OPSWAT 調查發現網路應用程序安全的最佳實踐率低，使關鍵基礎設施行業容易受到越來越多的網路威脅。

關鍵基礎設施保護領域的全球領導者 OPSWAT 近日公佈了其網路應用程序安全報告的結果，該報告顯示，儘管對惡意軟體攻擊和第三方風險的擔憂顯著增加，但只有 8% 的組織擁有用於文件上傳的網路應用程序並已全面實踐文件上傳安全。最令人擔憂的是，擁有用於文件上傳的網路應用程序的組織中有三分之一不會掃描所有文件上傳以檢測惡意文件，並且大多數組織不會使用檔案內容清洗 (CDR) 來淨化上傳文件以防止未知惡意軟體和零日攻擊。

“這段時間以來，混合雲端與實體的工作空間一直在推動數位轉型和雲端遷移計劃，雲服務、移動設備和遠端工作者的興起推動組織開發和部署網路應用程序，以增強其客戶、合作夥伴、和員工的安全互動，”OPSWAT 創始人兼首席執行官 Benny Czarny 說。 “提供網頁應用的文件上傳，讓提交和共享文檔變得更快、更輕鬆且成本更低，有助於簡化業務。因此，這種方式也使得組織無法有效保護系統，形成新的攻擊面。”

開放網路應用程序安全專案 (OWASP) 揭露了Web應用常見的風險之一，“無限制文件上傳”確定是具有重大風險的漏洞，因為文件可能包含隱藏的惡意軟體，惡意行為者可以利用它來直接訪問想試圖攻擊的系統。OPSWAT 的網路應用程序安全研究側重於安全文件上傳，以識別當前網路安全措施的趨勢和差距，以便資訊安全人員能夠更了解並解決其組織面臨的風險。

OPSWAT 的報告顯示，絕大多數 (99%) 的受訪者擔心文件上傳是惡意軟體和網路攻擊的攻擊媒介：82% 的組織自去年以來，對來自文件上傳的惡意軟體攻擊的擔憂有所增加，49% 的關鍵組織基礎設施行業需要要求保護文件上傳，希望免受惡意軟體攻擊。最有趣的是，OPSWAT 點出了文件上傳安全的 10 項最佳實踐(Best Practice)，並發現只有 8% 的擁有用於文件上傳的網路應用程序的組織完全實施了這十項。在這些最佳實踐中，身份驗證、防毒和將文件儲存在網站根目錄之外是最多人採用的，同時驗證文件類型、隨機化上傳的文件名以及使用 CDR 技術（也稱為資料清洗）消除嵌入式威脅則是最少採用的。

“這項研究表明，儘管組織對不安全的文件上傳的風險表示擔憂，但很少有人採用必要的措施來提高安全狀況，”Czarny 說。 “結果顯示組織利用網路應用程序進行文件上傳的常見盲點。 OPSWAT 行業領先的技術可以幫助打擊網路犯罪分子利用的漏洞。這是保護世界上最關鍵的基礎設施免受惡意軟體和零日攻擊的使命的一部分。”

OPSWAT 的網路應用程序安全報告的其他主要發現包括：

組織報告顯示對安全文件傳輸的日益重視，尤其是在關鍵基礎設施行業。87%使用網路應用程序上傳文件的組織非常關注安全的文件傳輸，82%的組織表示在過去一年中這種擔憂有所增加。49%的關鍵基礎設施行業非常關注，而其他行業中只有 36% 非常關注文件傳輸安全。40%的關鍵基礎設施行業在過去一年中的關注度顯著增加，而其他行業中只有25%的關注度增加。

發生攻擊時，收入損失和聲譽受損是最令人擔憂的問題。擁有用於文件上傳的網路應用程序的組織中有三分之二擔心與不安全的文件上傳相關的聲譽損害和/或業務或收入損失。

大多數組織尚未實施最佳的安全防護。擁有用於文件上傳的網路應用程序的組織中有三分之一不會掃描所有文件上傳以檢測惡意文件，只有五分之一的組織僅使用一個防毒引擎進行掃描。三分之二擁有文件上傳至網站的組織不使用 CDR 清理文件上傳，以防止未知惡意軟體和零日攻擊。

組織沒有遵循最佳實踐，他們沒有使用全面的防毒技術，而且大多數沒有使用 CDR 技術來防止已知和未知的攻擊。如果他們想關閉網路應用程序安全漏洞，OPSWAT 建議透過一些整合的先進技術提供全面的保護，例如具有多個 AV 引擎和 CDR 的反惡意軟體掃描。

原文連結：https://www.opswat.com/blog/opswat-survey-finds-poor-adoption-of-security-best-practices-for-web-application-security-leaving-critical-infrastructure-industries-vulnerable-to-increased-cyber-threats