بالنسبة لمعظم المؤسسات، يبدأ أمن تطبيقات الويب حلول لمعالجة المخاطر العشرة الأكثر شيوعًا لأمن تطبيقات الويب وفقًا لمشروع أمن تطبيقات الويب المفتوحة (OWASP)[1]. وتشمل هذه المخاطر أكثر نواقل هجوم تطبيقات الويب شيوعًا، مثل حقن SQL والبرمجة النصية عبر المواقع (XSS). ومع ذلك، يصنف OWASP أيضًا العشرات من الثغرات الأمنية الإضافية، مثل تحميل الملفات دون قيود[2]، والتي "تمثل خطرًا شديدًا على التطبيقات".
OPSWAT تثبيت مؤخرا تقرير أمان تطبيقات الويب لعام 2021 ، والذي يكشف أن جميع الشركات التي شملها الاستطلاع تقريبا (99٪) قلقة بشأن الحماية من البرامج الضارة والهجمات الإلكترونية من تحميل الملفات بدرجات متفاوتة. تتثبيت المؤسسات بوابات تحميل الملفات لمجموعة متنوعة من الأسباب، مثل إرسال النماذج والتطبيقات أو مشاركة المحتوى والتعاون فيه. يقوم أكثر من نصف (51 بالمائة) المؤسسات التي لديها بوابة تحميل ملفات بمعالجة أكثر من 5000 عملية تحميل ملف يوميا. يوفر هذا المجلد (بما في ذلك التقديمات من مصادر الطرف 3rd) سطح هجوم واسع للقراصنة لاستغلاله.
OPSWAT توصي بأفضل 10 ممارسات لأمان تحميل الملفات ، ومع ذلك فإن 8 بالمائة فقط من المؤسسات التي لديها بوابات تحميل الملفات قد نفذت بالكامل جميع الممارسات العشرة. نفذت أكثر من نصف المؤسسات التي لديها بوابات تحميل الملفات أقل من نصف أفضل الممارسات هذه. هذه نقطة عمياء رئيسية في استراتيجية أمان تطبيقات الويب الخاصة بهم ، لا سيما بالنظر إلى الزيادة السريعة في الهجمات المستهدفة.
يتمثل أحد التحديات الرئيسية في الطبيعة المتطورة باستمرار والمتطورة بشكل متزايد للهجمات السيبرانية. لا يمكن للمؤسسات الاعتماد على دفاعات "الاختيار" التقليدية. إن الاعتماد على تدابير منتصف الطريق يوفر إحساسا زائفا بالأمان ولا يتماشى مع نهج انعدام الثقة الحيوي لحماية البنية التحتية الحيوية. مع وضع ذلك في الاعتبار ، دعونا نلقي نظرة على بعض الأساطير الشائعة حول أمان تطبيقات الويب التي تحتاج إلى فضح.
الخرافة رقم 1: تطبيقات الويب My Secure لأن لدي Firewall تطبيقات الويب (WAF)
حقيقة: بالنسبة لمعظم المؤسسات، يبدأ أمن تطبيقات الويب بواجهة WAF؛ ولسوء الحظ، بالنسبة للعديد من المؤسسات، ينتهي الأمر عند هذا الحد. تراقب واجهات WAF حركة مرور HTTP إلى الخدمات الويب وتتحكم فيها، مما يجعلها مثالية لمعالجة قائمة OWASP Top Ten، ولهذا السبب فهي حل أمني شائع لتطبيقات الويب. ومع ذلك، فإن وظيفة WAF في إدارة حركة مرور HTTP هي أيضًا نقطة ضعفها، حيث إنها غير قادرة على توفير فحص أعمق لأنواع أخرى من حركة المرور، مثل الملفات التي يتم تحميلها عبر تطبيق ويب. وهذا يفتح الباب أمام أي هجوم أو حمولة ضارة مستضافة داخلها للمرور دون أن يتم اكتشافها.
الخرافة #2: My تحميل الملفات هي Secure لأنني أحدد أنواع معينة من الملفات التي يمكن تحميلها
حقيقة: صحيح أن تقييد أنواع ملفات معينة هو أفضل ممارسة لأن العديد من أنواع الملفات قد تحتوي على ملفات تنفيذية ضارة – في الواقع، ما يقرب من ثلثي المؤسسات التي لديها بوابات لتحميل الملفات تقوم بذلك بالفعل. على سبيل المثال، قد توفر مؤسسة ما العملاء تحميل الملفات لتبسيط عملية مشاركة المستندات – في هذه الحالة، سيكون من المنطقي حظر ملفات .exe. ومع ذلك، سيكون من غير المجدي حظر ملفات المستندات الشائعة، مثل .doc و .pdf. ومع ذلك، حتى أنواع ملفات المستندات الأكثر شيوعًا هذه معرضة للاستغلال؛ حيث يمكن للماكروات إخفاء الشفرات الخبيثة التي يمكنها تنزيل حمولات خبيثة بسهولة. سيكون من الأفضل للمؤسسات استخدام تقنية قائمة على الوقاية مثل CDR (إبطال مفعول المحتوى وإعادة بنائه) التي تزيل أي شيء خبيث من المكونات الفردية للمستند لتقديم ملف "آمن للاستخدام".
الخرافة #3: My تطبيقات الويب هي Secure لأنني أقوم بفحص تحميلات الملفات باستخدام محرك مكافحة الفيروسات
حقيقة: يعد البحث عن البرامج الضارة المعروفة أيضا من أفضل الممارسات لأمان تحميل الملفات - ومرة أخرى ، فإن ما يقرب من ثلثي المؤسسات التي لديها بوابات تحميل الملفات تفعل ذلك بالفعل. ومع ذلك ، يمكن للبرامج الضارة بسهولة تجاوز محرك AV واحد. لكن دمج العديد من محركات AV ومكافحة البرامج الضارة يمثل تحديا ويستهلك الكثير من الموارد. OPSWAT أظهرت البحوث أن الأمر يتطلب أكثر من 20 محركا AV للوصول إلى معدلات اكتشاف أكبر من 99 بالمائة ، ومع ذلك فإن 95 بالمائة من المؤسسات لديها أقل من 20 محركا AV. تتميز محركات AV المختلفة أيضا بأوقات استجابة متفاوتة للبرامج الضارة الجديدة. حماية رئيسية ضد كل من البرامج الضارة المعروفة وغير المعروفة - تفكيك المحتوى وإعادة بنائه (CDR) ، يفكك الملفات إلى عناصرها الفردية ، ويعقمها للتخلص من المحتوى الضار ، ويعيدها إلى ملف وظيفي. ومع ذلك، فإن ثلث المنظمات فقط قد تثبيتت نظام تدوير واستخلاص ثاني أكسيد الكربون بالكامل - حتى أقل من الصوت البصري.
Secure تحميل الملفات لأمان تطبيقات الويب
عندما يتعلق الأمر بأمن تطبيقات الويب، تحتاج المؤسسات إلى التفكير فيما هو أبعد من أفضل عشرة تطبيقات ويب وتثبيت جدران حماية تطبيقات الويب فقط. عندما يتعلق الأمر بتحميل الملفات، تحتاج المؤسسات إلى تحقيق التوازن بين الأمان والإنتاجية - قد يؤدي حظر الملفات التنفيذية إلى تقليل المخاطر، ولكن حظر أنواع المستندات الشائعة أمر غير ممكن. وبالمثل، عند الفحص بحثًا عن البرمجيات الضارة، قد يقلل محرك AV واحد من مخاطر الهجمات المعروفة ولكنه لا يزال عرضة هجمات فورية و تهديدات مستمرة متقدمة.
توفر MetaDefender OPSWAT حلول شاملة لأمن تحميل الملفات وتساعد المؤسسات على سد الثغرات الأمنية في تطبيقات الويب من خلال دمج عمليات الفحص المتزامنة مع العديد من برامج مكافحة الفيروسات والتقنيات الرئيسية الأخرى مثل Deep CDR. MetaDefender Multiscanning أكثر من 30 محركًا لمكافحة الفيروسات لاكتشاف أكثر من 99 في المائة من البرامج الضارة المعروفة. MetaDefender Deep CDR يمنع هجمات فورية تهديدات مستمرة متقدمة تنظيف أكثر من 100 نوع من الملفات الشائعة. MetaDefender أيضًا اكتشاف الثغرات الأمنية في الملفات والتحقق من أكثر من 4500 نوع من الملفات الشائعة، وهي بعض الممارسات الفضلى الأخرى لأمن تحميل الملفات.
اقرأ OPSWAT تقرير أمان تطبيقات الويب لعام 2021 لمعرفة المزيد حول الاتجاهات في أمان تطبيقات الويب اليوم.
الاتصال OPSWAT إذا كنت تريد معرفة المزيد حول تأمين تحميلات ملف تطبيق الويب الخاص بك.
[1] https://owasp.org/www-project-top-ten/
[2] https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
