Práticas recomendadas de segurança de upload de arquivos raramente implementadas para proteger aplicativos web

16

Apesar de um aumento acentuado nas preocupações em torno de ataques de malware e risco de terceiros, apenas 8% das organizações com aplicativos web para upload de arquivos implementaram totalmente as melhores práticas para a segurança do upload de arquivos, revela um relatório da OPSWAT.

Mais preocupante, um terço das organizações com um aplicativo web para uploads de arquivos não digitaliza todos os uploads de arquivos para detectar arquivos maliciosos e a maioria não higieniza uploads de arquivos com CDR para evitar malwares desconhecidos e ataques de zero-day.

“O espaço de trabalho híbrido vem impulsionando iniciativas de transformação digital e migração em nuvem há algum tempo, e o aumento de serviços em nuvem, dispositivos móveis e trabalhadores remotos tem levado as organizações a desenvolver e implantar aplicativos web que melhorem a experiência de seus clientes, parceiros e funcionários”, disse Benny Czarny, CEO da OPSWAT.

“Os aplicativos web para uploads de arquivos ajudam a agilizar seus negócios, tornando mais rápido, fácil e menos caro enviar e compartilhar documentos. Consequentemente, essa adoção também introduziu novas superfícies de ataque que as organizações não estão protegendo efetivamente.”

Preocupações em torno de transferências seguras de arquivos

Publicações Relacionadas

O relatório mostra que a maioria esmagadora dos entrevistados estava preocupada com os uploads de arquivos como um vetor de ataque para malware e ataques cibernéticos: 82% das organizações relataram uma preocupação crescente com ataques de malware de uploads de arquivos desde o ano passado, e 49% das indústrias de infraestrutura crítica estão extremamente preocupadas em proteger uploads de arquivos contra ataques de malware.

Mais interessante, a OPSWAT identificou 10 práticas recomendadas para segurança de upload de arquivos e descobriu que apenas 8% das organizações com aplicativos web para upload de arquivos implementaram totalmente todas as dez. Entre essas melhores práticas, a autenticação, o antivírus e o armazenamento de arquivos fora da raiz da web foram os mais adotados, ao verificar o tipo de arquivo, randomizar nomes de arquivos carregados e remover ameaças incorporadas com tecnologias de Desarmamento e Reconstrução de Conteúdo(CDR),também conhecidas como higienização de dados, estavam entre as menos adotadas.

“Esta pesquisa mostra que, embora as organizações tenham expressado preocupações em torno dos riscos de uploads de arquivos não inseguros, poucos adotaram os protocolos necessários para aumentar sua postura de segurança”, disse Czarny. “Os resultados lançam luz sobre os pontos cegos comuns para organizações que aproveitam aplicativos web para upload de arquivos.”

Outras descobertas-chave

  • As organizações relataram uma preocupação crescente em torno de transferências seguras de arquivos, especialmente em indústrias críticas de infraestrutura. Oitenta e sete por cento das organizações que usam um aplicativo web para upload de arquivos estão muito preocupadas com transferências seguras de arquivos, e 82% relatam um aumento na preocupação no último ano. Quarenta e nove por cento das indústrias críticas de infraestrutura estavam “extremamente” preocupadas, enquanto apenas 36% das outras indústrias estavam “extremamente” preocupadas com a segurança da transferência de arquivos. Quarenta por cento das indústrias críticas de infraestrutura aumentaram significativamente sua preocupação no último ano, enquanto apenas 25% das outras indústrias mostraram a mesma preocupação.
  • Perda de receita e danos à reputação são as principais preocupações em caso de ataque. Dois terços das organizações com um aplicativo web para upload de arquivos estão preocupadas com danos de reputação e/ou uma perda nos negócios ou receita relacionada a uploads de arquivos inseguros.
  • A maioria das organizações não implementou as melhores práticas de segurança. Um terço das organizações com um aplicativo web para uploads de arquivos não digitaliza todos os uploads de arquivos para detectar arquivos maliciosos e apenas 1 em cada 5 digitaliza com apenas um mecanismo antivírus. Dois terços das organizações com um portal web de upload de arquivos não higienizam os uploads de arquivos com o CDR para evitar malwares desconhecidos e ataques de zero-day.

As organizações não estão seguindo as melhores práticas, não estão usando tecnologia antivírus abrangente de forma eficaz, e a maioria não está usando a tecnologia CDR para evitar ataques conhecidos e desconhecidos. Se eles quiserem fechar sua lacuna de segurança de aplicativos web, eles devem usar uma solução que ofereça proteção abrangente com algumas tecnologias avançadas integradas, como a varredura anti-malware com vários motores AV e CDR.

você pode gostar também