SECURE FILE TRANSFER – MOVEIT: SFTP E FTP Sono Uguali?

In questo contributo cercheremo di rispondere alla domanda del titolo.  La prima considerazione da fare e che “Uno è sicuro, l’altro no”. Ma c’è di più in questa affermazione.

Il protocollo SFTP non si è evoluto da FTP ma da SSH, un protocollo di rete sicuro progettato per eliminare le carenze di Telnet, destinato all’uso su reti private. Pertanto, la doppia “S” sta per “Secure Shell”. SFTP, d’altra parte, è stato costruito da zero pensando alla sicurezza, motivo per cui è diventato l’opzione più popolare nella maggior parte delle situazioni di trasferimento di file.

In confronto, il successore di FTP, FTPS, era semplicemente un’estensione / ripensamento per incorporare le funzionalità di sicurezza desiderate.  Sia FTP che SFTP consentono agli utenti di trasferire file, cioè servono la stessa funzione di base ma sono mondi a parte.

Oggi I tuoi server FTP sono i principali obiettivi di ransomware e sabotaggio da parte delle organizzazioni criminali.

Negli affari, tutti i dati sono considerati essenziali. Alcuni dati sono più critici e richiedono il trasferimento per la revisione, la collaborazione e la condivisione con il pubblico, i fornitori, i colleghi o i partner desiderati. In genere, viene utilizzato un repository di dati (che coinvolge file e cartelle in modo tradizionale) e, per coloro che sono abbastanza esperti da evitare cloud di terze parti , i file server privati ​​offrono la massima possibilità di controllo interno. Il metodo di trasferimento dei file utilizzato deve proteggere i dati durante tutti gli aspetti del suo viaggio, dalla creazione alla cancellazione finale. Con i trasferimenti di file che coinvolgono l’accesso al server remoto, vengono introdotti ulteriori rischi per la sicurezza. Questi includono la perdita di dati a causa di violazioni, errori di utilizzo o attori malintenzionati.

Le aziende dovrebbero evitare l’utilizzo FTP standard ( SCP presenta anche problemi di sicurezza ) per il trasferimento di dati sensibili o riservati.

Utilizza SFTP se una soluzione di trasferimento file gestito (MFT) non è nel budget. I motivi della scelta del protocollo SFTP includono ma non sono limitati a:

  • Conformità e crittografia

Poiché la crittografia codifica i dati, rende i dati leggibili solo per il mittente e il destinatario. FTP non offre crittografia e i dati intercettati sono facilmente leggibili da terze parti. SFTP utilizza Secure Shell (SSH), verificando le chiavi host del destinatario prima che inizi il trasferimento dei dati. Indipendentemente dal settore o dall’ubicazione, è probabile che la tua azienda sia conforme a uno o più dei seguenti standard (E alle leggi locali sulla privacy dei dati): HIPAA, ITAR, PCI-DSS, SOX e GLBA. Tutto ciò rende i dati crittografati obbligatori per la conformità.

  • Comunicazione

Con FTP, vengono utilizzate più porte (richiede un canale dati secondario) per trasferire i file, ma SFTP utilizza una porta per inviare e ricevere dati – la porta 22. Ciò semplifica la configurazione del firewall e aumenta la sicurezza generale. Inoltre, FTP non offre un metodo standard per modificare gli attributi di file e directory.

  • Hacking

FTP è facilmente hackerabile: anche i dilettanti possono intercettare i trasferimenti FTP con un set di strumenti di base (fornito con Kali Linux , ad esempio) o utilizzando la funzione di accesso anonimo.

  • Errore umano

È facile commettere un errore. L’invio del file sbagliato o l’invio del file corretto al destinatario sbagliato potrebbe causare seri problemi alla tua azienda. Sebbene l’errore umano non venga eliminato con SFTP, viene ridotto man mano che le chiavi dell’host del destinatario vengono verificate prima dell’inizio del trasferimento dei file.

  • Inconvenienti

La diagnostica è un problema per SFTP poiché tutti i log (e i messaggi) sono in formato binario. Le chiavi SSH sono difficili da gestire e convalidare e alcune funzionalità (quando abilitate o disabilitate) portano a problemi di compatibilità con il software lato client di diversi fornitori. Inoltre, se sei nello sviluppo di software, l’implementazione dei trasferimenti di file potrebbe richiedere strumenti aggiuntivi . Ad esempio, il framework .NET non dispone del supporto SSH o SFTP nativo.

In conclusione, sebbene questo non sia un elenco esaustivo di pro e contro per ciascun protocollo, è chiaro che FTP non è consigliato se si valorizzano i dati a meno che non si introduca la crittografia su TLS / SSL. Anche in questo caso, SFTP è più sicuro.

In definitiva, DEVI SCEGLIERE una soluzione di trasferimento file adatta al tuo scopo, utilizzo della piattaforma e obiettivi aziendali. Che il tuo trasferimento di file includa server, desktop o dispositivi mobili, ci sono soluzioni per tutte le opzioni. Al momento della scrittura, SFTP è generalmente considerato il più sicuro, davanti a FTPS e SCP. Sebbene non esista una sicurezza al 100% nella sicurezza informatica, se la conformità, la flessibilità, l’automazione e un audit trail sono il tuo obiettivo, allora una soluzione gestita che abbia un client SFTP come opzione per i trasferimenti di file è la migliore.

Una valida soluzione è l’adozione di WS-FTP SERVER per la gestione del trasferimento sicuro dei files tramite FTP, FTPS e SFTP o evolvere verso MOVEit Transfer è la soluzione di Managed File Transfer (MFT) più flessibile sul mercato.

Contattaci per saperne di più: commerciale@n4b.it

FONTE: IPSWITCH BLOG – DI Michael O’Dwyer – giornalista di affari e tecnologia, consulente indipendente e scrittore specializzato in scrittura per il pubblico di imprese, piccole imprese e IT.

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS

 

Read More

SECURE FILE TRANSFER – Che Cos’è il non ripudio e come può essere d’aiuto il Trasferimento File Gestito?

Oggi partiamo parlando di un esempio di una situazione imbarazzante: tu e un cliente collaborate online, condividendo la visione di un contratto e  cercando di concordare il programma di pagamento.

Mentre esamini i termini, ti rendi conto che qualcosa è cambiato. Alcuni dei contenuti del file che hai inviato non sono gli stessi del file che il cliente dichiara di aver ricevuto. Cosa è successo?

Per tutti i file che scambi con clienti e partner, vuoi essere in grado di dimostrare che i file caricati e scaricati sono identici. Acquisire questa capacità è fondamentale in caso di controversia su chi ha modificato il contenuto di un file. Se il disaccordo potrebbe comportare una diminuzione della fiducia o una questione legale, devi assicurarti che i tuoi clienti e partner non dubitino mai della tua integrità.

Dimostrazione della validità del file

La risposta a questa sfida viene dal non ripudio. Secondo Webopedia , il non ripudio garantisce che un messaggio digitale trasferito sia stato inviato e ricevuto dalle parti che affermano di aver inviato e ricevuto il messaggio. Il non ripudio può essere ottenuto in tre modi:

  • Firme digitali che funzionano come identificatori univoci per un individuo, proprio come una firma scritta
  • Ricevute digitali create dall’agente di trasferimento messaggi che confermano che i messaggi sono stati inviati e ricevuti
  • Data e ora che provano quando un documento è stato composto ed esisteva in un determinato momento

Quando il non ripudio viene applicato ai file trasferiti elettronicamente tra due parti, il mittente non può negare l’invio del messaggio e il destinatario non può negare di aver ricevuto il messaggio, dimostrando così la validità del trasferimento ad entrambe le parti. Il non ripudio può essere utilizzato anche in procedimenti legali per dimostrare l’origine di un file e che i dati all’interno del file non sono stati manomessi.

In sostanza, chi ha inviato un messaggio, da dove è stato inviato, chi lo ha ricevuto, dove lo ha ricevuto e l’integrità del file può sempre essere garantita. E in caso di controversia sulla validità del contenuto all’interno di un file trasferito, il non ripudio fornisce preziose funzionalità forensi per verificare cosa è successo.

Tornando alla controversia contrattuale discussa sopra, forse qualcuno ha fatto un cambiamento inavvertitamente, forse anche qualcuno all’interno della tua azienda. O forse si tratta di un malinteso. In ogni caso, il problema viene risolto e la fiducia tra te e il tuo cliente rimane intatta.

I trasferimenti sicuri e conformi richiedono il non ripudio end-to-end

Oltre al non ripudio end-to-end che gioca un ruolo essenziale nell’implementazione di un processo di trasferimento di file sicuro tra la tua azienda ei tuoi clienti e partner, è anche richiesto da tutte le principali normative che proteggono le informazioni sensibili. Questi includono HIPAA, GDPR, SOX e FISMA.

L’implementazione corretta del non ripudio può essere ottenuta implementando una soluzione MFT (Managed File Transfer) in esecuzione su un server sicuro che esegue queste funzioni:

  • Autentica ogni utente che carica o scarica un file
  • Controlla l’integrità di ogni file quando viene caricato e scaricato
  • Confronta i risultati del controllo di integrità generato dal server e dal client
  • Associa e registra l’autenticazione e controlla i risultati

Le principali soluzioni MFT sfruttano uno di questi due algoritmi:

  • SHA ( Secure Hash Algorithm ) crittograficamente valido
  • Message Digest (MD) per verificare l’integrità dei file.

L’algoritmo SHA accetta input e produce un valore hash che in genere è lungo 40 cifre. È il metodo più efficace dei due algoritmi ed è approvato in base allo standard FIPS (Federal Information Processing Standard) 140-2 degli Stati Uniti.

La risposta alla sfida del non ripudio

Per risolvere la sfida del non ripudio, molte aziende si sono rivolte al  software MOVEit® Managed File Transfer  . La soluzione presenta moduli crittografici convalidati FIPS 140-2 che includono gli algoritmi SHA e MD per il controllo dell’integrità dei file.

Migliaia di organizzazioni in tutto il mondo hanno implementato MOVEit per avere visibilità sulle attività di trasferimento dei file dei propri utenti finali. Con MOVEit, il tuo team IT può garantire l’affidabilità dei processi aziendali principali che dipendono dal trasferimento sicuro e conforme di dati sensibili tra utenti interni e clienti, partner e fornitori.

È possibile distribuire la soluzione in locale o nel cloud, con entrambi gli ambienti che offrono conformità certificata a PCI, HIPAA, GDPR e altre normative relative alla protezione dei dati personali. È inoltre possibile consolidare tutte le attività di trasferimento file in un unico sistema. Ciò consente di gestire i controlli di non ripudio e monitorare da vicino l’accesso, la crittografia e il monitoraggio degli allenamenti per garantire la conformità con gli SLA, la governance interna e le normative.

Oltre a difendere la tua attività, se dovesse verificarsi una controversia sulla gestione dei file, le capacità di non ripudio di MOVEit sono un ottimo modo per mostrare ai tuoi clienti e ai tuoi partner quanto sei serio riguardo alla protezione dell’integrità dei documenti. E questo aiuta a stabilire un livello di fiducia che favorisce le relazioni a lungo termine!

Registrati per una trial gratuita e contattaci per saperne di più: commerciale@n4b.it

FONTE: PROGRESS BLOG – di Greg Mooney – Greg è un tecnologo e un appassionato di dati con oltre 10 anni di esperienza. Ha lavorato in diversi settori come manager IT e tester software. Greg è un appassionato scrittore di tutto ciò che riguarda l’IT, dalla sicurezza informatica alla risoluzione dei problemi.

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS

Read More

SECURE FILE TRANSFER – MOVEIT – Trasferimento File Gestito: SaaS Vs. On-Premise

Mantenere file e dati al sicuro quando più utenti lavorano in remoto è, ovviamente, una preoccupazione. Ecco perché una soluzione di trasferimento file gestito SaaS è fondamentale.

I mandati di lavoro da casa che la maggior parte delle aziende è stata costretta a rispettare a causa della pandemia COVID-19 hanno sottolineato il valore del provisioning dei servizi IT dal cloud. Oltre a rendere più facile per i dipendenti svolgere il proprio lavoro dagli uffici domestici, il cloud aiuta anche i team IT semplificando la gestione dell’infrastruttura IT e il supporto tecnico per gli utenti finali.

Lascia che i dipendenti collaborino … in modo sicuro e conforme!

Uno degli strumenti fondamentali per affrontare questa sfida è una soluzione MFT (Managed File Transfer). Con MFT, l’IT può consolidare tutte le attività di trasferimento di file. Ciò consente di aumentare i controlli di sicurezza sui processi aziendali principali che i dipendenti utilizzano per scambiarsi file tra loro, nonché con clienti e partner.

I vantaggi di SaaS Managed File Transfer (MFT)

Le principali soluzioni MFT forniscono sicurezza, controlli di accesso centralizzati, automazione, crittografia dei file e registrazione a prova di manomissione. Ciò aiuta i team IT a garantire che le attività di trasferimento dei file della propria azienda siano conformi ai requisiti interni di governance e SLA, nonché ai requisiti normativi esterni come PCI, HIPAA, CCPA e GDPR.

Alcuni team IT preferiscono gestire MFT in locale per il controllo aggiuntivo che una soluzione locale può offrire. Ma quando il team IT è costretto a lavorare da casa, di solito scopre che la soluzione in loco non è scalabile così facilmente ed è un po ‘complicata da gestire.

Ma attingendo a una soluzione MFT Software as a Service (SaaS) , (scopri le modalità di depolyment) puoi essere attivo e funzionante in genere in meno di 30 minuti. Le soluzioni SaaS forniscono le stesse funzionalità delle versioni locali e il consumo può essere aumentato e ridotto in base alle esigenze di trasferimento dei file della tua azienda. Ciò ottimizza il costo del servizio e riduce il sovraccarico IT in relazione alla frequenza di utilizzo.

Sincronizza la tua decisione con la tua strategia cloud

La decisione di utilizzare MFT in modalità SaaS piuttosto che in locale dovrebbe essere presa anche nel contesto del tuo approccio generale all’IT. Se la maggior parte dell’infrastruttura IT viene eseguita in locale, potrebbe essere opportuno eseguire anche MFT in locale.

Ma se hai spostato una buona parte di tale infrastruttura nel cloud o lo stai facendo, la migrazione di MFT a un provider SaaS ha perfettamente senso. I vantaggi del passaggio al cloud e dell’utilizzo di partner SaaS sono ben documentati:

Necessità ridotta di risorse IT

L’IT locale richiede risorse di personale per la progettazione e l’implementazione e risorse di capitale iniziali per hardware e software. Il ciclo di vita dell’hardware è in genere di 2-3 anni, il che significa che dovrai ripetere questi processi ancora e ancora. Con i provider SaaS, non dovrai preoccuparti di nulla di tutto ciò. Si occupano di tutti i servizi di progettazione e distribuzione e applicano regolarmente aggiornamenti hardware e software. Le tue grandi spese di capitale si trasformano in un costo operativo mensile pianificato.

Meno preoccupazioni

Quando i sistemi locali si bloccano, il tuo team IT deve abbandonare ciò che sta facendo e concentrare tutta la sua attenzione sul ripristino dei servizi applicativi e sull’accesso ai dati. La possibilità di un incidente è sempre presente, quindi l’IT non può mai rilassarsi completamente. Ciò toglie loro la capacità di pianificare e implementare iniziative IT strategiche. E anche quando i sistemi funzionano correttamente, la manutenzione continua dell’hardware e l’applicazione di patch del software sono una seccatura. I provider SaaS eliminano queste preoccupazioni con alti livelli di tolleranza ai guasti che consentono ai sistemi inattivi di eseguire automaticamente il failover sui sistemi di backup, in modo che le operazioni aziendali non vengano interrotte. Anche la manutenzione regolare e le patch sono automatizzate.

Elevata sicurezza

I criminali informatici evolvono continuamente i loro attacchi ; è quasi impossibile per un team IT interno tenere il passo con tutte le nuove attività, in particolare quando può solo visualizzare ciò che sta accadendo sulla propria infrastruttura di rete. I provider SaaS hanno accesso a tutti gli strumenti di sicurezza e all’intelligence più recenti e impiegano esperti del settore, che possono applicare le migliori pratiche in materia di sicurezza coltivate da vaste esperienze in più settori. Indipendentemente dalle dimensioni o dalle dimensioni della tua azienda, un provider SaaS fornirà alla tua azienda sicurezza e protezione dei dati a livello aziendale.

Mobilità aumentata

Con un server locale, le opzioni di mobilità sono limitate a meno che non si distribuiscano reti private virtuali complesse. Sono inoltre necessari ulteriore sicurezza e manutenzione affinché i dipendenti possano lavorare in remoto e avere ancora accesso al software in loco. I provider SaaS possono facilmente ospitare il tuo personale remoto che lavora senza costi aggiuntivi o configurazione.

Un altro vantaggio chiave dell’utilizzo di una soluzione SaaS è la scalabilità. Quando la tua azienda cresce, lo sarà anche la tua applicazione. Con l’infrastruttura locale, la crescita è complicata. La scalabilità richiede nuove apparecchiature e configurazione aggiuntiva. Ma con un provider SaaS, la scalabilità è facile e non richiede strumenti aggiuntivi o licenze software. Ordinate semplicemente le risorse aggiuntive di cui avete bisogno e pagate solo per ciò che utilizzate.

Un modo semplice e gratuito per testare SaaS MFT

Forse la ragione migliore di tutte per prendere in seria considerazione una soluzione SaaS MFT è quanto sia facile fare un giro di prova. Puoi provare MOVEit Transfer  con una prova gratuita completamente funzionale che offre i vantaggi di sicurezza, affidabilità e conformità di MFT con un’implementazione di prim’ordine gestita da Progress MFT e da esperti di sicurezza. Ti mostreremo come eliminare il tempo speso a gestire gli aggiornamenti di software e sicurezza e come integrare la soluzione con le tue applicazioni interne e i servizi di provisioning.

Registrati per una trial gratuita e contattaci per saperne di più: commerciale@n4b.it

FONTE: PROGRESS BLOG – DI Greg Mooney – Greg è un tecnologo e un appassionato di dati con oltre 10 anni esperienza. Ha lavorato in diversi settori come manager IT e tester software. Greg è un appassionato scrittore di tutto ciò che riguarda l’IT, dalla sicurezza informatica alla risoluzione dei problemi

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS

Read More

SECURE FILE TRANSFER – MOVEIT: Trasferimento File Gestito E Miglioramento Della Conformità Alle Normative

Scopri come il software di Managed File Transfer è stato utilizzato nel settore sanitario per il trasferimento di enormi quantità di dati su base giornaliera, mantenendo la sicurezza e la conformità. 

Nell’odierna azienda moderna e distribuita, i servizi di trasferimento file gestito sicuro sono fondamentali per la collaborazione e il flusso di lavoro aziendale. Finché  il lavoro remoto e l’efficienza rimangono una priorità aziendale assoluta, le soluzioni di trasferimento file gestito continueranno a prosperare, indipendentemente dal fatto che il flusso di lavoro sia da persona a persona, da persona a server, da server a persona o da server a server.  

L’atto di condivisione dei file non è certo una novità. Condividiamo file digitalmente da quando è stato inventato il floppy disk nel 1967. La novità della condivisione di file è il modo in cui procediamo e la velocità con cui i file vengono condivisi. Fin dall’inizio,  FTP  ha reso possibile lo spostamento di grandi volumi di dati in blocco tra due entità qualsiasi, inclusi file server, applicazioni e partner commerciali. Tuttavia, FTP (e altri protocolli di comunicazione come HTTP e SMTP) non forniscono intrinsecamente un modo per proteggere o gestire il carico utile o la trasmissione. Tuttavia, indipendentemente dalla mancanza di capacità di sicurezza o di gestione, molte aziende hanno continuato a trasportare grandi lotti di dati strutturati e non strutturati con questi protocolli. 

Tuttavia, questa pratica sta cambiando. Secondo  Gartner,  “le organizzazioni utilizzano spesso soluzioni MFT per sostituire l’FTP. Ciò è dovuto alla maggiore attenzione alla conformità, alle normative sulla privacy e alla trasparenza aziendale, che richiedono maggiore controllo, gestione, sicurezza e processo”.  

Le soluzioni di trasferimento file gestito (MFT) hanno sorprendentemente dimostrato una grande trazione all’interno dell’azienda, nonostante la mercificazione di molti altri meccanismi di trasferimento file Gli strumenti MFT possono essere implementati sia come pacchetti software con licenza in loco che come soluzioni SaaS (Software-as-a-Service) per consentire agli utenti di avere visibilità e controllo end-to-end, reporting, log e altri audit trail e protezione dei dati tramite crittografia.    

Le aziende che richiedono il trasferimento di enormi quantità di dati su base giornaliera per mantenere la sicurezza e la conformità funzionano meglio con il  software MFT   In genere, settori come servizi bancari e finanziari, assicurazioni, vendita al dettaglio, sanità e produzione utilizzano ampiamente gli strumenti MFT. 

Nell’arena sanitaria, ad esempio, Progress MOVEit ha  fornito  visibilità e controllo centralizzati al  personale IT del Rochester General Hospital che lavora dietro le quinte per stabilire connessioni con le organizzazioni di pagamento e gestire i trasferimenti. “Avevamo bisogno di consolidare un modo standard per trasferire i file a molti sistemi di pagamento diversi e  MOVEit  è stata una grande risorsa per noi”, afferma Dylan Taft, ingegnere di sistema presso il Rochester General Hospital. 

La salvaguardia della privacy dei pazienti è sempre una priorità per Rochester General e un altro vantaggio di  MOVEit  è la capacità di trasferire le informazioni sui pazienti in modo sicuro e di poterlo provare. MOVEit è  conforme alle normative HIPAA e HITECH per il trasferimento sicuro delle informazioni riservate sui pazienti e conserva un audit trail completo di tutte le attività di trasferimento dei file nel suo database. “Senza  MOVEit , non avremmo quella visibilità. MOVEit  è lo strumento che ce lo fornisce “, ha affermato Dylan. 

Secondo  Global Market Insights  inc , si prevede che il segmento sanitario nel mercato del trasferimento di file gestito crescerà di oltre il 16% CAGR fino al 2026. Le organizzazioni che operano nel settore sanitario stanno implementando soluzioni di trasferimento di file gestito per condividere e gestire dati critici come quelli dei pazienti anamnesi e letture dei dispositivi medici. Aiutano anche a mantenere la conformità normativa per il settore sanitario, incluso l’Health Insurance Portability and Accountability Act (HIPAA). 

Se la tua soluzione di trasferimento file gestito non supporta sicurezza, governance e visibilità avanzate, è il momento per un aggiornamento. Solo una soluzione di trasferimento file gestito veramente sicura ti consente di accelerare il tuo business e proteggere la tua organizzazione in questo nuovo mondo del lavoro. 

Registrati per una trial gratuita di MOVEit e contattaci per saperne di più: commerciale@n4b.it

 

FONTE: BLOG PROGRESS – DI Evan Kirstel leader di pensiero B2B e un “influencer” tecnologico di prim’ordine con un seguito diretto sui social media di oltre 500.000 persone con una portata organica di decine di milioni. Evan sta aiutando i marchi tecnologici B2B come AT&T Business a ottenere un’enorme visibilità e scalabilità attraverso i social panorama dei media in aree come mobile, blockchain, cloud, 5G, HealthTech, IoT, AI, salute digitale, crypto, AR, VR, Big Data, Analytics e CyberSecurity. Evan è stato recentemente nominato 4th Most Engaging Digital Marketer da Brand24

TRADUZIONE E ADATTAMENTO: N4B SRL – Distributore Autorizzato Progress

Read More

SECURE FILE TRANSFER – Cos’è Il Protocollo Di Trasferimento File (FTP)?

Nella sua forma più semplice, File Transfer Protocol (FTP) è un metodo rudimentale per spostare i file da una posizione su una rete a un’altra.

L’FTP risale agli albori delle reti (1971) che precedono addirittura l’emergere nei primi anni ’80 delle moderne reti IP (Internet Protocol) basate su TCP (Transmission Control Protocol).

L’FTP è di gran lunga il modo più diffuso per spostare i file su Internet. Dei 4,3 miliardi di indirizzi IP stimati nello spazio degli indirizzi IPv4 nel 2016, quasi 22 milioni erano server FTP . È anche possibile trovare server FTP incorporati in applicazioni e stampanti aziendali chiavi in ​​mano.

Come funziona l’FTP?

FTP funziona su un modello client/server. I file vengono caricati da un client FTP a un server FTP dove possono essere acceduti da un’applicazione o da un client. Il server FTP esegue un daemon che ascolta continuamente le richieste FTP dai client.

Quando il daemon FTP riceve una richiesta, imposta una sessione di controllo che richiede i dettagli di accesso e quindi stabilisce la connessione.

Esistono due tipi di modalità di accesso consentite dall’FTP :

  • In modalità autenticata, il client deve autenticarsi con un ID utente e una password prima di poter accedere al server.
  • Nella modalità Anonimo, il client utilizza l’account “anonymous” o “ftp” e fornisce un indirizzo di posta elettronica come password. Una volta impostata una sessione di controllo, il server eseguirà uno dei comandi sopra richiesti dal client.
 La dipendenza dal trasferimento di file legacy è un errore critico per l’azienda.

Il protocollo FTP è un mezzo sicuro per trasferire i dati?

In poche parole, no! La semplicità dell’FTP è la sua più grande debolezza. Può essere configurato per l’accesso senza autenticazione valida. I file vengono archiviati non crittografati ed i dati trasferiti possono essere facilmente intercettati da hacker e criminali informatici mentre attraversano l’Internet aperta.

Alla fine del 2016 c’erano ancora circa 750.000 server FTP “anonimi” connessi a Internet. Questi sono facili bersagli per i criminali informatici. Con il minimo sforzo, è possibile stabilire una sessione di controllo. Accedendo con l’account ‘FTP’ e un indirizzo email, hanno pieno accesso alla directory dei file caricati e ancora residenti sul server.

Nel marzo del 2017, l’ FBI degli Stati Uniti ha emesso un avviso ai team di sicurezza nel settore sanitario per aumentare la consapevolezza del rischio rappresentato dai server FTP contenenti informazioni sanitarie protette (PHI).

Hai bisogno di crittografia? Inserisci FTPS, SFTP e HTTPS.  

Lungo la strada, tre opzioni, Secure Sockets Layer (SSL), Secure Shell (SSH) e HTTPS, sono state aggiunte alle implementazioni FTP. Tutti e tre sono ampiamente utilizzati per aumentare la sicurezza e l’affidabilità del trasferimento di file utilizzando la crittografia per proteggere dalla visualizzazione e dalla modifica non autorizzate di dati ad alto rischio durante la trasmissione attraverso reti aperte.

  • FTPS – L’opzione più veloce delle tre e più ampiamente implementata è FTPS o FTP su SSL. FTPS protegge i file trasmessi tramite FTP con Transport Socket Layer Security (TLS). TLS è anche a volte indicato come SSL (predecessore Secure Sockets Layer). FTPS richiede canali di trasmissione e controllo separati.
  • SFTP – (SSH File Transfer Protocol) fornisce il trasferimento di file e l’amministrazione su un singolo canale (in genere il protocollo SSH-2 {porta TCP 22}). Include alcune funzionalità extra che consentono di riprendere i trasferimenti di file interrotti e la possibilità di rimuovere i file in remoto. SFTP si aspetta che il protocollo sottostante (come SSH) fornisca autenticazione e sicurezza.
  • HTTPS – è una versione più sicura di HTTP. Proprio come il modo in cui FTPS utilizza la crittografia TLS per trasferire i file. HTTPS è in circolazione da un po ‘di tempo, ma è stato originariamente utilizzato per effettuare pagamenti sul Web. Poiché la privacy dei dati è diventata più importante, viene distribuita su molti siti Web in diversi settori e richiesta da Google per mantenere un buon posizionamento nelle ricerche.

SSH, SSL, TLS e HTTPS rendono sicuro l’FTP?

SSH, SSL, TLS e HTTPS consentono la trasmissione sicura dei dati. Nel panorama delle minacce odierno, tuttavia, è importante considerare che i file sono ancora archiviati in “testo normale” e che i server FTP configurati in modalità “anonima” forniscono un attraente vettore di attacco ai criminali informatici.

Le soluzioni di trasferimento file sono state spesso relegate nell’angolo più buio della sala server con il wattaggio più basso. Non è raro che i team IT trovino soluzioni FTP sviluppate internamente da molto tempo che non sono ben comprese, documentate o di facile manutenzione utilizzate per gestire i dati aziendali. I file caricati potrebbero non essere mai eliminati.

I server FTP offrono anche comode piattaforme di comando e controllo per i criminali informatici che hanno violato le difese di sicurezza di una rete. Nella famigerata violazione di Target, è stato utilizzato un server FTP interno per inviare i dati della carta di credito rubata ai server dei criminali informatici.

Hai bisogno di più livelli di sicurezza?

Non solo è importante crittografare i dati in transito, ma è altrettanto importante proteggerli e crittografarli “a riposo” sul server di trasferimento file. Perché? Due ragioni.

  • Uno, i file di scambio di dati sono particolarmente vulnerabili perché esistono in un formato di facile utilizzo. La crittografia aggiunge un livello di protezione che li rende illeggibili dai criminali informatici.
  • Due, i server di trasferimento file operano tramite un demone che presenta un vettore di attacco costante a Internet aperto. “Ascoltano” continuamente qualcuno che cerca di ottenere l’accesso.

I sistemi di trasferimento file gestito sicuro, come Progress MOVEit, forniscono livelli di sicurezza oltre SFTP, FTPS o HTTPS, inclusa la crittografia dei dati a riposo, l’integrazione con l’infrastruttura di sicurezza esistente e la registrazione di tutte le attività di trasferimento di file per fornire un audit trail automatizzato.

Crittografa i dati “a riposo”

La crittografia dei dati archiviati sui server di trasferimento li rende illeggibili ai criminali informatici. PGP (Pretty Good Privacy) è un approccio comune che garantisce la crittografia durante il caricamento senza la necessità di competenze speciali da parte dell’utente.

PGP è un programma di crittografia a chiave pubblica che è diventato lo standard più popolare per la crittografia delle e-mail .

Oltre a crittografare e decrittografare la posta elettronica, PGP viene utilizzato per firmare i messaggi in modo che il destinatario possa verificare sia l’identità del mittente che l’integrità del contenuto. PGP utilizza una chiave privata che deve essere mantenuta segreta e una chiave pubblica che mittente e destinatario devono condividere.

Integrazione con la tua infrastruttura di sicurezza esistente

Integrando il trasferimento di file con gli strumenti di sicurezza esistenti, è possibile applicare criteri di sicurezza per utenti, sistemi e file controllando al contempo il movimento dei file sensibili. Ciò consente di sfruttare l’autorizzazione/autenticazione dell’utente, l’antivirus, SIEM e DLP per proteggere ulteriormente i dati sensibili .

Registrazione di tutte le attività di trasferimento file

Con Progress MOVEit , tutte le interazioni di dati, inclusi file, eventi, persone, politiche e processi, vengono registrate in un database a prova di manomissione. Ciò consente la conformità con HIPAA, PCI, GDPR, SOX, FISMA, GLBA, FFIEC e altre normative sulla privacy dei dati .

Riassumendo

Come accennato in precedenza, FTP da solo non fornisce alcun meccanismo di sicurezza aggiuntivo oltre a chiedere una password. Se i dati che stai inviando non sono considerati sensibili e / o sono limitati al trasferimento di file all’interno della tua rete, allora l’FTP può andare benissimo da usare. Non utilizzare questa forma più semplice di FTP se i dati sensibili vengono trasferiti al di fuori della tua rete aziendale.

La soluzione di trasferimento file che utilizzi dipende semplicemente dal tuo budget, da ciò che stai trasferendo e dal tipo di crittografia di cui hai bisogno.

Puoi provare MOVEit Transfer  con una prova gratuita completamente funzionale che offre i vantaggi di sicurezza, affidabilità e conformità di MFT con un’implementazione di prim’ordine gestita da Progress MFT e da esperti di sicurezza. Ti mostreremo come eliminare il tempo speso a gestire gli aggiornamenti di software e sicurezza e come integrare la soluzione con le tue applicazioni interne e i servizi di provisioning.

Registrati per una trial gratuita e contattaci per saperne di più: commerciale@n4b.it

FONTE: PROGRESS BLOG – DI Greg Mooney – Greg è un tecnologo e un appassionato di dati con oltre 10 anni esperienza. Ha lavorato in diversi settori come manager IT e tester software. Greg è un appassionato scrittore di tutto ciò che riguarda l’IT, dalla sicurezza informatica alla risoluzione dei problemi

TRADUZIONE ED ADATTAMENTO: N4B SRL Distributore Autorizzato PROGRESS

Read More

SECURE FILE TRANSFER – Che cos’è, come usare e come trovare il software FTP.

Cos’è il software FTP?
FTP (File Transfer Protocol) è un protocollo Internet standard utilizzato, come suggerisce il nome, per trasferire file tra computer. Il software FTP utilizza un modello di server client, quindi richiede due parti, un client FTP e un server FTP. Le applicazioni più diffuse per FTP consentono di caricare o scaricare file per l’archiviazione o la condivisione di file troppo grandi per la posta elettronica. Nella maggior parte dei casi, oggi, la funzione FTP è effettivamente servita da server SFTP e client SSH. SFTP è simile all’FTP con l’eccezione che tutto il traffico, comprese password, comandi e dati, è crittografato per evitare intercettazioni durante la trasmissione.

Come si usa l’FTP?
Storicamente, FTP è stato un mezzo popolare per spostare file di grandi dimensioni tra sistemi o tra desktop e sistemi. FTP è anche un mezzo comune per condividere un file troppo grande per un allegato di posta elettronica caricandolo in una posizione neutra per l’accesso da parte di altri sistemi, software o individui. Sviluppato in tempi più semplici, questo protocollo limitato non fornisce le funzionalità di sicurezza o di gestione dei file che spesso sono ora richieste per lo scambio di dati aziendali. SFTP (Secure File Transfer Protocol) è nato per fornire queste funzionalità combinando FTP avanzato con SSH. Per comunicare con un server SFTP, è necessario un client che supporti SSH.

Dove posso trovare il software FTP?
Progress offre il client FTP commerciale più popolare al mondo, WS_FTP Professional e il famosissimo WS_FTP Server , che supportano entrambi SFTP. 

Se la tua organizzazione ha bisogno di spostare grandi volumi di dati su base regolare, soprattutto se tali dati sono sensibili o protetti da normative, potresti prendere in considerazione una soluzione MFT come MOVEit di Progress che ti consente di gestire, visualizzare e controllare tutte le attività attraverso un unico sistema. Oltre a SSH, MOVEit è dotato delle più recenti funzionalità di sicurezza, tra cui crittografia end-to-end, protezione da vulnerabilità e antivirus, controllo dell’integrità dei file e altro.

FONTE SITO WEB PROGRESS

TRADUZIONE E ADATTAMENTO: N4B SRL – Distributore Autorizzato Progress

 

Read More