Anket, dosya yüklemelerini kabul eden web uygulamalarına sahip kuruluşların %82'sinin son bir yıl içinde kötü amaçlı yazılım saldırılarına ilişkin endişelerinin arttığını, ancak yalnızca %8'inin en iyi güvenlik uygulamalarını hayata geçirdiğini ortaya koyuyor
Tampa, FL - 26 Ağustos 2021 - OPSWATKritik Altyapı Korumasında küresel lider olan Web Uygulaması Güvenlik Raporu'nun sonuçlarını bugün açıklayarak, kötü amaçlı yazılım saldırıları ve üçüncü taraf riski ile ilgili endişelerdeki belirgin artışa rağmen, dosya yüklemeleri için web uygulamaları olan kuruluşların yalnızca %8'inin dosya yükleme güvenliği için en iyi uygulamaları tam olarak uyguladığını ortaya koydu. En endişe verici olanı, dosya yüklemeleri için web uygulaması olan kuruluşların üçte birinin kötü amaçlı dosyaları tespit etmek için tüm dosya yüklemelerini taramaması ve çoğunluğunun bilinmeyen kötü amaçlı yazılımları ve sıfırıncı gün saldırılarını önlemek için İçerik Silahsızlandırma Yeniden Yapılandırma (CDR) ile dosya yüklemelerini sterilize etmemesidir.
OPSWAT Kurucusu ve CEO'su Benny Czarny, "Hibrit çalışma alanı bir süredir dijital dönüşüm ve buluta geçiş girişimlerini yönlendiriyor ve bulut hizmetlerinin, mobile cihazlarının ve uzaktan çalışanların yükselişi, kuruluşları müşterileri, ortakları ve çalışanları için deneyimi geliştiren web uygulamaları geliştirmeye ve dağıtmaya yöneltti" dedi. "Dosya yüklemeye yönelik web uygulamaları, belgeleri göndermeyi ve paylaşmayı daha hızlı, daha kolay ve daha ucuz hale getirerek işlerini kolaylaştırmaya yardımcı oluyor. Sonuç olarak, bu benimseme aynı zamanda kuruluşların etkili bir şekilde koruyamadığı yeni saldırı yüzeylerini de ortaya çıkarmıştır."
Web uygulama güvenliği için en yaygın riskleri takip eden ve bunların azaltılması için en iyi uygulamaları sağlayan kar amacı gütmeyen bir kuruluş olan Açık Web Uygulama Güvenliği Projesi (OWASP), "Kısıtlanmamış Dosya Yüklemeleri "ni önemli risk taşıyan bir güvenlik açığı olarak tanımladı çünkü dosyalar, kötü niyetli kişilerin saldırmaya çalıştıkları sistemlere doğrudan erişim elde etmek için kullanabilecekleri gizli kötü amaçlı yazılımlar içerebilir. OPSWAT'nin web uygulama güvenliği araştırması, güvenlik uzmanlarının kuruluşlarına yönelik riskleri daha iyi anlayabilmeleri ve ele alabilmeleri için mevcut siber güvenlik önlemlerindeki eğilimleri ve boşlukları belirlemek amacıyla güvenli dosya yüklemelerine odaklanmaktadır.
OPSWAT'in raporu, katılımcıların büyük çoğunluğunun (%99) kötü amaçlı yazılım ve siber saldırılar için bir saldırı vektörü olarak dosya yüklemelerinden endişe duyduğunu gösteriyor: Kuruluşların %82'si geçen yıldan bu yana dosya yüklemelerinden kaynaklanan kötü amaçlı yazılım saldırıları konusunda endişelerinin arttığını ve kritik altyapı sektörlerinin %49'unun dosya yüklemelerini kötü amaçlı yazılım saldırılarından koruma konusunda son derece endişeli olduğunu bildirmiştir. En ilginci, OPSWAT dosya yükleme güvenliği için en iyi 10 uygulamayı belirlemiş ve dosya yüklemeleri için web uygulamaları olan kuruluşların sadece %8'inin onunu da tam olarak uyguladığını tespit etmiştir. Bu en iyi uygulamalar arasında kimlik doğrulama, anti-virüs ve dosyaların web kökü dışında saklanması en çok benimsenenler olurken, dosya türünün doğrulanması, yüklenen dosya adlarının rastgele hale getirilmesi ve veri sanitizasyonu olarak da bilinen CDR teknolojileri ile gömülü tehditlerin kaldırılması en az benimsenenler arasında yer almıştır.
Czarny, "Bu araştırma, kuruluşların güvenli olmayan dosya yüklemelerinin riskleri konusundaki endişelerini dile getirmelerine rağmen, çok azının güvenlik duruşlarını artırmak için gerekli protokolleri benimsediğini gösteriyor" dedi. "Sonuçlar, dosya yüklemeleri için web uygulamalarından yararlanan kuruluşların ortak kör noktalarına ışık tutuyor. OPSWATCzarny'nin sektör lideri teknolojileri, siber suçluların istismar ettiğini görmeye devam ettiğimiz güvenlik açıklarıyla mücadeleye yardımcı olabilir. Tüm bunlar, dünyanın en kritik altyapılarını kötü amaçlı yazılımlardan ve sıfırıncı gün saldırılarından koruma misyonumuzun bir parçasıdır."
OPSWAT'un Web Uygulama Güvenliği Raporu'ndaki diğer önemli bulgular şunlardır:
Kuruluşlar, özellikle kritik altyapı sektörlerinde güvenli dosya aktarımlarına ilişkin endişelerinin arttığını bildirmiştir. Dosya yüklemeleri için bir web uygulaması kullanan kuruluşların %87'si güvenli dosya transferleri konusunda son derece ya da çok endişeli ve %82'si geçtiğimiz yıl endişelerinde artış olduğunu bildiriyor. Kritik altyapı sektörlerinin yüzde kırk dokuzu son derece endişeliyken, diğer sektörlerin yalnızca yüzde 36'sı dosya aktarım güvenliği konusunda son derece endişelidir. Kritik altyapı sektörlerinin yüzde kırkı geçtiğimiz yıl endişelerini önemli ölçüde artırırken, diğer sektörlerin yalnızca %25'i aynı endişe artışını göstermiştir.
Bir saldırı durumunda gelir kaybı ve itibar kaybı en büyük endişelerdir. Dosya yüklemeleri için bir web uygulaması olan kuruluşların üçte ikisi, güvenli olmayan dosya yüklemeleriyle ilgili olarak itibar kaybı ve/veya iş ya da gelir kaybı konusunda endişe duymaktadır.
Kuruluşların çoğunluğu en iyi güvenlik uygulamalarını hayata geçirmemiştir. Dosya yüklemeleri için web uygulaması olan kuruluşların üçte biri kötü amaçlı dosyaları tespit etmek için tüm dosya yüklemelerini taramıyor ve sadece 5'te 1'i sadece bir anti-virüs motoru ile tarama yapıyor. Dosya yükleme web portalı olan kuruluşların üçte ikisi, bilinmeyen kötü amaçlı yazılımları ve sıfırıncı gün saldırılarını önlemek için dosya yüklemelerini CDR ile sterilize etmiyor.
Kuruluşlar en iyi uygulamaları takip etmiyor, kapsamlı anti-virüs teknolojisini etkin bir şekilde kullanmıyor ve çoğu bilinen ve bilinmeyen saldırıları önlemek için CDR teknolojisini kullanmıyor. Web uygulaması güvenlik açığını kapatmak istiyorlarsa, OPSWAT birden fazla AV motoru ve CDR ile kötü amaçlı yazılımdan koruma taraması gibi birkaç entegre gelişmiş teknolojiyle kapsamlı koruma sunan bir çözüm kullanmalarını öneriyor.
Daha fazla ayrıntı ve bu OPSWATaraştırmasının kapsamlı bir analizi için raporun tamamını buradan indirebilirsiniz: https://info.opswat.com/web-application-security-report-2021
OPSWAT hakkında
OPSWAT dünyanın kritik öneme sahip kuruluşlarını kötü amaçlı yazılımlardan ve sıfırıncı gün saldırılarından korumaya yardımcı olan kritik altyapı siber güvenliğinde küresel bir liderdir. OPSWAT Kritik Altyapı Koruma çözümleri, tehlikeye girme riskini en aza indirmek için hem kamu hem de özel kuruluşların, dosyaların ve cihazların kritik ağlara ve kritik ağlardan güvenli bir şekilde aktarılmasını sağlayan süreçleri uygulamasına olanak tanır. Dünya çapında Finansal Hizmetler, Savunma, Üretim, Enerji, Havacılık ve Ulaşım Sistemlerini kapsayan 1.500'den fazla kuruluş, dosyalarını ve cihazlarını güvence altına almak; endüstri ve hükümet kaynaklı politikalara ve düzenlemelere uyum sağlamak ve itibarlarını, mali durumlarını, çalışanlarını ve ilişkilerini siber kaynaklı bozulmalardan korumak için OPSWAT adresine güvenmektedir. OPSWAT hakkında daha fazla bilgi için www.opswat.com adresini ziyaret edin.
Medya İletişimi
Kat Lewis
Kurumsal İletişim Direktörü
Kat.lewis@opswat.com
