10 лучших практик для предотвращения кибератак при загрузке файлов

Загрузка файлов необходима для продуктивной работы пользователей, многих бизнес-сервисов и приложений. При этом возникают риски кибератак.

При разрешении загрузки файлов существует три типа рисков:

1. Атаки на вашу инфраструктуру:Перезапись существующего файла. Если файл загружается с тем же именем и расширением, что и существующий файл на сервере, существующий файл может быть перезаписан. Если файл, который был перезаписан, является критическим (например, файл замены htaccess), новый файл потенциально может быть использован для запуска атаки на стороне сервера. Это может привести к тому, что веб-сайт перестанет работать, или нарушить настройки безопасности, что позволит злоумышленникам загрузить дополнительные вредоносные файлы и использовать вас для получения выкупа. Вредоносный контент. Если загруженный файл содержит эксплойт или вредоносное ПО, которые могут использовать уязвимость в обработке файлов на стороне сервера, файл может быть использован для получения контроля над сервером, что приведет к серьезным последствиям для бизнеса и репутационному ущербу.
2. Атаки на ваших пользователей:Вредоносный контент. Если загруженный файл содержит эксплойт, вредоносное ПО, вредоносный скрипт или макрос, этот файл может быть использован для получения контроля над компьютерами зараженных пользователей.
3. Прерывание обслуживания: Если загружается очень большой файл, это может привести к высокому потреблению ресурсов серверов и нарушению работы службы для ваших пользователей.

Как предотвратить кибератаки с загрузкой файлов – 10 лучших практик:

1. Разрешить только определенные типы файлов. Ограничив список разрешенных типов файлов, вы можете предотвратить загрузку исполняемых файлов, сценариев и другого потенциально вредоносного содержимого в ваше приложение.
2. Проверить типы файлов. В дополнение к ограничению типов файлов важно убедиться, что никакие файлы не «маскируются» под разрешенные типы файлов. Например, если злоумышленник переименует .exe в .docx, а ваше решение полностью зависит от расширения файла, оно пропустит вашу проверку как документ Word, хотя на самом деле это не так. Поэтому важно проверять типы файлов, прежде чем разрешать их загрузку.
3. Сканировать на наличие вредоносных программ. Чтобы минимизировать риск, все файлы должны быть проверены на наличие вредоносных программ. Рекомендуем многократное сканирование файлов с помощью нескольких механизмов защиты от вредоносных программ (используя комбинацию сигнатур, эвристики и методов обнаружения машинного обучения), чтобы получить максимальную скорость обнаружения и кратчайшее время воздействия вредоносных программ.
4. Удалить возможные встроенные угрозы. Файлы из Microsoft Office, pdf и файлы изображений, могут содержать встроенные угрозы в скрытых скриптах и макросах, которые не всегда обнаруживаются механизмами защиты от вредоносных программ. Чтобы устранить риск и убедиться, что файлы не содержат скрытых угроз, рекомендуется удалить все возможные встроенные объекты с помощью методологии, называемой обезвреживанием и реконструкцией содержимого (Content Disarm and Reconstruction - CDR).
5. Аутентифицировать пользователей. Для повышения безопасности рекомендуется, чтобы пользователи аутентифицировались перед загрузкой файла. Однако это не гарантирует, что сам компьютер пользователя не был скомпрометирован.
6. Установить максимальную длину имени и максимальный размер файла.
7. Рандомизировать загруженные имена файлов. Произвольно измените имена загруженных файлов, чтобы злоумышленники не могли попытаться получить доступ к файлу с загруженным именем файла. При использовании Deep CDR вы можете настроить обработанный файл как случайный идентификатор (например, data_id для анализа).
8. Хранить загруженные файлы вне корневой веб-папки. Каталог, в который загружаются файлы, должен находиться за пределами общедоступного каталога веб-сайта, чтобы злоумышленники не могли выполнить файл по назначенному URL-адресу пути.
9. Проверить наличие уязвимостей в файлах. Убедитесь, что вы проверяете наличие уязвимостей в файлах программного обеспечения и прошивки перед их загрузкой.
10. Использовать простые сообщения об ошибках. При отображении ошибок загрузки файлов не указывайте пути к каталогам, параметры конфигурации сервера или другую информацию, которую злоумышленники потенциально могут использовать для дальнейшего проникновения в ваши системы.

Безопасность загрузки файлов от OPSWAT

OPSWAT предлагает несколько решений для безопасности загрузки файлов с помощью MetaDefender, передовой платформы предотвращения угроз, которая помогает предотвратить атаки загрузки вредоносных файлов с помощью нескольких механизмов защиты от вредоносных программ, обезвреживания и реконструкции контента (Deep CDR) и оценки уязвимостей.

MetaDefender можно развернуть через API или с любым сетевым устройством с поддержкой ICAP, таким как брандмауэры веб-приложений, балансировщики нагрузки и контроллеры доставки приложений.

Обращайтесь за персональной консультацией по решениям OPSWAT, с вопросами по акционным предложениям и с запросами на проведение пилотных проектов - к специалистам Softprom.

Softprom - Value Added Distributor компании OPSWAT.