Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點思考

臨近元旦，本來大家應(yīng)該沉浸在一個安靜祥和的節(jié)日氛圍中，但由于有史以來最嚴重的漏洞CVE-2021-44228(Log4Shell)的出現(xiàn)，整個安全行業(yè)立即進入“全年無休模式”。是什么讓這個漏洞變得如此特別和可怕?有多大規(guī)模的災(zāi)難正在等待著我們?我們?nèi)绾尾拍鼙苊獍l(fā)生最壞的情況?

筆者希望通過本文帶大家簡單了解一下這個Log4Shell漏洞，但本文并不是一篇技術(shù)性文章。因為目前很多業(yè)內(nèi)專家和技術(shù)高手已經(jīng)對該漏洞進行了詳細的剖析并制定了應(yīng)對措施，筆者在這里就不班門弄斧了。但是，筆者想從安全行業(yè)從業(yè)者的角度來簡單說明一下為什么這個漏洞會引起如此大的恐慌，以及整個事件背后暴露了哪些值得我們思考的問題。

圖片來源于互聯(lián)網(wǎng)

為什么Log4Shell漏洞會引起如此大的恐慌 內(nèi)因：Log4Shell漏洞涉及范圍廣泛且易于利用

Log4Shell漏洞本身就具有不良的特征，并且利用起來也非常簡單。由于它是與數(shù)據(jù)相關(guān)的漏洞，因此不是與網(wǎng)絡(luò)連接的系統(tǒng)，凡是與相關(guān)數(shù)據(jù)有關(guān)聯(lián)的系統(tǒng)就會受到攻擊。在云端深處的某個地方，可能就潛伏著Log4Shell漏洞。值得慶幸的是，目前利用Log4Shell漏洞的工具還沒有出現(xiàn)，但一旦有人開發(fā)出使用工具，數(shù)據(jù)存在的整個網(wǎng)絡(luò)空間極有可能發(fā)生爆炸性災(zāi)難。

我們之所以稱其為“爆炸性災(zāi)難”的原因如下：

一是Log4j，這個被發(fā)現(xiàn)Log4shell漏洞的軟件，毫不夸張地講在世界上任何地方隨處可見，您甚至不需要訪問權(quán)限。 二是但凡使用Java的環(huán)境中，就無法保證100%的安全。雖然您可以對所有Log4j的漏洞進行修補，但您可能無法找到所有的Log4j，因為使用Java制作的應(yīng)用程序無處不在。 三是該漏洞利用起來非常簡單，攻擊者只需要慫恿受害者在日志中寫入一些東西就能完成。為此，黑客們迄今為止已設(shè)計出無數(shù)種方法，有很多簡單的方法，也有很多雖然復(fù)雜但確實有效的方法。 四是檢測結(jié)果可能由于開始檢測的時間不同而存在顯著差異。在這種情況下，檢測結(jié)果可能不正確，脆弱的系統(tǒng)可能會被診斷為堅固。 外因：行業(yè) “內(nèi)卷”現(xiàn)象嚴重以及盲目的“安全信心”

修補Log4shell漏洞本身就是件很困難的事情，但在安全行業(yè)內(nèi)部還出現(xiàn)了相互傷害的行為。例如，假設(shè)第三方添加了關(guān)于Log4j漏洞的新規(guī)則。當然，這種應(yīng)對方式是非常積極的。然而，這樣做使得很難相信外部的漏洞掃描結(jié)果。隨著攻擊者的攻擊行為變得更加困難，安全行業(yè)的檢測也將變得更加困難。如此以來就增加了雖然處于危險狀態(tài)但在沒有意識到危險的情況下通過檢測的可能性。

打個比方，我們制造了一臺掃描儀。這是一款能夠遍歷客戶網(wǎng)站并查找漏洞的掃描儀。但是，由于客戶更改了某種設(shè)置并添加了新的規(guī)則，導(dǎo)致掃描無法正常進行。當然，我們可以對每個站點進行額外的定制掃描，但我們制造掃描儀的初衷并不是仔細檢查每個站點，而是快速找到所有站點的脆弱因素和漏洞。

并且，僅根據(jù)掃描結(jié)果就認為“我們是安全的”也是致命的錯誤。有人可能會問，誰會相信匆忙制造的掃描儀得出的結(jié)果呢?但是，如果市場上的其它掃描解決方案也存在類似的問題呢?為了暫時防止Log4Shell漏洞被利用而更改的設(shè)置正在向用戶提交“看起來不錯”的安全檢測結(jié)果，這一事實現(xiàn)在對于任何掃描儀都不例外。

筆者在這里想強調(diào)的是，我們需要清楚地認識到我們現(xiàn)在使用的所有安全檢測工具都存在局限性。不要通過一次檢測就向客戶報告“您的公司是安全的”，而是要告知我們的客戶“即使您在這里得到了很好的檢測結(jié)果，實際上也可能面臨危險”。當掃描儀給出“良好”的結(jié)果時，并不意味著您的系統(tǒng)是“沒有漏洞的干凈狀態(tài)”，而是意味著“用目前的方法很難找到漏洞”。

如上所述，漏洞掃描顯然存在局限性。如果你想對掃描結(jié)果100%的有信心，你必須掃描所有數(shù)字元素的所有源代碼。通過這種方式，您可以一一過濾掉所有存在漏洞的脆弱版本。然而這種漏洞掃描方式在現(xiàn)實生活中可能實現(xiàn)嗎?因此，筆者認為，今后與Log4j安全漏洞相關(guān)的“事后處理工作”可能要持續(xù)數(shù)月，甚至更長的時間。因為我們目前還不具備能夠方便地自動查找深入網(wǎng)絡(luò)空間內(nèi)所有要素的技術(shù)。

我們從此次漏洞事件中看出的幾個問題 一是對大規(guī)模網(wǎng)絡(luò)攻擊沒有做到未雨綢繆

過去，我們經(jīng)歷了多次諸如“永恒之藍”(WannaCry)和“太陽風”(SolarWinds)等這種大規(guī)模網(wǎng)絡(luò)攻擊事件，它們的名字也被永遠“銘記”在網(wǎng)絡(luò)安全漏洞庫中。為了防止再次出現(xiàn)類似的混亂，一部分安全組織研究制定了一整套的防范措施，但絕大部分的安全組織仍然沒有對大規(guī)模網(wǎng)絡(luò)攻擊做好充分準備，并且對其技術(shù)堆棧中的內(nèi)容一無所知。通常情況下，將修補程序應(yīng)用于受影響的系統(tǒng)是緩解威脅的有效途徑，但如果IT團隊開始時沒有全面了解其網(wǎng)絡(luò)中的內(nèi)容，則無法采取迅速果斷的行動。

二是對資產(chǎn)清點和管理沒有做到了然于胸

如此大規(guī)模和快速的攻擊也凸顯了資產(chǎn)清點和管理的重要性，而這在日常工作中往往會因IT運營和安全團隊之間的裂痕而難以實現(xiàn)。在 Log4j漏洞爆發(fā)后，各地的首席信息安全官(CISO)都在詢問他們的團隊“我們的暴露情況如何?”如果安全團隊沒有準確的設(shè)備和軟件目錄，就無法正確回答這個問題。雖然這很困難，而且是安全運營框架中經(jīng)常被遺忘的元素，但不斷發(fā)展和嚴峻的 Log4j 漏洞事件表明，擁有一個完整的視圖以在需要的地方快速修復(fù)補丁是多么的重要。

三是安全響應(yīng)碎片化沒有做到組織有序

近年來，隨著網(wǎng)絡(luò)攻擊越來越有組織化和復(fù)雜化，因此也越來越強大難以應(yīng)對。而當前安全行業(yè)對于網(wǎng)絡(luò)攻擊的響應(yīng)是“無組織的”，仍然處于單打獨斗式的“碎片化”處理。我們需要更多更先進的技術(shù)方法來系統(tǒng)應(yīng)對這種大規(guī)模且性質(zhì)嚴重的網(wǎng)絡(luò)安全事件。無論 Log4Shell漏洞的情況是多么糟糕、多么嚴重，總有一天會得到解決。但是下次再發(fā)生類似的事件時，如果我們還是同樣手足無措，那就是我們的錯誤。我們現(xiàn)在必須具備應(yīng)對下一次Log4Shell漏洞事件的能力。

解決當前這種“響應(yīng)碎片化”局面的技術(shù)方法

為了解決安全響應(yīng)“碎片化”問題，在這里我們不得不介紹一下“安全統(tǒng)籌與自動化響應(yīng)(SOAR)”技術(shù)。SOAR 的全稱是 Security Orchestration, Automation and Response，意思為安全統(tǒng)籌自動化與響應(yīng)。該技術(shù)聚焦安全運維領(lǐng)域，重點解決(但并不限于)安全響應(yīng)的問題，最早是由Gartner公司在 2015 年提出的。

為了應(yīng)對日益有組織化和復(fù)雜化的網(wǎng)絡(luò)犯罪，如今的安全組織正在運營基于各種安全解決方案的安全控制(SOC, Security Operation Center)平臺，識別和應(yīng)對威脅要素。然而，隨著高級網(wǎng)絡(luò)攻擊的數(shù)量日益增加，繁雜的安全工具、安全人員短缺、人員能力差距等問題也隨之顯現(xiàn)，目前的安全解決方案無法識別和有效應(yīng)對所有安全威脅。因此，作為提高安全控制效率和降低安全控制中心復(fù)雜性的解決方案，預(yù)計未來對“安全統(tǒng)籌與自動化響應(yīng)”技術(shù)的需求將進一步增大。

SOAR技術(shù)的三大核心能力包括：△著眼于規(guī)范響應(yīng)流程，縮小人員能力差距，解決專業(yè)人才短缺問題的“安全事故響應(yīng)平臺(SIRP, Security Incident Response Platforms)”，△通過運營多種安全解決方案，以減少聯(lián)動復(fù)雜性和管理負擔的“安全統(tǒng)籌與自動化(SOA, Security Orchestration and Automation)”， 以及△通過收集和分析威脅數(shù)據(jù)提前構(gòu)建響應(yīng)體系的“威脅情報平臺(TIP, Threat Intelligence Platforms)”。

與所有安全技術(shù)一樣，并非所有安全威脅都可以通過采用SOAR來進行檢測和響應(yīng)。但是，利用以標準化的安全控制流程為基礎(chǔ)，將不同攻擊類型的響應(yīng)要素組合到一個流程的“劇本”，可以避免安全組織在眾多安全業(yè)務(wù)中出現(xiàn)“孤島”現(xiàn)象，并能更快地找出潛在的威脅因素。通過這種方式，可以縮短從威脅檢測到響應(yīng)的過程，從而建立更先進的安全控制體系。

結(jié)語

雖然正確預(yù)測未來是一件非常困難的事，但這里有一點是可以肯定的：至少在接下來的幾周時間內(nèi)，許多組織將花費大量時間尋找Log4j中的安全漏洞。這并不一定是件壞事。就像新冠肺炎疫情很可能不是最后一次流行病一樣，將來也無法避免像這樣搜索所有網(wǎng)絡(luò)空間和網(wǎng)絡(luò)環(huán)境的事情。正好借助Log4Shell漏洞事件，作為一次全面了解網(wǎng)絡(luò)空間的契機，這對安全行業(yè)發(fā)現(xiàn)自身存在的問題和不足也是大有裨益的。

文章名稱：Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點思考
網(wǎng)站地址：http://muchs.cn/news/202864.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊、網(wǎng)站改版、品牌網(wǎng)站設(shè)計、自適應(yīng)網(wǎng)站、關(guān)鍵詞優(yōu)化、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)