金融服务、能源和医疗保健公司等关键基础设施不断受到攻击。为了阻止这些类型的威胁,联邦政府建议采用 "零信任";但遗憾的是,美国80% 的关键基础设施组织并没有这样做。
我有幸在F5 NGINX 的网络研讨会上发言,我们讨论了如何利用责任分担模式为使用 F5 NGINX 的关键应用程序提供最佳安全保护。我们深入研究了网络堆栈,了解了OPSWAT的 F5 NGINX Plus 认证模块(即插即用、零信任的安全解决方案)如何应对文件上传威胁。
应用程序安全的风险和挑战
恶意文件是入侵网络防御系统的常用方法。2022 年,趋势科技报告了超过 220 亿次利用恶意文件感染系统的尝试。越来越狡猾的恶意软件的兴起增加了这些风险。一项研究发现,98% 的恶意软件至少使用了一种规避技术。
OPSWAT 调查了300 家不同的企业,询问他们对网络应用安全的担忧。超过 90% 的企业担心收入损失,而声誉受损和无法提供服务则排在前三位。这些担忧在不同行业和地区都有相似之处。预防这些风险需要零信任文件上传解决方案。
应用程序安全盲点
虽然意识到不安全的应用程序会造成危害,但许多组织并不知道如何才能最好地防范常见威胁。在同一项调查中,我们发现了企业网络应用程序安全堆栈中的三个常见盲点:没有扫描所有文件上传以防止恶意文件,仅使用一种防病毒引擎扫描传入文件,以及没有对文件上传进行消毒以防止未知恶意软件和零日攻击。
恶意文件往往是入侵网络的第一步。如果不使用多种反恶意软件引擎扫描文件并对文件上传进行消毒,后果将非常严重,并大大增加入侵的几率。
分担责任:安全关切的分离
如果您的应用程序使用了 F5 NGINX 等技术,或者使用了负载均衡器、Web 应用程序防火墙、反向和正向代理等任何网络设备,您可能还没有意识到自己在确保应用程序安全方面所扮演的角色。这些网络设备负责网络访问管理、安全策略管理、合规性存储和容器安全等网络安全职责。
安全责任的划分是有意为之。分担责任可以加强安全态势。从本质上讲,坚持做自己最熟悉的事情。在网络安全方面,最好由 F5 NGINX 负责。但是,寻找针对恶意文件上传的解决方案则是您的责任。例如,OPSWAT 专门从事文件上传安全、恶意软件内容扫描和客户数据保护。我们的技术平台MetaDefender 旨在防止恶意文件进入您的网络。
另一个常见问题是合规性。如果您允许用户的数据进入您的系统,那么您的组织就有责任遵守大量的应用安全合规要求。F5 和 NGINX 可以处理网络合规性问题,但在网络安全的基础上,您还需要一个文件上传和数据保护解决方案。
责任分担模式使供应商能够专注于他们所关注的问题,并使客户能够灵活地选择最适合其使用情况的工具。如果您的使用案例涉及文件上传,您就需要一个全面的零信任解决方案。
多层防御如何实现零信任
防止恶意文件上传的第一道防线是从扫描文件中的已知威胁开始的。OPSWAT Multiscanning 技术结合了多个领先的反恶意软件引擎,检测准确率超过 99%。这些引擎专门检测某些类型的已知恶意软件。有些引擎利用启发式方法和机器学习来评定文件包含未知恶意软件的概率。
但使用多个反恶意软件引擎进行扫描并不足以战胜未知威胁。为了防范未知威胁和零日攻击,OPSWAT 使用了Deep CDR(内容解除和重建),这是一种内容清除形式,可生成不含恶意软件的安全可用文件,并隔离原始文件。Deep CDR 可处理 120 多种文件类型。它使用递归消毒,比普通 CDR 扫描更深入,可扫描 .rar 和 .zip 等常用压缩文件,以及扫描 PDF 和 Office Suite 文件中的图像等文档中的对象。
最后,您需要对通过系统的敏感数据进行可见性和控制。零信任公司认为您始终面临风险。我们的Proactive DLP (数据丢失防护)技术可以识别文件中的敏感内容,如个人身份信息 (PII)、信用卡号等。
为共同责任模式添加文件上传安全性:即插即用安全解决方案
我们在调查中发现,F5 NGINX 的用户希望获得即插即用的安全解决方案。为了满足这些需求,OPSWAT 开发了文件上传安全的一体化解决方案,使企业能够保护数据并帮助他们保持合规。
加强安全的最简单、最具成本效益的方法是使用即插即用型解决方案(如......)为 F5 和 NGINX 网络安全添加另一层防御。OPSWAT MetaDefender ICAP Server.我们将 30 多个反恶意软件扫描引擎与Deep CDR 和Proactive DLP (数据丢失防护)相结合,帮助企业实现网络流量安全零信任。
如果您想进一步了解MetaDefender ICAP Server 如何轻松确保现代应用程序的安全,请联系我们。
