保護Web APP免受惡意文件上傳

許多組織運行Web APP，允許用戶上傳履歷、保險索賠、身份證明、掃描文件和完成的表格等文件。安全領導者應該使用多項防病毒掃描程序來保護他們的後端免受惡意文件的上傳。

如何保護Web APP免受惡意文件上傳？

• 將安全控制整合到文件上傳管道中基本上有三個架構選項：
• 對於大多數控制而言，首選透過API整合到APP中。
• 整合到上游Gateway（APP交付控制器[ADC]/Web APP防火牆 [WAF]等）提供了跨APP的最低工作量和廣泛覆蓋範圍。
• 整合到儲存中提供了最通用的方法。
• 將文件類型限制為所需的最低限度。對於允許的文件類型，基本上有四個選項可以限制惡意軟體上傳的風險：
• 內容威脅解除和重組(CDR)提供最高的安全性。
• 如果CDR不滿足APP的業務需求，則可以選擇多項防毒軟體掃描。
• 沙盒為自定義和新惡意軟體提供了良好的檢測，但延遲和可擴展性對於Web上傳可能是不可接受的。
• 單一防毒掃描軟體易於實施，但通常應避免使用，因為它們對偵測惡意軟體的效果較差。

更多詳情

許多組織運行允許用戶上傳文件的Web APP。例如：使用者將履歷上傳到招募網站，將事故訊息上傳到保險網站，以及掃描文件或填寫好的表格。在大多數情況下，這些文件是辦公文件（Word、Excel、PDF）或多媒體文件類型（圖片、影片）。並非所有APP都需要額外的安全控制。但是，如果APP提供對大量外部用戶的訪問，安全領導者應該要求APP設計防止濫用上傳惡意軟體的管道。

安全解決方案設計包括兩種選擇：

1.     整合安全控制的方法

2.     安全控制類型

整合化

將惡意軟體保護的安全控制整合到Web APP中有三個選項：

1.     APP整合——首選選項是直接整合到APP中。這可以完全控制APP流程，並且可以警告上傳者，例如，如果他們上傳了不應上傳的文件類型，APP開發人員可以直接從Web服務器程式碼調用防病毒引擎或其他安全控制，或透過代表性狀態傳輸(REST)、互聯網內容適配協議(ICAP)或其他公開的API連接到安全服務。如果程式碼是在內部開發的，並且只能擴展到少量APP，則此選項是可行的。

2.     Gateway整合——如果APP數量很大，或者APP是封閉的，可以在APP前面的Gateway中進行整合（通常是反向代理、WAF、ADC、負載的一個或組合）平衡器）。如果存在這樣的網關，並且設置為解密傳輸層安全性(TLS)，則它可用於通過ICAP或REST API連接到安全服務。雖然在本地比較常見，但雲端Web APP通常沒有這樣的網關，並帶有暴露的API。

3.     儲存整合——最後一個選項是在文件透過Web APP並最終進入儲存後對其進行掃描。各種安全解決方案可以透過ICAP或RPC在本地網路附加儲存(NAS)中儲存文件時處理文件，越來越多的安全解決方案可以透過功能PaaS (fPaaS)為AWS S3和Azure Blob 儲存執行此操作。由於這適用於上傳完成後，因此與APP沒有真正的整合，也沒有業務邏輯可以依賴掃描結果。通常將文件臨時保存在一個儲存位置，然後僅在安全掃描或 CDR完成後​​移動到另一個位置進行進一步處理。

安全控制

任何文件上傳安全解決方案的第一層應該是將上傳限制設為特定的文件類型和內容。根據允許的文件類型，阻止包含您確實不期望和不需要的嵌入內容的文件。

對於第二層，有四個選項：

1.     內容威脅解除和重組(CDR)：第二層的最強選項是使用CDR。CDR消除了上傳文件中的所有威脅，而不會增加顯著的延遲。由於它不依賴於對已知威脅的檢測，它甚至可以防禦全新的攻擊類型。CDR的主要缺點在於它會更改文件的內容。

2.     多項防毒軟體：如果CDR無法完美實施，最常見的第二層是多項防毒軟體。多項防毒軟體使用防毒掃描儀的智慧組合來掃描文件以提高檢測率。

3.     沙盒：雖然是檢測新惡意軟體的可靠方法，但沙盒會產生延遲。許多安全Gateway（例如 WAF）都與領先的沙箱整合。

4.     單項防毒軟體：單項防毒軟體在靜態掃描通常上傳到APP的類型的文件時，檢測率可能很低。這種低檢測率（對於較新的變體有時低至 20%）的原因是有很多方法可以混淆嵌入在此類文件中的惡意內容，並且在靜態掃描期間難以解析。