調查顯示,去年,82% 的 網路應用程式接受檔案上傳的組織增加了對惡意軟體攻擊的擔憂,但只有 8% 的組織實施了安全最佳實踐
佛羅里達州坦帕市 – 2021 年 8 月 26 日 –OPSWAT關鍵基礎設施保護領域的全球領導者今天公佈了其 網路應用程式安全報告的結果,該報告顯示,儘管對惡意軟體攻擊和第三方風險的擔憂顯著增加,但只有 8% 的組織擁有用於檔案上傳的 網路應用程式已完全實施檔案上傳安全的最佳實踐。最令人擔憂的是,三分之一擁有用於檔案上傳的 網路應用程式的組織不會掃描所有檔上傳以檢測惡意檔案,並且大多數組織不會使用內容撤防重建 (CDR) 清理檔案上傳以防止未知惡意軟體和零時差攻擊。
“一段時間以來,混合工作空間一直在推動數位化轉型和雲遷移計劃,以及雲端服務的興起, mobile 設備和遠端工作者推動組織開發和部署 網路應用程式,以增強其客戶、合作夥伴和員工的體驗,「創始人兼首席執行官 Benny Czarny 說。 OPSWAT.“用於檔案上傳的 網路應用程式透過更快、更輕鬆、更便宜地提交和共用檔案來幫助簡化他們的業務。因此,這種採用也引入了組織無法有效保護的新攻擊面。
開放 網路應用程式安全專案 (OWASP) 是一個非營利組織,負責追蹤 網路應用程式安全的最常見風險並提供緩解風險的最佳實踐,它已將“不受限制的檔案上傳”確定為具有重大風險的漏洞,因為檔可能包含隱藏的惡意軟體,惡意行為者可以利用這些惡意軟體直接存取他們試圖攻擊的系統。 OPSWAT的 網路應用程式安全研究側重於安全檔案上傳,以確定當前網路安全措施的趨勢和差距,以便安全專業人員能夠更好地瞭解和解決其組織面臨的風險。
OPSWAT的報告顯示,絕大多數(99%)的受訪者擔心檔案上傳會成為惡意軟體和網路攻擊的攻擊媒介:82%的組織報告說,自去年以來,對檔案上傳帶來的惡意軟體攻擊的擔憂有所增加,49%的關鍵基礎設施行業非常關注保護檔案案上傳免受惡意軟體攻擊。最有趣的是, OPSWAT 確定了 檔案上傳安全的 10 個最佳實踐 ,並發現只有 8% 的組織擁有用於檔案上傳的 網路應用程式,已完全實施了所有 10 個最佳實踐。在這些最佳實踐中,身份驗證、防病毒和在 Web 根目錄之外儲存檔是採用最多的,而驗證檔案類型、隨機化上傳的檔名以及使用 CDR 技術(也稱為資料清理)刪除嵌入式威脅是最少採用的。
“這項研究表明,儘管組織對不安全檔案上傳的風險表示擔憂,但很少有人採用必要的協定來改善其安全態勢,”Czarny說。“這些結果揭示了組織利用 網路應用程式進行檔案上傳的常見盲點。 OPSWAT的行業領先技術可以幫助打擊我們不斷看到網路犯罪分子利用的漏洞。這是我們保護世界上最關鍵的基礎設施免受惡意軟體和零時差攻擊的使命的一部分。
其他主要發現 OPSWAT的 網路應用程式安全報告包括:
組織報告說,人們對安全檔傳輸的擔憂日益增加,尤其是在關鍵基礎設施行業。 87% 的組織使用 網路應用程式上傳檔,非常或非常關注安全檔案傳輸,82% 的組織表示在過去一年中關注度有所增加。49%的關鍵基礎設施行業非常關注檔案傳輸安全,而其他行業只有36%非常關注檔傳輸安全。在過去一年中,40%的關鍵基礎設施行業的擔憂顯著增加,而其他行業中只有25%的擔憂有所增加。
在發生攻擊時,收入損失和聲譽損害是首要問題。 三分之二擁有用於檔案上傳的 網路應用程式的組織擔心與不安全的檔案上傳相關的聲譽損害和/或業務或收入損失。
大多數組織尚未實施安全最佳實踐。 三分之一擁有用於檔案上傳的 網路應用程式的組織 不會 掃描所有檔案上傳以檢測惡意檔,只有五分之一的組織 僅使用一個 防病毒引擎進行掃描。三分之二擁有檔案上傳 Web 門戶的組織 未 使用 CDR 清理檔案上傳,以防止未知惡意軟體和零時差攻擊。
組織沒有遵循最佳實踐,他們沒有有效地使用全面的防病毒技術,而且大多數組織沒有使用CDR技術來防止已知和未知的攻擊。如果他們想縮小 網路應用程式的安全漏洞, OPSWAT 建議使用具有一些整合先進技術(例如使用多個AV引擎和 CDR 的反惡意軟體掃描)提供全面保護的解決方案。
有關更多詳細資訊和對此的全面分析 OPSWAT的研究,請在此處下載完整報告: https://info。opswat.com/web-application-security-report-2021
關於 OPSWAT
OPSWAT 是關鍵基礎設施網路安全領域的全球領導者,幫助保護全球關鍵任務組織免受惡意軟體和零時差攻擊。為了最大限度地降低泄露風險, OPSWAT 關鍵基礎設施保護解決方案使公共和私人組織能夠實施確保檔案和設備在關鍵網路之間安全傳輸的流程。全球 1,500 多家組織,涵蓋金融服務、國防、製造、能源、航空航太和運輸系統信託 OPSWAT 保護他們的檔案和設備;確保遵守行業和政府驅動的政策和法規,並保護他們的聲譽、財務、員工和關係免受網路驅動的破壞。欲瞭解更多資訊 OPSWAT存取 www.opswat.com。
媒體聯絡人
凱特·路易斯
企業傳訊總監
凱特·路易斯@opswat.com
