بالنسبة لمعظم المؤسسات، يبدأ أمان تطبيقات الويب بالحلول المصممة لمعالجة المخاطر العشرة الأولى لأمن تطبيقات الويب في مشروع أمان تطبيقات الويب المفتوحة (OWASP)[1]. تتضمن هذه المخاطر ناقلات هجوم تطبيقات الويب الأكثر شيوعا ، مثل حقن SQL والبرمجة النصية عبر المواقع (XSS). ومع ذلك ، يقوم OWASP أيضا بفهرسة العشرات من نقاط الضعف الإضافية ، مثل عمليات تحميل الملفات غير المقيدة [2] ، والتي "تمثل خطرا شديدا على التطبيقات".
OPSWAT تثبيت مؤخرا تقرير أمان تطبيقات الويب لعام 2021 ، والذي يكشف أن جميع الشركات التي شملها الاستطلاع تقريبا (99٪) قلقة بشأن الحماية من البرامج الضارة والهجمات الإلكترونية من تحميل الملفات بدرجات متفاوتة. تتثبيت المؤسسات بوابات تحميل الملفات لمجموعة متنوعة من الأسباب، مثل إرسال النماذج والتطبيقات أو مشاركة المحتوى والتعاون فيه. يقوم أكثر من نصف (51 بالمائة) المؤسسات التي لديها بوابة تحميل ملفات بمعالجة أكثر من 5000 عملية تحميل ملف يوميا. يوفر هذا المجلد (بما في ذلك التقديمات من مصادر الطرف 3rd) سطح هجوم واسع للقراصنة لاستغلاله.
OPSWAT توصي بأفضل 10 ممارسات لأمان تحميل الملفات ، ومع ذلك فإن 8 بالمائة فقط من المؤسسات التي لديها بوابات تحميل الملفات قد نفذت بالكامل جميع الممارسات العشرة. نفذت أكثر من نصف المؤسسات التي لديها بوابات تحميل الملفات أقل من نصف أفضل الممارسات هذه. هذه نقطة عمياء رئيسية في استراتيجية أمان تطبيقات الويب الخاصة بهم ، لا سيما بالنظر إلى الزيادة السريعة في الهجمات المستهدفة.
يتمثل أحد التحديات الرئيسية في الطبيعة المتطورة باستمرار والمتطورة بشكل متزايد للهجمات السيبرانية. لا يمكن للمؤسسات الاعتماد على دفاعات "الاختيار" التقليدية. إن الاعتماد على تدابير منتصف الطريق يوفر إحساسا زائفا بالأمان ولا يتماشى مع نهج انعدام الثقة الحيوي لحماية البنية التحتية الحيوية. مع وضع ذلك في الاعتبار ، دعونا نلقي نظرة على بعض الأساطير الشائعة حول أمان تطبيقات الويب التي تحتاج إلى فضح.
الخرافة رقم 1: تطبيقات الويب My Secure لأن لدي Firewall تطبيقات الويب (WAF)
حقيقة: بالنسبة لمعظم المؤسسات ، يبدأ أمان تطبيقات الويب ب WAF. لسوء الحظ ، بالنسبة للعديد من المنظمات ينتهي الأمر عند هذا الحد. تقوم WAFs بمراقبة حركة مرور HTTP إلى خدمات الويب والتحكم فيها ، مما يجعلها مثالية لمعالجة OWASP Top Ten ، وهذا هو السبب في أنها حل أمان تطبيقات الويب الشائع. ومع ذلك ، فإن وظيفة WAF لإدارة حركة مرور HTTP هي أيضا قيودها ، لأنها غير قادرة على توفير فحص أعمق لأنواع أخرى من حركة المرور ، مثل الملفات التي تم تحميلها من خلال تطبيق ويب. هذا يترك الباب مفتوحا لأي هجوم أو حمولة ضارة مستضافة داخلها للانزلاق دون أن يتم اكتشافها.
الخرافة #2: My تحميل الملفات هي Secure لأنني أحدد أنواع معينة من الملفات التي يمكن تحميلها
حقيقة: صحيح أن الحد من أنواع ملفات معينة هو أفضل ممارسة لأن العديد من أنواع الملفات قد تحتوي على ملفات تنفيذية ضارة - في الواقع ، ما يقرب من ثلثي المؤسسات التي لديها بوابات تحميل الملفات تفعل ذلك بالفعل. على سبيل المثال ، قد تقدم المؤسسة لعملائها القدرة على تحميل الملفات لتبسيط عملية مشاركة المستندات - في هذه الحالة سيكون من المنطقي حظر ملفات .exe. ومع ذلك، سيكون من غير المجدي حظر ملفات المستندات الشائعة، مثل .doc و .pdf. ومع ذلك ، حتى أنواع ملفات المستندات الأكثر شيوعا هذه عرضة للاستغلال. يمكن لوحدات الماكرو بسهولة تشويش التعليمات البرمجية الضارة التي يمكنها تنزيل الحمولات الضارة. ستكون المؤسسات أفضل حالا باستخدام تقنية قائمة على الوقاية مثل CDR (نزع سلاح المحتوى وإعادة البناء) التي تزيل أي شيء ضار من المكونات الفردية للمستند لتقديم ملف "آمن للاستهلاك".
الخرافة #3: My تطبيقات الويب هي Secure لأنني أقوم بفحص تحميلات الملفات باستخدام محرك مكافحة الفيروسات
حقيقة: يعد البحث عن البرامج الضارة المعروفة أيضا من أفضل الممارسات لأمان تحميل الملفات - ومرة أخرى ، فإن ما يقرب من ثلثي المؤسسات التي لديها بوابات تحميل الملفات تفعل ذلك بالفعل. ومع ذلك ، يمكن للبرامج الضارة بسهولة تجاوز محرك AV واحد. لكن دمج العديد من محركات AV ومكافحة البرامج الضارة يمثل تحديا ويستهلك الكثير من الموارد. OPSWAT أظهرت البحوث أن الأمر يتطلب أكثر من 20 محركا AV للوصول إلى معدلات اكتشاف أكبر من 99 بالمائة ، ومع ذلك فإن 95 بالمائة من المؤسسات لديها أقل من 20 محركا AV. تتميز محركات AV المختلفة أيضا بأوقات استجابة متفاوتة للبرامج الضارة الجديدة. حماية رئيسية ضد كل من البرامج الضارة المعروفة وغير المعروفة - تفكيك المحتوى وإعادة بنائه (CDR) ، يفكك الملفات إلى عناصرها الفردية ، ويعقمها للتخلص من المحتوى الضار ، ويعيدها إلى ملف وظيفي. ومع ذلك، فإن ثلث المنظمات فقط قد تثبيتت نظام تدوير واستخلاص ثاني أكسيد الكربون بالكامل - حتى أقل من الصوت البصري.
Secure تحميل الملفات لأمان تطبيقات الويب
عندما يتعلق الأمر بأمن تطبيقات الويب، تحتاج المؤسسات إلى التفكير فيما هو أبعد من أفضل عشرة تطبيقات ويب وتثبيت جدران حماية تطبيقات الويب فقط. عندما يتعلق الأمر بتحميل الملفات، تحتاج المؤسسات إلى تحقيق التوازن بين الأمان والإنتاجية - قد يؤدي حظر الملفات التنفيذية إلى تقليل المخاطر، ولكن حظر أنواع المستندات الشائعة أمر غير ممكن. وبالمثل، عند الفحص بحثًا عن البرمجيات الضارة، قد يقلل محرك AV واحد من مخاطر الهجمات المعروفة ولكنه لا يزال عرضة هجمات فورية و تهديدات مستمرة متقدمة.
OPSWAT MetaDefender يوفر حلولاً شاملة لأمن تحميل الملفات ويساعد المؤسسات على سد الثغرات الأمنية لتطبيقات الويب من خلال دمج عمليات الفحص المتزامنة مع العديد من برامج AV والتقنيات الرئيسية الأخرى مثل . Deep CDRMetaDefender Multiscanning تدمج أكثر من 30 محرك AV لاكتشاف أكثر من 99% من البرمجيات الضارة المعروفة. MetaDefender Deep CDR يمنع هجمات فورية و تهديدات مستمرة متقدمة عن طريق تعقيم أكثر من 100 نوع شائع من الملفات. MetaDefender يمكنه أيضًا اكتشاف الثغرات الأمنية القائمة على الملفات والتحقق من أكثر من 4500 نوع شائع من الملفات، وهي بعض أفضل الممارسات الرئيسية الأخرى لأمن تحميل الملفات.
اقرأ OPSWAT تقرير أمان تطبيقات الويب لعام 2021 لمعرفة المزيد حول الاتجاهات في أمان تطبيقات الويب اليوم.
الاتصال OPSWAT إذا كنت تريد معرفة المزيد حول تأمين تحميلات ملف تطبيق الويب الخاص بك.
[1] https://owasp.org/www-project-top-ten/
[2] https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
