對於大多數組織來說,網路應用程式安全始於旨在解決開放 網路應用程式安全專案 (OWASP) 十大 網路應用程式安全風險的解決方案[1]。這些風險包括最常見的 網路應用程式攻擊媒介,例如 SQL 注入和跨網站腳本 (XSS)。然而,OWASP還列出了數十個其他漏洞,例如不受限制的檔案上傳[2],這些漏洞“對應用程式構成了嚴重風險”。
OPSWAT 最近發佈了《 2021 年 網路應用程式安全報告》,該報告顯示,幾乎所有 (99%) 的受訪公司都不同程度地擔心防止檔案上傳帶來的惡意軟體和網路攻擊。組織出於各種原因部署檔案上傳門戶,例如提交表單和應用程式或共用和協作處理內容。超過一半 (51%) 擁有檔案上傳門戶的組織每天處理超過 5,000 個檔案上傳。此卷(包括來自第三方來源的提交)為駭客提供了廣泛的攻擊面。
OPSWAT 推薦了 10 個檔案上傳安全最佳實踐,但只有 8% 擁有檔案上傳門戶的組織完全實施了所有 10 個最佳實踐。超過一半的擁有檔案上傳門戶的組織實施了不到一半的最佳實踐。這是其 網路應用程式安全策略中的一個主要盲點,尤其是考慮到針對性攻擊的快速增加。
一個主要的挑戰是網路攻擊的不斷發展和日益複雜。組織不能依賴傳統的“複選框”防禦。依賴半途而廢的措施會帶來一種虛假的安全感,並且不符合對關鍵基礎設施保護至關重要的零信任方法。考慮到這一點,讓我們看一些需要揭穿的常見 網路應用程式安全神話。
誤區 #1:我的 網路應用程式是安全的,因為我有一個 網路應用程式 Firewall (WAF)
事實: 對於大多數組織來說,網路應用程式安全始於 WAF;不幸的是,對於許多組織來說,它也就此結束。WAF 監視和控制 Web 服務的 HTTP 流量,使其成為解決 OWASP 前十大問題的理想選擇,這就是為什麼它們如此受歡迎的 網路應用程式安全解決方案。但是,WAF 管理 HTTP 流量的功能也是其局限性,因為它無法對其他類型的流量(例如透過 網路應用程式上傳的檔案)進行更深入的檢查。這為託管在其中的任何攻擊或惡意負載敞開了大門,使其在不被發現的情況下溜走。
誤區 #2:我的檔案上傳是安全的,因為我限制了可以上傳的特定檔案類型
事實: 確實,限制特定檔案類型是一種最佳實踐,因為許多檔案類型可能包含惡意可執行檔——事實上,近三分之二擁有檔案上傳門戶的組織已經這樣做了。例如,組織可以為其客戶提供上傳檔的功能,以簡化共用檔案的過程 - 在這種情況下,阻止 .exe 檔是有意義的。但是,阻止常見的檔案檔(如 .doc和 .pdf)會適得其反。然而,即使是這些最常見的檔案檔案類型也容易受到利用; 巨集可以很容易地對可以下載惡意負載的惡意代碼進行模糊處理。組織最好使用基於預防的技術,如CDR(檔案無毒化),該技術從檔案的各個元件中剝離任何惡意內容,以提供“安全使用”的檔。
誤區 #3:我的 網路應用程式是安全的,因為我使用防病毒引擎掃描檔案上傳
事實: 掃描已知惡意軟體也是檔案上傳安全性的最佳實踐,同樣,近三分之二擁有檔案上傳門戶的組織已經這樣做了。但是,惡意軟體可以輕鬆繞過單個AV引擎。但是,整合多個 AV 和反惡意軟體引擎具有挑戰性且需要大量資源。 OPSWAT 研究表明,需要 20 多個 AV 引擎才能達到 99% 以上的檢測率,但 95% 的組織只有不到 20 個 AV 引擎。不同的 AV 引擎對新惡意軟體的回應時間也不同。針對已知和未知惡意軟體的關鍵保護 - 檔案無毒化 (CDR),將檔案解構為各自的元素,清理它們以消除惡意內容,並將它們還原為功能檔。然而,只有三分之一的組織完全部署了 CDR,甚至比 AV 還要少。
安全檔案上傳,確保 網路應用程式安全
在 網路應用程式安全方面,組織需要考慮的不僅僅是 OWASP 十大和 網路應用程式防火牆的部署。在檔案上傳方面,組織需要在安全性和生產力之間取得平衡——阻止可執行檔可能會降低風險,但阻止常見的檔案案類型是不可行的。同樣,在掃描惡意軟體時,單個AV引擎可以降低已知攻擊的風險,但仍然容易受到零時差攻擊和APT的攻擊。
OPSWAT的 MetaDefender 平臺為 檔案上傳安全 提供了全面的解決方案,並透過將同時掃描與多個 AV 和其他關鍵技術(如 Deep CDR)整合,幫助組織縮小 網路應用程式安全漏洞。 MetaDefender 多防毒引擎掃描 整合了 30 多個 AV 引擎,可檢測超過 99% 的已知惡意軟體。 MetaDefender Deep CDR 透過清理 100 多種常見檔案類型來防止零時差攻擊和 APT。 MetaDefender 還可以檢測檔案型案的漏洞並驗證 4,500 多種常見檔案類型,這是檔案上傳安全的其他一些關鍵最佳實踐。
閱讀 OPSWAT 《2021 年 網路應用程式安全報告 》,詳細瞭解當今 網路應用程式安全的趨勢。
聯繫 OPSWAT 如果您想瞭解有關保護 網路應用程式檔案上傳的更多資訊。
[1] https://owasp.org/www-project-top-ten/
[2] https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
