完结小说排行榜,玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

覆蓋面太大Log4j漏洞彌補工作十分艱難

Log4j漏洞所藏身的組件并不總是易于檢測，且該組件的使用范圍遠不止企業(yè)自己的網(wǎng)絡(luò)和系統(tǒng)。

創(chuàng)新互聯(lián)建站服務(wù)項目包括清河網(wǎng)站建設(shè)、清河網(wǎng)站制作、清河網(wǎng)頁制作以及清河網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，清河網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到清河省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

如果想要緩解公司的Log4j漏洞暴露問題，安全團隊需要克服很多難題，比如確定暴露的全部范圍，找出變通方法堵上無補丁系統(tǒng)的漏洞，以及確保第三方產(chǎn)品和服務(wù)有所防護。

安全專家本周表示，對于許多人來說，由于需要持續(xù)監(jiān)測攻擊者試圖利用漏洞的跡象，或者監(jiān)測自身可能已經(jīng)遭到入侵的指標(biāo)，這項任務(wù)會變得更加復(fù)雜。

Log4j是一種日志工具，幾乎存在于所有Java應(yīng)用中。從2.0-beta9到2.14.1的多個Log4j版本中存在關(guān)鍵遠程代碼執(zhí)行漏洞(CVE-2021-44228)，攻擊者可利用該漏洞完全控制易受攻擊的系統(tǒng)。上周，Apache基金會發(fā)布了該工具的更新版本 (Apache Log4j 2.15.0)，但由于原始補丁未能完全防止拒絕服務(wù)(DoS)攻擊和數(shù)據(jù)盜竊，本周二又發(fā)布了第二次更新。

很多人都覺得這個漏洞是近期最危險的漏洞之一，因為實在是太容易被利用了，而且普遍存在于每個IT環(huán)境中。舉個例子，Veracode就發(fā)現(xiàn)其客戶中88%都在使用某個版本的Log4j，而58%的客戶環(huán)境中存在帶漏洞的版本。

自上周該漏洞首次披露以來，世界各地的攻擊者一直在嘗試?yán)眠@個漏洞。多家安全供應(yīng)商觀測到攻擊者試圖利用該漏洞投放加密貨幣挖礦機、勒索軟件、遠程訪問木馬、Web shell和僵尸網(wǎng)絡(luò)惡意軟件。12月15日，Armis報告稱，其客戶中大約35%正遭受經(jīng)由該漏洞發(fā)起的主動攻擊，31%則面臨托管設(shè)備上的Log4j漏洞相關(guān)威脅。這家安全供應(yīng)商表示，針對其客戶的漏洞利用攻擊嘗試次數(shù)高達3萬次之多。其他幾家供應(yīng)商也報告了類似的活動。

Armis發(fā)現(xiàn)，迄今為止，IT環(huán)境中最容易被攻擊者盯上的資產(chǎn)是服務(wù)器、虛擬機和移動設(shè)備。而在OT網(wǎng)絡(luò)中，49%的被黑設(shè)備都是虛擬機，43%是服務(wù)器。OT網(wǎng)絡(luò)中的其他目標(biāo)設(shè)備還有聯(lián)網(wǎng)攝像頭、人機界面(HMI)和數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)。

界定問題范圍

安全專家表示，在防御針對Log4j漏洞的攻擊時，企業(yè)面臨的一項主要挑戰(zhàn)是摸清自身的整個暴露面。該漏洞不僅存在于企業(yè)面向互聯(lián)網(wǎng)的資產(chǎn)中，還廣泛存在于內(nèi)部與后端系統(tǒng)、網(wǎng)絡(luò)交換機、安全信息與事件管理(SIEM)及其他日志記錄系統(tǒng)、內(nèi)部開發(fā)應(yīng)用與第三方應(yīng)用、軟件即服務(wù)(SaaS)和云服務(wù)，以及自身甚至可能毫無所覺的環(huán)境中。而且，不同應(yīng)用和組件之間存在相互依賴，這意味著即使組件不直接存在漏洞，也仍然可能受到漏洞影響。

Noname Security表示，Java程序包打包機制通常會增加受影響應(yīng)用的識別難度。例如，Java存檔(JAR)文件可能包含特定組件的所有依賴項，包括Log4j庫。但JAR文件還可能包含其他JAR文件(該JAR文件可能又包含另一個JAR文件)。基本上，這個漏洞可能嵌套了很多層。

Netskope威脅研究工程師Gustavo Palazolo表示：“企業(yè)在緩解Log4j漏洞時面臨的主要挑戰(zhàn)之一，是識別所有受損資產(chǎn)?！彼a充道，基Log4j Apache Java的日志庫非常流行，許多應(yīng)用，還有物聯(lián)網(wǎng)設(shè)備和為了向后兼容而維護的老舊系統(tǒng)，都在使用此類日志庫。

即使發(fā)現(xiàn)應(yīng)用存在漏洞，更新應(yīng)用也可能很困難，因為企業(yè)可能無法承受宕機的代價，或者缺乏合適的補丁管理控制措施。

Palazolo稱：“因此，在某些情況下，識別所有受損系統(tǒng)和修復(fù)問題之間的耗時可能會很長。”

API和第三方風(fēng)險

應(yīng)用還不是唯一的問題。Log4j漏洞也會影響應(yīng)用編程接口(API)環(huán)境。Noname Security表示，包含該漏洞的API服務(wù)器提供了誘人的攻擊渠道，因為許多企業(yè)其實對其API清單和API行為的可見性有限。沒使用Log4j日志框架的公司可能在用含有Log4j漏洞的受信第三方API，同樣面臨Log4j漏洞利用風(fēng)險。

Noname Security技術(shù)副總裁 Aner Morag表示：“對于企業(yè)而言，想要最大限度地降低遭遇API型[Log4j漏洞]利用的風(fēng)險，需要采取幾個步驟。”這些步驟包括：映射使用任何Java服務(wù)提供API的所有服務(wù)器，不允許任何用戶輸入接觸到API服務(wù)器上的日志消息，使用代理或其他機制來控制后端服務(wù)可以連接到哪些服務(wù)器，并將API置于API網(wǎng)關(guān)或負載均衡器之后。

企業(yè)面臨的另一個Log4j漏洞緩解挑戰(zhàn)是，要確保他們使用的所有第三方產(chǎn)品和服務(wù)都打上了合適的補丁，或者設(shè)置了針對該漏洞的緩解措施。

Alert Logic安全運營副總裁Tom Gorup稱：“許多供應(yīng)商產(chǎn)品受到影響，[并且]受影響供應(yīng)商的數(shù)量每天都在增加。不是所有供應(yīng)商都有補丁可用?！?/p>

Gorup建議安全團隊檢查其供應(yīng)商的網(wǎng)站，或者直接與供應(yīng)商聯(lián)系，好了解他們的產(chǎn)品是否受到影響。供應(yīng)商可能易受此漏洞影響，但已發(fā)布緩解措施來保護其客戶。

Gorup指出：“至少，你得清楚怎么驗證自己的資產(chǎn)已經(jīng)接收到更新了。”他還建議安全團隊檢查過去幾天公布出來的易受攻擊產(chǎn)品列表，比如GitHub上發(fā)布的那個(URL：https://github.com/NCSC-NL/log4shell/tree/main/software)。

Gorup表示：“對此漏洞的回應(yīng)可能是，‘我們不使用Java’。盡管情況可能真是這樣，但你的第三方軟件或許早已嵌入了Java，導(dǎo)致你的漏洞掃描壓根兒沒顯示出這一[威脅]。”

當(dāng)前名稱：覆蓋面太大Log4j漏洞彌補工作十分艱難
轉(zhuǎn)載來源：http://m.fisionsoft.com.cn/article/dpgicgh.html

新聞中心

界定問題范圍

API和第三方風(fēng)險

其他資訊