Захист завантаження файлів – 10 найкращих практик для запобігання кібератакам

У міру використання в організаціях віддаленої та дистанційної форми роботи співробітників стає все більш важливим реалізація заходів стосовно безпеки завантаження файлів, оскільки необмежене завантаження файлів створює вектор атаки для зловмисників.

Які ризики пов'язані із завантаженням файлів?

1. Атаки на вашу ІТ-інфраструктуру:Перезапис наявного файлу. Якщо файл завантажується з тим самим ім'ям та розширенням, що й існуючий файл на сервері, це може призвести до перезапису існуючого файлу. Якщо файл, який було перезаписано, є критичним (наприклад, файл заміни htaccess), новий файл потенційно може бути використаний для запуску атаки на стороні сервера. Це може призвести до того, що веб-сайт перестане функціонувати, або може поставити під загрозу налаштування безпеки, дозволяючи зловмисникам завантажувати додаткові шкідливі файли та використовувати вас з метою отримання викупу. Шкідливий контент. Якщо завантажений файл містить експлойт або шкідливе програмне забезпечення, яке може використовувати вразливість в обробці файлів на стороні сервера, файл може бути використаний для отримання контролю над сервером, що призведе до серйозних наслідків для бізнесу та шкоди репутації.
2. Атаки на ваших користувачів: Шкідливий контент. Якщо завантажений файл містить експлойт, шкідливе програмне забезпечення, шкідливий скрипт або макрос, файл може бути використаний для отримання контролю над комп'ютерами заражених користувачів.
3. Перебої в обслуговуванні користувачів: Якщо завантажується файл дуже великого розміру, це може призвести до високого споживання ресурсів серверів і перебоїв в обслуговуванні користувачів.

Як запобігти кібератакам, пов'язаним із завантаженням файлів? 10 найкращих практик від OPSWAT.

1. Дозволяти лише певні типи файлів. Обмеживши список дозволених типів файлів, можна уникнути завантаження до додатку виконуваних файлів, скриптів та іншого потенційно шкідливого вмісту.
2. Перевіряти типи файлів. Крім обмеження типів файлів важливо переконатися, що файли не "маскуються" під дозволені типи. Наприклад, якщо зловмисник перейменує .exe в .docx, а ваше рішення буде повністю спиратися на розширення файлу, то він обійде вашу перевірку як документ Word, яким він насправді не є. Тому важливо перевіряти типи файлів перед тим, як дозволити їхнє завантаження.
3. Сканувати на наявність шкідливих програм. Щоб мінімізувати ризик, усі файли мають бути перевірені на наявність шкідливого програмного забезпечення. Рекомендуємо перевіряти файли декількома засобами захисту від шкідливого програмного забезпечення (з використанням комбінації сигнатур, евристики та методів машинного навчання), щоб отримати максимальний відсоток виявлення та скоротити час впливу шкідливих програм.
4. Видалити можливі вбудовані загрози. Такі файли, як Microsoft Office, PDF та файли зображень, можуть містити вбудовані загрози у вигляді прихованих скриптів та макросів, які не завжди виявляються засобами захисту від шкідливого програмного забезпечення. Щоб знизити ризик і переконатися в тому, що файли не містять прихованих загроз, найкраще видалити всі можливі вбудовані об'єкти за допомогою методики, яка називається "Content Disarm & Reconstruction" (CDR).
5. Аутентифікувати користувачів. Для підвищення рівня безпеки рекомендується запитувати у користувачів аутентифікації перед завантаженням файлу. Однак це не гарантує, що сама машина користувача не була скомпрометована.
6. Встановити максимальну довжину імені та максимальний розмір файлу. Обов'язково встановіть максимальну довжину імені (по можливості обмежте допустимі символи) та розмір файлу, щоб запобігти можливим перебоям у роботі системи.
7. Випадково змінювати імена файлів, які завантажуються. Випадково змінюйте імена файлів, що завантажуються, щоб зловмисники не могли спробувати отримати доступ до файлу з тим ім'ям, яке вони завантажили. При використанні Deep CDR можна конфігурувати файл, що санується, як випадковий ідентифікатор (наприклад, data_id аналізу).
8. Зберігати завантажені файли поза кореневою папкою сайту. Каталог, в який завантажуються файли, повинен знаходитись поза загальнодоступним каталогом сайту, щоб зловмисники не могли виконати файл за призначеним шляхом URL.
9. Перевіряти файли на наявність уразливостей. Обов'язково перевіряйте на наявність уразливостей файли програмного забезпечення та прошивки перед завантаженням.
10. Використовувати прості повідомлення про помилки. Під час відображення помилок завантаження файлів не слід вказувати шляхи до каталогів, параметри конфігурації сервера або іншу інформацію, яка може бути використана зловмисниками для подальшого проникнення в систему.

Звертайтеся за персональною консультацією стосовно рішень OPSWAT та із запитами на проведення пілотних проєктів – до фахівців Softprom.

Softprom – Value Added Distributor компанії OPSWAT.