Nella sua forma più semplice, File Transfer Protocol (FTP) è un metodo rudimentale per spostare i file da una posizione su una rete a un’altra.

L’FTP risale agli albori delle reti (1971) che precedono addirittura l’emergere nei primi anni ’80 delle moderne reti IP (Internet Protocol) basate su TCP (Transmission Control Protocol).

L’FTP è di gran lunga il modo più diffuso per spostare i file su Internet. Dei 4,3 miliardi di indirizzi IP stimati nello spazio degli indirizzi IPv4 nel 2016, quasi 22 milioni erano server FTP . È anche possibile trovare server FTP incorporati in applicazioni e stampanti aziendali chiavi in ​​mano.

Come funziona l’FTP?

FTP funziona su un modello client/server. I file vengono caricati da un client FTP a un server FTP dove possono essere acceduti da un’applicazione o da un client. Il server FTP esegue un daemon che ascolta continuamente le richieste FTP dai client.

Quando il daemon FTP riceve una richiesta, imposta una sessione di controllo che richiede i dettagli di accesso e quindi stabilisce la connessione.

Esistono due tipi di modalità di accesso consentite dall’FTP :

  • In modalità autenticata, il client deve autenticarsi con un ID utente e una password prima di poter accedere al server.
  • Nella modalità Anonimo, il client utilizza l’account “anonymous” o “ftp” e fornisce un indirizzo di posta elettronica come password. Una volta impostata una sessione di controllo, il server eseguirà uno dei comandi sopra richiesti dal client.
 La dipendenza dal trasferimento di file legacy è un errore critico per l’azienda.

Il protocollo FTP è un mezzo sicuro per trasferire i dati?

In poche parole, no! La semplicità dell’FTP è la sua più grande debolezza. Può essere configurato per l’accesso senza autenticazione valida. I file vengono archiviati non crittografati ed i dati trasferiti possono essere facilmente intercettati da hacker e criminali informatici mentre attraversano l’Internet aperta.

Alla fine del 2016 c’erano ancora circa 750.000 server FTP “anonimi” connessi a Internet. Questi sono facili bersagli per i criminali informatici. Con il minimo sforzo, è possibile stabilire una sessione di controllo. Accedendo con l’account ‘FTP’ e un indirizzo email, hanno pieno accesso alla directory dei file caricati e ancora residenti sul server.

Nel marzo del 2017, l’ FBI degli Stati Uniti ha emesso un avviso ai team di sicurezza nel settore sanitario per aumentare la consapevolezza del rischio rappresentato dai server FTP contenenti informazioni sanitarie protette (PHI).

Hai bisogno di crittografia? Inserisci FTPS, SFTP e HTTPS.  

Lungo la strada, tre opzioni, Secure Sockets Layer (SSL), Secure Shell (SSH) e HTTPS, sono state aggiunte alle implementazioni FTP. Tutti e tre sono ampiamente utilizzati per aumentare la sicurezza e l’affidabilità del trasferimento di file utilizzando la crittografia per proteggere dalla visualizzazione e dalla modifica non autorizzate di dati ad alto rischio durante la trasmissione attraverso reti aperte.

  • FTPS – L’opzione più veloce delle tre e più ampiamente implementata è FTPS o FTP su SSL. FTPS protegge i file trasmessi tramite FTP con Transport Socket Layer Security (TLS). TLS è anche a volte indicato come SSL (predecessore Secure Sockets Layer). FTPS richiede canali di trasmissione e controllo separati.
  • SFTP – (SSH File Transfer Protocol) fornisce il trasferimento di file e l’amministrazione su un singolo canale (in genere il protocollo SSH-2 {porta TCP 22}). Include alcune funzionalità extra che consentono di riprendere i trasferimenti di file interrotti e la possibilità di rimuovere i file in remoto. SFTP si aspetta che il protocollo sottostante (come SSH) fornisca autenticazione e sicurezza.
  • HTTPS – è una versione più sicura di HTTP. Proprio come il modo in cui FTPS utilizza la crittografia TLS per trasferire i file. HTTPS è in circolazione da un po ‘di tempo, ma è stato originariamente utilizzato per effettuare pagamenti sul Web. Poiché la privacy dei dati è diventata più importante, viene distribuita su molti siti Web in diversi settori e richiesta da Google per mantenere un buon posizionamento nelle ricerche.

SSH, SSL, TLS e HTTPS rendono sicuro l’FTP?

SSH, SSL, TLS e HTTPS consentono la trasmissione sicura dei dati. Nel panorama delle minacce odierno, tuttavia, è importante considerare che i file sono ancora archiviati in “testo normale” e che i server FTP configurati in modalità “anonima” forniscono un attraente vettore di attacco ai criminali informatici.

Le soluzioni di trasferimento file sono state spesso relegate nell’angolo più buio della sala server con il wattaggio più basso. Non è raro che i team IT trovino soluzioni FTP sviluppate internamente da molto tempo che non sono ben comprese, documentate o di facile manutenzione utilizzate per gestire i dati aziendali. I file caricati potrebbero non essere mai eliminati.

I server FTP offrono anche comode piattaforme di comando e controllo per i criminali informatici che hanno violato le difese di sicurezza di una rete. Nella famigerata violazione di Target, è stato utilizzato un server FTP interno per inviare i dati della carta di credito rubata ai server dei criminali informatici.

Hai bisogno di più livelli di sicurezza?

Non solo è importante crittografare i dati in transito, ma è altrettanto importante proteggerli e crittografarli “a riposo” sul server di trasferimento file. Perché? Due ragioni.

  • Uno, i file di scambio di dati sono particolarmente vulnerabili perché esistono in un formato di facile utilizzo. La crittografia aggiunge un livello di protezione che li rende illeggibili dai criminali informatici.
  • Due, i server di trasferimento file operano tramite un demone che presenta un vettore di attacco costante a Internet aperto. “Ascoltano” continuamente qualcuno che cerca di ottenere l’accesso.

I sistemi di trasferimento file gestito sicuro, come Progress MOVEit, forniscono livelli di sicurezza oltre SFTP, FTPS o HTTPS, inclusa la crittografia dei dati a riposo, l’integrazione con l’infrastruttura di sicurezza esistente e la registrazione di tutte le attività di trasferimento di file per fornire un audit trail automatizzato.

Crittografa i dati “a riposo”

La crittografia dei dati archiviati sui server di trasferimento li rende illeggibili ai criminali informatici. PGP (Pretty Good Privacy) è un approccio comune che garantisce la crittografia durante il caricamento senza la necessità di competenze speciali da parte dell’utente.

PGP è un programma di crittografia a chiave pubblica che è diventato lo standard più popolare per la crittografia delle e-mail .

Oltre a crittografare e decrittografare la posta elettronica, PGP viene utilizzato per firmare i messaggi in modo che il destinatario possa verificare sia l’identità del mittente che l’integrità del contenuto. PGP utilizza una chiave privata che deve essere mantenuta segreta e una chiave pubblica che mittente e destinatario devono condividere.

Integrazione con la tua infrastruttura di sicurezza esistente

Integrando il trasferimento di file con gli strumenti di sicurezza esistenti, è possibile applicare criteri di sicurezza per utenti, sistemi e file controllando al contempo il movimento dei file sensibili. Ciò consente di sfruttare l’autorizzazione/autenticazione dell’utente, l’antivirus, SIEM e DLP per proteggere ulteriormente i dati sensibili .

Registrazione di tutte le attività di trasferimento file

Con Progress MOVEit , tutte le interazioni di dati, inclusi file, eventi, persone, politiche e processi, vengono registrate in un database a prova di manomissione. Ciò consente la conformità con HIPAA, PCI, GDPR, SOX, FISMA, GLBA, FFIEC e altre normative sulla privacy dei dati .

Riassumendo

Come accennato in precedenza, FTP da solo non fornisce alcun meccanismo di sicurezza aggiuntivo oltre a chiedere una password. Se i dati che stai inviando non sono considerati sensibili e / o sono limitati al trasferimento di file all’interno della tua rete, allora l’FTP può andare benissimo da usare. Non utilizzare questa forma più semplice di FTP se i dati sensibili vengono trasferiti al di fuori della tua rete aziendale.

La soluzione di trasferimento file che utilizzi dipende semplicemente dal tuo budget, da ciò che stai trasferendo e dal tipo di crittografia di cui hai bisogno.

Puoi provare MOVEit Transfer  con una prova gratuita completamente funzionale che offre i vantaggi di sicurezza, affidabilità e conformità di MFT con un’implementazione di prim’ordine gestita da Progress MFT e da esperti di sicurezza. Ti mostreremo come eliminare il tempo speso a gestire gli aggiornamenti di software e sicurezza e come integrare la soluzione con le tue applicazioni interne e i servizi di provisioning.

Registrati per una trial gratuita e contattaci per saperne di più: commerciale@n4b.it

FONTE: PROGRESS BLOG – DI Greg Mooney – Greg è un tecnologo e un appassionato di dati con oltre 10 anni esperienza. Ha lavorato in diversi settori come manager IT e tester software. Greg è un appassionato scrittore di tutto ciò che riguarda l’IT, dalla sicurezza informatica alla risoluzione dei problemi

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS