Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點思考

2022-10-07    分類: 網(wǎng)站建設(shè)

臨近元旦,本來大家應(yīng)該沉浸在一個安靜祥和的節(jié)日氛圍中,但由于有史以來最嚴(yán)重的漏洞CVE-2021-44228(Log4Shell)的出現(xiàn),整個安全行業(yè)立即進入“全年無休模式”。是什么讓這個漏洞變得如此特別和可怕?有多大規(guī)模的災(zāi)難正在等待著我們?我們?nèi)绾尾拍鼙苊獍l(fā)生最壞的情況?

筆者希望通過本文帶大家簡單了解一下這個Log4Shell漏洞,但本文并不是一篇技術(shù)性文章。因為目前很多業(yè)內(nèi)專家和技術(shù)高手已經(jīng)對該漏洞進行了詳細(xì)的剖析并制定了應(yīng)對措施,筆者在這里就不班門弄斧了。但是,筆者想從安全行業(yè)從業(yè)者的角度來簡單說明一下為什么這個漏洞會引起如此大的恐慌,以及整個事件背后暴露了哪些值得我們思考的問題。

Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點思考

圖片來源于互聯(lián)網(wǎng)

為什么Log4Shell漏洞會引起如此大的恐慌 內(nèi)因:Log4Shell漏洞涉及范圍廣泛且易于利用

Log4Shell漏洞本身就具有不良的特征,并且利用起來也非常簡單。由于它是與數(shù)據(jù)相關(guān)的漏洞,因此不是與網(wǎng)絡(luò)連接的系統(tǒng),凡是與相關(guān)數(shù)據(jù)有關(guān)聯(lián)的系統(tǒng)就會受到攻擊。在云端深處的某個地方,可能就潛伏著Log4Shell漏洞。值得慶幸的是,目前利用Log4Shell漏洞的工具還沒有出現(xiàn),但一旦有人開發(fā)出使用工具,數(shù)據(jù)存在的整個網(wǎng)絡(luò)空間極有可能發(fā)生爆炸性災(zāi)難。

我們之所以稱其為“爆炸性災(zāi)難”的原因如下:

一是Log4j,這個被發(fā)現(xiàn)Log4shell漏洞的軟件,毫不夸張地講在世界上任何地方隨處可見,您甚至不需要訪問權(quán)限。 二是但凡使用Java的環(huán)境中,就無法保證100%的安全。雖然您可以對所有Log4j的漏洞進行修補,但您可能無法找到所有的Log4j,因為使用Java制作的應(yīng)用程序無處不在。 三是該漏洞利用起來非常簡單,攻擊者只需要慫恿受害者在日志中寫入一些東西就能完成。為此,黑客們迄今為止已設(shè)計出無數(shù)種方法,有很多簡單的方法,也有很多雖然復(fù)雜但確實有效的方法。 四是檢測結(jié)果可能由于開始檢測的時間不同而存在顯著差異。在這種情況下,檢測結(jié)果可能不正確,脆弱的系統(tǒng)可能會被診斷為堅固。 外因:行業(yè) “內(nèi)卷”現(xiàn)象嚴(yán)重以及盲目的“安全信心”

修補Log4shell漏洞本身就是件很困難的事情,但在安全行業(yè)內(nèi)部還出現(xiàn)了相互傷害的行為。例如,假設(shè)第三方添加了關(guān)于Log4j漏洞的新規(guī)則。當(dāng)然,這種應(yīng)對方式是非常積極的。然而,這樣做使得很難相信外部的漏洞掃描結(jié)果。隨著攻擊者的攻擊行為變得更加困難,安全行業(yè)的檢測也將變得更加困難。如此以來就增加了雖然處于危險狀態(tài)但在沒有意識到危險的情況下通過檢測的可能性。

打個比方,我們制造了一臺掃描儀。這是一款能夠遍歷客戶網(wǎng)站并查找漏洞的掃描儀。但是,由于客戶更改了某種設(shè)置并添加了新的規(guī)則,導(dǎo)致掃描無法正常進行。當(dāng)然,我們可以對每個站點進行額外的定制掃描,但我們制造掃描儀的初衷并不是仔細(xì)檢查每個站點,而是快速找到所有站點的脆弱因素和漏洞。

并且,僅根據(jù)掃描結(jié)果就認(rèn)為“我們是安全的”也是致命的錯誤。有人可能會問,誰會相信匆忙制造的掃描儀得出的結(jié)果呢?但是,如果市場上的其它掃描解決方案也存在類似的問題呢?為了暫時防止Log4Shell漏洞被利用而更改的設(shè)置正在向用戶提交“看起來不錯”的安全檢測結(jié)果,這一事實現(xiàn)在對于任何掃描儀都不例外。

筆者在這里想強調(diào)的是,我們需要清楚地認(rèn)識到我們現(xiàn)在使用的所有安全檢測工具都存在局限性。不要通過一次檢測就向客戶報告“您的公司是安全的”,而是要告知我們的客戶“即使您在這里得到了很好的檢測結(jié)果,實際上也可能面臨危險”。當(dāng)掃描儀給出“良好”的結(jié)果時,并不意味著您的系統(tǒng)是“沒有漏洞的干凈狀態(tài)”,而是意味著“用目前的方法很難找到漏洞”。

如上所述,漏洞掃描顯然存在局限性。如果你想對掃描結(jié)果100%的有信心,你必須掃描所有數(shù)字元素的所有源代碼。通過這種方式,您可以一一過濾掉所有存在漏洞的脆弱版本。然而這種漏洞掃描方式在現(xiàn)實生活中可能實現(xiàn)嗎?因此,筆者認(rèn)為,今后與Log4j安全漏洞相關(guān)的“事后處理工作”可能要持續(xù)數(shù)月,甚至更長的時間。因為我們目前還不具備能夠方便地自動查找深入網(wǎng)絡(luò)空間內(nèi)所有要素的技術(shù)。

我們從此次漏洞事件中看出的幾個問題 一是對大規(guī)模網(wǎng)絡(luò)攻擊沒有做到未雨綢繆

過去,我們經(jīng)歷了多次諸如“永恒之藍(lán)”(WannaCry)和“太陽風(fēng)”(SolarWinds)等這種大規(guī)模網(wǎng)絡(luò)攻擊事件,它們的名字也被永遠(yuǎn)“銘記”在網(wǎng)絡(luò)安全漏洞庫中。為了防止再次出現(xiàn)類似的混亂,一部分安全組織研究制定了一整套的防范措施,但絕大部分的安全組織仍然沒有對大規(guī)模網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備,并且對其技術(shù)堆棧中的內(nèi)容一無所知。通常情況下,將修補程序應(yīng)用于受影響的系統(tǒng)是緩解威脅的有效途徑,但如果IT團隊開始時沒有全面了解其網(wǎng)絡(luò)中的內(nèi)容,則無法采取迅速果斷的行動。

二是對資產(chǎn)清點和管理沒有做到了然于胸

如此大規(guī)模和快速的攻擊也凸顯了資產(chǎn)清點和管理的重要性,而這在日常工作中往往會因IT運營和安全團隊之間的裂痕而難以實現(xiàn)。在 Log4j漏洞爆發(fā)后,各地的首席信息安全官(CISO)都在詢問他們的團隊“我們的暴露情況如何?”如果安全團隊沒有準(zhǔn)確的設(shè)備和軟件目錄,就無法正確回答這個問題。雖然這很困難,而且是安全運營框架中經(jīng)常被遺忘的元素,但不斷發(fā)展和嚴(yán)峻的 Log4j 漏洞事件表明,擁有一個完整的視圖以在需要的地方快速修復(fù)補丁是多么的重要。

三是安全響應(yīng)碎片化沒有做到組織有序

近年來,隨著網(wǎng)絡(luò)攻擊越來越有組織化和復(fù)雜化,因此也越來越強大難以應(yīng)對。而當(dāng)前安全行業(yè)對于網(wǎng)絡(luò)攻擊的響應(yīng)是“無組織的”,仍然處于單打獨斗式的“碎片化”處理。我們需要更多更先進的技術(shù)方法來系統(tǒng)應(yīng)對這種大規(guī)模且性質(zhì)嚴(yán)重的網(wǎng)絡(luò)安全事件。無論 Log4Shell漏洞的情況是多么糟糕、多么嚴(yán)重,總有一天會得到解決。但是下次再發(fā)生類似的事件時,如果我們還是同樣手足無措,那就是我們的錯誤。我們現(xiàn)在必須具備應(yīng)對下一次Log4Shell漏洞事件的能力。

解決當(dāng)前這種“響應(yīng)碎片化”局面的技術(shù)方法

為了解決安全響應(yīng)“碎片化”問題,在這里我們不得不介紹一下“安全統(tǒng)籌與自動化響應(yīng)(SOAR)”技術(shù)。SOAR 的全稱是 Security Orchestration, Automation and Response,意思為安全統(tǒng)籌自動化與響應(yīng)。該技術(shù)聚焦安全運維領(lǐng)域,重點解決(但并不限于)安全響應(yīng)的問題,最早是由Gartner公司在 2015 年提出的。

為了應(yīng)對日益有組織化和復(fù)雜化的網(wǎng)絡(luò)犯罪,如今的安全組織正在運營基于各種安全解決方案的安全控制(SOC, Security Operation Center)平臺,識別和應(yīng)對威脅要素。然而,隨著高級網(wǎng)絡(luò)攻擊的數(shù)量日益增加,繁雜的安全工具、安全人員短缺、人員能力差距等問題也隨之顯現(xiàn),目前的安全解決方案無法識別和有效應(yīng)對所有安全威脅。因此,作為提高安全控制效率和降低安全控制中心復(fù)雜性的解決方案,預(yù)計未來對“安全統(tǒng)籌與自動化響應(yīng)”技術(shù)的需求將進一步增大。

SOAR技術(shù)的三大核心能力包括:△著眼于規(guī)范響應(yīng)流程,縮小人員能力差距,解決專業(yè)人才短缺問題的“安全事故響應(yīng)平臺(SIRP, Security Incident Response Platforms)”,△通過運營多種安全解決方案,以減少聯(lián)動復(fù)雜性和管理負(fù)擔(dān)的“安全統(tǒng)籌與自動化(SOA, Security Orchestration and Automation)”, 以及△通過收集和分析威脅數(shù)據(jù)提前構(gòu)建響應(yīng)體系的“威脅情報平臺(TIP, Threat Intelligence Platforms)”。

與所有安全技術(shù)一樣,并非所有安全威脅都可以通過采用SOAR來進行檢測和響應(yīng)。但是,利用以標(biāo)準(zhǔn)化的安全控制流程為基礎(chǔ),將不同攻擊類型的響應(yīng)要素組合到一個流程的“劇本”,可以避免安全組織在眾多安全業(yè)務(wù)中出現(xiàn)“孤島”現(xiàn)象,并能更快地找出潛在的威脅因素。通過這種方式,可以縮短從威脅檢測到響應(yīng)的過程,從而建立更先進的安全控制體系。

結(jié)語

雖然正確預(yù)測未來是一件非常困難的事,但這里有一點是可以肯定的:至少在接下來的幾周時間內(nèi),許多組織將花費大量時間尋找Log4j中的安全漏洞。這并不一定是件壞事。就像新冠肺炎疫情很可能不是最后一次流行病一樣,將來也無法避免像這樣搜索所有網(wǎng)絡(luò)空間和網(wǎng)絡(luò)環(huán)境的事情。正好借助Log4Shell漏洞事件,作為一次全面了解網(wǎng)絡(luò)空間的契機,這對安全行業(yè)發(fā)現(xiàn)自身存在的問題和不足也是大有裨益的。

網(wǎng)站欄目:Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點思考
本文URL:http://muchs.cn/news14/202864.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計公司、小程序開發(fā)、App開發(fā)、建站公司、網(wǎng)站排名、網(wǎng)站維護

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)