網路資安威脅
在上傳應用程式內掃描檔案,杜絕惡意程式偽裝闖關
深入了解在接受檔案上傳的應用程式內掃描檔案的作法有麼多重要,並學習如何採取防禦措施來防範像惡意檔案這樣的威脅。
在數位時代,許多應用程式都具備檔案上傳功能,目的是要讓使用者分享和儲存各式各樣的內容。然而,這樣的方便性也帶來了資安風險,例如惡意程式與惡意檔案。要防範這類風險,很重要的一點就是在檔案處理或儲存之前預先加以掃描。
我們無可避免地總有機會需要上傳文件到公共或企業內的應用程式。每一天都有不計其數的檔案上傳到處理各式各樣業務的應用程式,從汽車、醫療保險,到金融、農業申請、求職徵才等等。而這全部加起來,就有大量的檔案被上傳至雲端和混合雲系統。就算您的應用程式已經採取了最嚴格的安全與隱私設定,但您如何確保您收到的檔案都安全無虞?
「開放網站應用程式安全計畫」(Open Web Application Security Project,簡稱 OWASP) 以及許多法規遵循框架,包括:美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 、美國健康保險可攜性與責任法案 (Health Insurance Portability and Accountability Act,簡稱 HIPAA) 以及歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 都強調資料保護與資安控管的重要性。在上傳的地點執行惡意程式掃描,可展現落實資安控管的決心,有助於企業機構達成法規要求,進而避免衍生罰鍰或法律後果。針對這點,OWASP 的檔案上傳「快速指南」是一份值得參考的資源,可當成一份提升應用程式安全的指引。
為何要在接受檔案上傳的應用程式當中掃描檔案?
在應用程式架構當中增加一道資安防護,有助於降低弱點遭駭客在網路攻擊當中利用的風險。
藉由軟體開發套件 (SDK) 將檔案掃描功能加入您的應用程式當中,是確保每當有檔案上傳到您的應用程式都會掃描其中是否含有威脅的一種方法 (不論是對外或對內的應用程式)。像 Trend Vision One™ – File Security 這樣的解決方案,就是為了盡可能降低潛在感染、惡意程式、殭屍網路、勒索病毒、漏洞攻擊或資料外洩而生,因為這些威脅大多是從簡單的檔案上傳所引起。
許多產業和地區都有自己的資料安全規範,在接受檔案上傳的應用程式當中掃描檔案,有助於確保應用程式符合這些規範,進而減少潛在的法律問題所衍生的風險。不僅如此,建立檔案掃描機制還可展現您落實網路資安的決心,讓您在使用者心目中建立信任與信心,證明您有認真想要保護他們的資料與隱私,這有助於提升使用體驗。
架構範例
![掃描](/content/dam/trendmicro/global/en/research/24/d/file-scan-before-upload/scan-files.png)
如上圖範例所示,File Security SDK 支援多種程式設計語言,為客戶提供了整合上的簡易性及彈性,包括與雲端儲存系統整合,例如:Amazon Simple Storage Service (Amazon S3)、Microsoft Azure Blob Storage 或 Google Cloud Storage™ 等服務。
很多應用程式在接收到檔案之後,通常會直截儲存檔案以供應用程式工作流程的下一階段使用。一旦加入了掃描功能,任何上傳的檔案都會先經過掃描,若發現是惡意程式的話,就會被標記。所以,File Security 的彈性功能可協助您在應用程式工作流程必須接受使用者上傳檔案的時候保護檔案。
![程式碼](/content/dam/trendmicro/global/en/research/24/d/file-scan-before-upload/code-using-phython-sdk.png)
其他可用的 SDK 還有:
此外,在部署 File Security 來配合指令列介面 (CLI) 使用時也可以參考這份指南。
更多 File Security SDK 的應用案例
混合應用程式
在企業內環境執行的一個混合應用程式,假使用到了包含個人識別資訊 (PII) 和 HIPAA 資訊的檔案,由於這些檔案須受到嚴格監管,因此在將檔案加密並上傳到雲端儲存之前必須先掃描是否有惡意程式。在這套架構中,我們使用了一個 Amazon S3 儲存貯體 (bucket) 來存放檔案,並使用 AWS Lambda 應用程式來處理應用程式工作流程的其他步驟。此時,客戶就能在企業內應用程式當中加入 File Security SDK 來掃描準備加密的檔案。
![混合](/content/dam/trendmicro/global/en/research/24/d/file-scan-before-upload/hybrid-application.png)
雲端儲存 (Amazon FSx)
一個會上傳大量檔案到 Amazon FSx 的企業機構必須每週執行一次惡意程式掃描以滿足內部法規遵循要求。在這樣的情況下,客戶可在 Amazon Elastic Compute Cloud (Amazon EC2) 上使用 File Security SDK 來連上 Amazon FSx 然後對儲存中的檔案進行惡意程式掃描。掃描結果可發送至 Amazon Simple Notification Service (Amazon SNS) 來通知開發、資安與營運團隊,實現雲端資安自動化。
![Amazon](/content/dam/trendmicro/global/en/research/24/d/file-scan-before-upload/amazon-fsx.png)
如何開始使用 File Security
您可申請 30 天免費試用來開始體驗 Trend Vision One 平台。當您取得該平台之後,就能設定 File Security 功能,請按照下列存取與部署步驟執行。
準備部署 File Security
在您開始之前,請確定您的系統管理員已經完成以下工作:
- 建立一個客製化角色,並且具備 File Security 掃描器權限 (請參閱我們的使用者角色說明來取得更多資訊)。
- 建立一個應用程式開發介面 (API) 金鑰,並將金鑰指派給前述客製化角色 (請參閱我們的 API 金鑰說明來取得詳細資訊)。
部署 SDK
趨勢科技的掃描器 SDK 可支援多種程式設計語言。安裝及認證 SDK 的說明隨您所使用的程式設計語言而定。我們將這些 SDK 都放在 GitHub 上。
要存取某套 SDK,請至對應的儲存庫:
開始掃描檔案
請遵照對應的儲存庫上所提供的指示 (包括程式碼範例) 來掃描檔案。
檢視偵測結果
掃描檔案之後,您可以在 File Security 當中檢視惡意程式偵測結果。根據掃描結果,您也許會想要自動發送通知,以及隔離或推送檔案。
結論
在處理或儲存檔案之前預先加以掃描,是確保接受檔案上傳的應用程式安全的一道關鍵步驟。加入檔案掃描並遵守最佳實務原則,就能保護您的應用程式和使用者來防範資安威脅,同時建立客戶對您的信任和信心。
請參閱以下資源來了解更多有關 File Security 的資訊: