ist MFT das!

November 02, 2022 Sicherheit und Compliance, MOVEit

Experten für sichere Dateiübertragung werden häufig gefragt, ob FTP sicher ist. Die endgültige Antwort ist nein. FTP kann bequem sein und scheint sicher zu sein. Aber der Schein ist nicht alles. FTP ist ungefähr so sicher wie eine Tür mit einem Pappmaché-Vorhängeschloss.

Aus diesem Grund verwenden Smart Shops FTP nicht für sensible Dateien, sondern setzen stattdessen weitaus sicherere Dateiübertragungslösungen ein.

Woher FTP kommt

Werfen Sie die Maschine von damals an, um zu sehen, woher FTP (kurz für File Transfer Protocol) stammt. FTP entstand 1971, mitten in der Zeit der Großrechner und Minicomputer (erinnern Sie sich?), etwa ein Jahrzehnt bevor Internet Protocol (IP)-Netzwerke auf der Grundlage von TCP (Transmission Control Protocol) in den frühen 1980er Jahren aufkamen.

Wie der Name schon sagt, war FTP für die Übertragung von Dateien von einem Computer zum anderen gedacht.

Später wurde FTP entwickelt, um Dateien zu übertragen, die für E-Mail-Systeme zu groß waren, ein Anwendungsfall, der auch heute noch viele FTP-Implementierungen bestimmt.

FTP ist besser als E-Mail-Anhänge, aber noch nicht annähernd gut genug

FTP-Lösungen für die Dateiübertragung sind der E-Mail weit überlegen, haben aber ihre Grenzen, die kein sicherheitsbewusstes Unternehmen akzeptieren sollte.

Das Hauptproblem ist das Fehlen einer Verschlüsselungsmethode während des Datentransports, was bedeutet, dass Ihre sensiblen Daten während des Transports abgefangen werden könnten. FTP-Lösungen, die auf manuellen Prozessen beruhen und keine nativen Möglichkeiten zur Automatisierung und Integration in Geschäftsprozesse bieten, sind nicht skalierbar. Wenn Sie automatisieren und integrieren möchten, müssen Sie auf Ihre internen Skript-Jockeys zurückgreifen, um individuelle Skripte zu schreiben.

In der Zwischenzeit verbleiben die auf einem FTP-Server gespeicherten Dateien dort, bis sie jemand abhebt. Dies ist eine große Belastung für Kontoverwalter, die bei der einmaligen Einrichtung, Löschung oder Änderung von Verwaltungsprozessen tätig werden müssen. Und schließlich fehlen bei FTP-Lösungen all die großartigen Funktionen von Managed File Transfer, einschließlich Konnektivität, Verwaltung, Automatisierung und Berichterstattung.

FTP und der gravierende Mangel an Verschlüsselung

FTP, sofern nicht durch die Sicherheit von SSH oder SSL (von denen jeder Sicherheitsbeschränkungen hat) erweitert wird, überträgt und teilt Dateien unverschlüsselt. In der Zwischenzeit enthalten oft nicht verwaltete FTP-Server riesige Mengen an Unternehmensdaten, die geknackt werden können, ebenso wie die FTP-Aktivität. baumstämme.

FTP-Server werden zu Befehls- und Kontrollsystemen

Sobald ein FTP-Server kompromittiert ist, kann er zu einem Angriffszentrum werden. "File Transfer-Server können, wenn sie nicht ausreichend gesichert sind, leichte Ziele für erfahrene Angreifer sein. Diejenigen, die für den anonymen Zugriff konfiguriert sind, wobei die Anmeldung oft eine E-Mail ist und die Passwort kann "Passwort" sein, sind das erste und einfachste Ziel. Ein anonymer FTP-Server, der nicht ordnungsgemäß getrennt ist, bietet einfachen Zugriff auf kritische Ressourcen im Netzwerk", argumentiert das MOVEit eBook Ransomware Vulnerabilities in File Transfer. "Das FTP-Protokoll überträgt Daten ohne die zusätzliche Sicherheit von SSH oder SSL unverschlüsselt. Diese Server sind auch oft relativ unverwaltet, und es kann eine große Menge an Informationen geben, auf die leicht zugegriffen und konsumiert werden kann, die wertvoll sein oder den Angriff unterstützen können. Automatisierungsskripte und Aktivitätsprotokolle sind oft nicht geschützt. Hacker nutzen dies aus Beschränkung, Protokolldateien zu ändern, um ihre Spuren zu verwischen."

Arten von FTP-Angriffen

Es gibt viele Arten von FTP-Angriffen, und selbst die älteren sind immer noch ein großes Problem. Es kann lange dauern, bis eine Art von Cyberangriff in Vergessenheit gerät. Stattdessen nehmen Hacker alte Angriffe und verändern sie so, dass sie neu erscheinen und etablierte Verteidigungsmaßnahmen umgehen. Hier sind vier Angriffe, über die sich FTP-Benutzer Sorgen machen müssen.

1. Anonyme Authentifizierungsangriffe

Passwörter (und zwei- oder mehrstufige Authentifizierung) sind ein Schritt in Richtung Sicherheit bei der Dateiübertragung. Hacker verwenden jedoch die anonyme Authentifizierung, bei der sich Benutzer entweder mit einem einfachen Benutzernamen anmelden (wobei sie oft die Tatsache ausnutzen, dass viele ihre E-Mail-Adresse als Benutzernamen verwenden) oder sich völlig anonym bei einem FTP-Server anmelden. Dies kann oft den Zugriff auf alle oder fast alle Daten auf dem FTP-System ermöglichen.

Dies ist auf eine laxe Einrichtung, schwache Passwörter wie das Wort "Passwort" und eine fehlende Trennung zwischen dem FTP-Server und dem übrigen Netz zurückzuführen.

2. Cross-Site-Scripting

Cross-Site-Scripting-Angriffe (XSS) zielen auf eine Reihe von Systemen ab, einschließlich FTP. Hier sendet der Hacker über eine Web-App bösartigen Code an einen Endbenutzer, in der Regel ein browserseitiges Skript an einen Endbenutzer.

Der Browser eines Endbenutzers führt das Skript in der Annahme aus, dass es von einer vertrauenswürdigen Quelle stammt, und Browserdaten einschließlich Sitzungstoken sind kompromittiert.

3. Verzeichnisüberquerungsangriffe

Directory Traversal Attacks sind HTTPs, die es Kriminellen ermöglichen, auf eingeschränkte Verzeichnisse zuzugreifen und dann bösartige Befehle außerhalb des Root-Verzeichnisses des Webservers auszuführen. Hacker können nicht autorisierte Dateien überschreiben oder erstellen, die außerhalb des Web-Root-Ordners gespeichert sind.

4. Ransomware

Sobald Hacker einen FTP-Server in einen Command-and-Control-Server verwandeln, können sie eine Reihe von Angriffen starten, einschließlich der immer böseren Ransomware. Sie können Dateien auf dem FTP-Server verschlüsseln, wodurch sie nicht nur nutzlos werden, sondern auch die einzige Version des Daten, die vorhanden sind.

FTP-Wildwuchs vervielfacht das Risiko

Sobald ein Unternehmen auf den Geschmack von FTP gekommen ist, explodiert seine Nutzung. "Die IT-Abteilung findet sich oft mit Dutzenden von FTP-Servern im gesamten Netzwerk wieder. Wir nennen dies "FTP Sprawl". Viele von ihnen sind im anonymen Modus konfiguriert, senden und speichern Dateien in Klartext auf FTP-Servern oder sind von Skripten abhängig. Dies sind oft die ersten Ziele, nach denen Cyberkriminelle suchen. Das FBI gab eine Warnung heraus (FBI-PIN 170322-001), dass Hacker auf Klartext-FTP-Server abzielten, die im anonymen Modus konfiguriert waren, um Angriffe zu starten im Netzwerk", argumentierte das eBook Ransomware Vulnerabilities in File Transfer .

Smart Shops haben alle Klartext- und anonymen FTP-Server aus ihrer IT-Infrastruktur entfernt.

FTP-Mängel

Es gibt noch weitere gravierende Mängel von FTP. Wenn Sie viele Dateien verschieben müssen, verlässt sich die IT-Abteilung oft auf Skripte, um den Prozess zu automatisieren. Skripte bringen ihre eigenen Komplikationen mit sich. Zunächst muss jemand die Skripte schreiben, was Zeit kostet, und jemand sollte das Skript testen, um sicherzustellen, dass es wie vorgesehen funktioniert. Aber Skripte sind kompliziert zu verwalten und werden oft nur von der Person verstanden, die sie geschrieben hat, und was passiert, wenn diese Person Ihr Unternehmen verlässt?

Und während Skripte einen geringen Automatisierungsgrad bieten, sind sie dem Volumen der Dateien, die Ihr Unternehmen versenden muss, oder den verschiedenen Arten von Übertragungen, die Sie wahrscheinlich benötigen, nicht gewachsen. Kurz gesagt, FTP ist schwer zu sichern, schwierig zu automatisieren und kann Ihre Dateiübertragungen nicht richtig verfolgen und überprüfen.

Am schlimmsten ist es, wenn Sie eine Vielzahl von Methoden für die Übertragung von Dateien verwenden. In diesem Fall werden Kopien von Dateien überall aufbewahrt, ohne dass es eine zentrale Überwachung oder Sicherheit gibt. Das ist eine Katastrophe, die nur darauf wartet, zu passieren.

FTP und Compliance

"Wenn nicht verwaltete oder unsichere FTP-Server in einer Organisation vorhanden sind, die routinemäßig mit Daten umgeht, die unter HIPAA, PCI, FINRA, FDA, SOX oder anderen Branchenvorschriften geschützt sind, besteht auch das Risiko erheblicher Bußgelder. Rund 65 % aller Datenschutzverletzungen von einem Benutzer stammen", argumentierte der MOVEit Why You Should Not Use FTP to Transfer Cloud Files Blog. "Die meisten dieser Fälle sind auf versehentliche Fehler oder schlechtes Urteilsvermögen zurückzuführen, bei denen sensible Daten falsch behandelt oder an einem nicht autorisierten Ort gespeichert werden - wie das Dateiverzeichnis eines FTP-Servers oder eines Filesharing-Dienstes für Verbraucher."

Die Antwort: Managed File Transfer

FTP wurde 1971 unter Verwendung des Client/Server-Modells entwickelt. Managed File Transfer (MFT)-Systeme sind zentralisiert und verfügen über "alle Funktionen für Transparenz, Berichterstellung, Protokollierung, Sicherheit, Nachverfolgung, Integration in Ihre Sicherheitsarchitektur, Ausfallsicherung und gesicherte Bereitstellung, die bereits von vornherein eingebaut sind (im Gegensatz zu Add-Ons)", so der MOVEit Cloud Blog. "Es handelt sich um Lösungen der Unternehmensklasse, auf denen Kernprozesse, wie die medizinischen Abrechnungs- und Zahlungssysteme eines Krankenhauses, aufgebaut werden können. Eine einzige Implementierung kann beispielsweise mehrere Übertragungsserver, Workflow-Automatisierungssysteme und Cloud-basierte Übertragungsdienste umfassen, die alle von einer zentralen Konsole aus verwaltet werden."

Managed File Transfer im Vergleich zu FTP

Weitere Informationen zu MFT finden Sie im MOVEit eBook für IT-Experten, das sich zwischen FTP und MFT entscheiden möchte: Warum IT-Teams zu MFT migrieren.

Wie das eBook erklärt, umfassen MFT-Lösungen:

  • Sichtbarkeit
  • Berichtend
  • Protokollierung
  • Sicherheit
  • Verfolgung
  • Integration in Ihre Sicherheitsarchitektur
  • Failover- und Liefersicherheit

Kritische Integrationen

MOVEit MFT kann durch die Integration in Ihre Sicherheit wie Data Loss Prevention (DLP), Zugriffskontrollsysteme und Viren-/Malware-Schutz noch sicherer werden.

Doug Barney

Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.

Read next Sicherheit bei der Dateiübertragung – Schutz vertraulicher Daten