OPSWAT 调查发现网路应用程序安全的最佳实践率低，使关键基础设施行业容易受到越来越多的网路威胁。

关键基础设施保护领域的全球领导者 OPSWAT 近日公布了其网路应用程序安全报告的结果，该报告显示，尽管对恶意软体攻击和第三方风险的担忧显著增加，但只有 8% 的组织拥有用于文件上传的网路应用程序并已全面实践文件上传安全。最令人担忧的是，拥有用于文件上传的网路应用程序的组织中有三分之一不会扫描所有文件上传以检测恶意文件，并且大多数组织不会使用档案内容清洗 (CDR) 来净化上传文件以防止未知恶意软体和零日攻击。

“这段时间以来，混合云端与实体的工作空间一直在推动数位转型和云端迁移计划，云服务、移动设备和远端工作者的兴起推动组织开发和部署网路应用程序，以增强其客户、合作夥伴、和员工的安全互动，”OPSWAT 创始人兼首席执行官 Benny Czarny 说。 “提供网页应用的文件上传，让提交和共享文档变得更快、更轻松且成本更低，有助于简化业务。因此，这种方式也使得组织无法有效保护系统，形成新的攻击面。”

开放网路应用程序安全专案 (OWASP) 揭露了Web应用常见的风险之一，“无限制文件上传”确定是具有重大风险的漏洞，因为文件可能包含隐藏的恶意软体，恶意行为者可以利用它来直接访问想试图攻击的系统。OPSWAT 的网路应用程序安全研究侧重于安全文件上传，以识别当前网路安全措施的趋势和差距，以便信息安全人员能够更了解并解决其组织面临的风险。

OPSWAT 的报告显示，绝大多数 (99%) 的受访者担心文件上传是恶意软体和网路攻击的攻击媒介：82% 的组织自去年以来，对来自文件上传的恶意软体攻击的担忧有所增加，49% 的关键组织基础设施行业需要要求保护文件上传，希望免受恶意软体攻击。最有趣的是，OPSWAT 点出了文件上传安全的 10 项最佳实践(Best Practice)，并发现只有 8% 的拥有用于文件上传的网路应用程序的组织完全实施了这十项。在这些最佳实践中，身份验证、防毒和将文件储存在网站根目录之外是最多人采用的，同时验证文件类型、随机化上传的文件名以及使用 CDR 技术（也称为资料清洗）消除嵌入式威胁则是最少采用的。

“这项研究表明，尽管组织对不安全的文件上传的风险表示担忧，但很少有人采用必要的措施来提高安全状况，”Czarny 说。 “结果显示组织利用网路应用程序进行文件上传的常见盲点。 OPSWAT 行业领先的技术可以帮助打击网路犯罪分子利用的漏洞。这是保护世界上最关键的基础设施免受恶意软体和零日攻击的使命的一部分。”

OPSWAT 的网路应用程序安全报告的其他主要发现包括：

组织报告显示对安全文件传输的日益重视，尤其是在关键基础设施行业。87%使用网路应用程序上传文件的组织非常关注安全的文件传输，82%的组织表示在过去一年中这种担忧有所增加。49%的关键基础设施行业非常关注，而其他行业中只有 36% 非常关注文件传输安全。40%的关键基础设施行业在过去一年中的关注度显著增加，而其他行业中只有25%的关注度增加。

发生攻击时，收入损失和声誉受损是最令人担忧的问题。拥有用于文件上传的网路应用程序的组织中有三分之二担心与不安全的文件上传相关的声誉损害和/或业务或收入损失。

大多数组织尚未实施最佳的安全防护。拥有用于文件上传的网路应用程序的组织中有三分之一不会扫描所有文件上传以检测恶意文件，只有五分之一的组织仅使用一个防毒引擎进行扫描。三分之二拥有文件上传至网站的组织不使用 CDR 清理文件上传，以防止未知恶意软体和零日攻击。

组织没有遵循最佳实践，他们没有使用全面的防毒技术，而且大多数没有使用 CDR 技术来防止已知和未知的攻击。如果他们想关闭网路应用程序安全漏洞，OPSWAT 建议透过一些整合的先进技术提供全面的保护，例如具有多个 AV 引擎和 CDR 的反恶意软体扫描。

原文连结：https://www.opswat.com/blog/opswat-survey-finds-poor-adoption-of-security-best-practices-for-web-application-security-leaving-critical-infrastructure-industries-vulnerable-to-increased-cyber-threats