在过去十年中,各种技术的融合使网络安全成为一项具有挑战性的工作。使用文件共享门户的网络应用程序日益普及,扩大了攻击面。
与上传文件相关的网络安全风险很多。恶意软件可通过上传包含恶意代码或 URL 的文件,或利用以前未发现的零日漏洞渗透网络。
在本文中,我们将概述保护网络免受此类攻击的最佳实践。最后,我们将概述ICAP 反病毒 (AV) 解决方案如何增加额外的保护层,确保您的应用程序免受恶意文件上传的攻击。
1.找到满足您需求的最佳网络安全解决方案组合
有各种各样的网络设备,其中许多都提供网络安全功能。这些网络设备处理网络安全任务,如管理网络访问、安全策略管理、存储法规遵从数据和确保容器安全。
代理(如正向代理和反向代理)通过隐藏 IP 地址和提供单点出入口来屏蔽连接。负载平衡器提供类似的功能,但也为大规模应用提供协调、策略管理和自动化功能。
网络应用防火墙(WAF)可检查网络流量,防止未经授权的访问,并抵御跨站点脚本和分布式拒绝服务攻击等威胁。下一代防火墙(NGFW)重点关注通过第 3-4 层的流量,以保护内部网络免受外部攻击。入口控制器类似于负载均衡器和代理,但专为容器环境设计。
Secure 网络网关(SWG)是用户与互联网流量之间的过滤器,可阻止与未经批准的互联网应用程序和服务的连接,并对流量进行加密。应用交付控制器(ADC)提供代理、负载均衡和 WAF 功能,以及API 网关、应用加速和 SSL 终止。它们通常由开发运营团队而非安全团队管理。最后,受管文件传输(MFT)可实现安全、受管的大型文件传输,这是传统 FTP 或 HTTP 服务所不具备的。
2.扫描进入网络和存储设备的文件
即使有了这些解决方案,恶意文件进入网络或存储在系统中的风险仍然存在。为了降低这种风险,对进入网络或存储在网络中的所有文件实施防病毒扫描至关重要。这样,您就可以在恶意软件造成危害之前将其检测出来并删除。有了包含多层保护的全面安全策略,企业就能更好地防范当今数字环境中不断变化的威胁。
同样,在内部团队和客户之间传输大量文件也会给攻击者带来可乘之机。外部来源(第三方供应商、外部合作伙伴)可能会无意中将恶意软件引入环境。因此,企业最好通过执行扫描来检查传输到其网络中的所有文件内容,以便在外围检测和阻止恶意软件。
3.Secure 应对常见威胁
反病毒和反恶意软件引擎难以跟上攻击者开发的大量新威胁。如果考虑到针对组织的恶意软件和高阶持续威胁(APT)日益复杂,情况就会变得更糟。此外,未知恶意软件和零日威胁继续困扰着安全团队。
扫描文件以发现已知威胁是抵御恶意文件上传的第一层有效防御。然而,传统的防病毒解决方案仅使用一两个引擎,无法快速检测到足够多的恶意软件,从而无法充分保护网络。反病毒研究表明,需要 20 多个反病毒和反恶意软件引擎才能达到 99% 以上的检测率。
4.检测传统杀毒软件扫描之外的未知威胁
恶意软件的复杂程度和复杂性的增加使其能够绕过传统的防御系统。例如,反恶意软件引擎会检测已知的威胁,从而使零时差恶意软件能够轻松击败基于签名的防病毒解决方案。Word、Excel、PDF、归档文件或图像文件等生产力文件可用于在宏和脚本中隐藏嵌入式威胁,而反病毒引擎或沙箱等动态分析解决方案并不总能检测到这些威胁。
一种有效的预防技术是通过数据清除或内容解除和重构(CDR)技术清除所有潜在的恶意嵌入对象。 Deep CDR该技术无需依赖恶意软件检测就能删除恶意文件内容。它可以处理传入的文件,然后以一种确保新文件可用且无害的方式重新生成这些文件。换句话说,Deep CDR 可以防止已知和未知的威胁,从而确保网络流量的安全。
5.编辑敏感信息
即使有最好的自动化解决方案,恶意的内部人员和疏忽的用户也可能泄露敏感数据。需要额外的解决方案来防止数据泄漏和违反合规性。
从 PCI-DSS 和 GDPR 等合规法规到有针对性的网络攻击或无意的内部泄密,企业有多种理由担心个人身份信息 (PII) 的暴露。为了降低数据丢失的风险,在上传或对外共享的文件中编辑敏感信息至关重要。
6.利用ICAP 解决方案提高效率
ICAP 解决方案使用互联网内容适配协议 (ICAP),允许网络安全设备将网络流量卸载到专用服务器,以执行防病毒/反恶意软件扫描或数据清除等任务。这可确保使用相同的策略扫描所有文件。
通过将流量分流到ICAP 服务器,网络设备可以专注于其主要用途,如网络性能,而专门的ICAP 服务器则可以快速分析和净化通过的文件,并将对性能的影响降至最低。这种方法对网络安全尤为有效,因为它提供了广泛的外围保护、增值服务,并为公司和第三方合作伙伴增加了一层信任。
常见问题
ICAP Server 是什么?
互联网内容适配协议服务器(ICAP 服务器)与 HTTP 服务器类似,不同之处在于应用服务于ICAP 请求。RFC3507 规定:"ICAP 请求必须以包含方法、所请求的ICAP 资源的完整 URI 和ICAP 版本字符串的请求行开始"。
什么是ICAP 客户端?
ICAP 客户端是与ICAP 服务器建立连接以发送请求的软件应用程序。
如何拦截终端用户或设备与互联网之间的连接?
您可以扩展透明代理服务器。透明代理也称为内联代理、拦截代理或强制代理,是一种拦截终端用户或设备与互联网之间连接的服务器。
什么是透明 HTTP 代理缓存?
透明 HTTP 代理缓存是拦截互联网与最终用户或设备之间连接的服务器,互联网内容适配协议服务器ICAP 服务器)一般用于在其中实施病毒扫描和内容过滤。
什么是内容过滤?
您可以使用ICAP 过滤器将信息发送到预先配置的服务器进行内容适配。例如,这包括病毒扫描、内容过滤、广告插入和语言翻译等特定操作。
什么是ICAP 资源?
与 HTTP 资源类似,但统一资源标识符(URI)指的是对 HTTP 消息进行改编的ICAP 服务。
什么是请求修改模式和响应修改模式?
在 "请求修改"(reqmod)模式下,客户端向ICAP 服务器发送 HTTP 请求。然后,ICAP 服务器可以
- 发回修改后的请求。
- 发回对请求的 HTTP 响应。
- 返回错误信息。
ICAP 客户端必须处理所有三种类型的响应。
OPSWAT MetaDefender ICAP Server - 信任你的网络流量
OPSWAT MetaDefender ICAP Server MetaDefender ICAP 在所有传入文件内容到达企业网络之前对其进行扫描和检查。该解决方案可与任何支持 的网络设备集成:负载平衡器、正向/反向代理、入口控制器、托管文件传输 ( ) 等。Server ICAPMFT了解更多MetaDefender ICAP Server
