金融服務、能源和醫療保健公司等關鍵基礎設施不斷受到攻擊。為了阻止這些類型的威脅,聯邦政府建議採用零信任;不幸的是,美國 80% 的關鍵基礎設施組織沒有這樣做。
我有幸在 F5 NGINX 的網路研討會上發言,討論了如何使用責任共擔模型來最好地保護使用 F5 NGINX 的關鍵應用。我們深入研究了網路堆疊,以瞭解如何 OPSWAT的 F5 NGINX Plus 認證模組是一種隨插即用的零信任安全解決方案,可抵禦檔案上傳威脅。
應用安全方面的風險和挑戰
惡意檔是破壞網路防禦的常用方法。2022年,趨勢科技報告了超過220億次利用惡意檔感染系統的嘗試。越來越規避的惡意軟體的興起增加了這些風險。一項研究發現,98% 的惡意軟體至少使用一種規避技術。
組織意識到了這些風險。 OPSWAT 調查了 300 個不同的組織,詢問他們的 網路應用程式安全問題。超過90%的人擔心收入損失,而聲譽受損和無法提供服務則位居前三。這些擔憂在各行各業和不同地區都是相似的。要防止這些風險,需要零信任檔案上傳解決方案。
應用安全盲點
雖然意識到不安全應用程式帶來的危害,但許多組織並不知道如何最好地防範常見威脅。在同一項調查中,我們確定了組織的 網路應用程式安全堆疊中的三個常見 盲點 :不掃描所有檔案上傳以防止惡意檔,僅使用一個防病毒引擎掃描傳入檔,以及不清理檔案上傳以防止未知惡意軟體和零時差攻擊。
惡意檔通常是破壞網路的第一步。未能使用多個反惡意軟體引擎掃描檔並清理檔案上傳的後果會造成嚴重後果,並大大增加違規的可能性。
責任共擔:安全問題的分離
如果您的應用程式使用 F5 NGINX 等技術,或任何網路設備(如負載平衡器、網路應用程式防火牆、反向和正向代理等),您可能不知道自己在保護應用程式方面的角色。這些網路設備負責網路安全職責,例如網路存取管理、安全策略管理、法規合規性儲存和容器安全。
安全責任的劃分是有意為之的。分擔責任可增強安全態勢。從本質上講,堅持你最了解的東西。為了網路安全,最好的辦法是將其留給 F5 NGINX。但是,尋找惡意檔案上傳的解決方案是您的責任。例如 OPSWAT 專門從事檔案上傳安全、惡意軟體內容掃描和客戶資料保護。我們的技術平臺, MetaDefender, 旨在防止惡意檔案進入您的網路。
另一個常見的問題是合規性。如果允許使用者的資料進入系統,則組織有責任執行一系列應用程式安全合規性要求。F5 和 NGINX 負責處理網路合規性,但您需要在網路安全之上提供檔案上傳和資料保護解決方案。
責任共擔模型使供應商能夠專注於他們的關注點,並允許客戶靈活地為其客戶案例選擇最佳工具。如果您的客戶案例涉及檔案上傳,則需要一個全面的零信任解決方案。
多層防禦如何實現零信任
防止惡意檔案上傳的第一層防禦從掃描檔以查找已知威脅開始。 OPSWAT 多防毒引擎掃描技術 結合了多個領先的反惡意軟體引擎,可實現超過99%的檢測準確率。這些引擎專門用於檢測某些類型的已知惡意軟體。一些引擎利用啟發式和機器學習來評估檔包含未知惡意軟體的概率。
但是,使用多個反惡意軟體引擎進行掃描並不足以擊敗未知威脅。為了防範未知威脅和零時差攻擊, OPSWAT 使用 Deep CDR(檔案無毒化),這是一種內容清理形式,可生成安全、可用的檔,不含惡意軟體並隔離原始檔。Deep CDR 可處理 120 多種檔案類型。它使用遞歸清理比常規 CDR 更深入地掃描流行的存檔檔,如 .rar 和 .zip,以及掃描檔案案中的物件,如 PDF 中的圖像和 Office 套件檔。
最後,您需要查看和控制透過系統移動的敏感資料。零信任假定您處於持續風險之中。我們的 主動式 DLP(資料外洩防護)技術可 識別檔案中的敏感內容,例如個人身份資訊 (PII)、信用卡號等。
將檔案案上傳安全性添加到責任共擔模型中:隨插即用安全解決方案
在我們的調查中,我們發現 F5 NGINX 的使用者想要一個隨插即用的安全解決方案。為了滿足這些需求, OPSWAT 開發了一種一體化的檔案上傳安全解決方案,使組織能夠保護資料並幫助他們保持合規性。
增強安全性的最簡單、最具成本效益的方法是使用隨插即用解決方案為 F5 和 NGINX 網路安全添加另一層防禦,例如 OPSWAT MetaDefender ICAP Server.我們將 30 多個反惡意軟體掃描引擎與 Deep CDR 和主動式 DLP(資料外洩防護)(資料外洩防護)相結合,幫助組織在網路流量安全方面實現零信任。
如果您想瞭解更多關於如何操作的資訊,請與我們聯繫 MetaDefender ICAP Server 輕鬆保護現代應用程式。
