2022-10-07 分類: 網站建設
臨近元旦,本來大家應該沉浸在一個安靜祥和的節日氛圍中,但由于有史以來最嚴重的漏洞CVE-2021-44228(Log4Shell)的出現,整個安全行業立即進入“全年無休模式”。是什么讓這個漏洞變得如此特別和可怕?有多大規模的災難正在等待著我們?我們如何才能避免發生最壞的情況?
筆者希望通過本文帶大家簡單了解一下這個Log4Shell漏洞,但本文并不是一篇技術性文章。因為目前很多業內專家和技術高手已經對該漏洞進行了詳細的剖析并制定了應對措施,筆者在這里就不班門弄斧了。但是,筆者想從安全行業從業者的角度來簡單說明一下為什么這個漏洞會引起如此大的恐慌,以及整個事件背后暴露了哪些值得我們思考的問題。
圖片來源于互聯網
為什么Log4Shell漏洞會引起如此大的恐慌 內因:Log4Shell漏洞涉及范圍廣泛且易于利用Log4Shell漏洞本身就具有不良的特征,并且利用起來也非常簡單。由于它是與數據相關的漏洞,因此不是與網絡連接的系統,凡是與相關數據有關聯的系統就會受到攻擊。在云端深處的某個地方,可能就潛伏著Log4Shell漏洞。值得慶幸的是,目前利用Log4Shell漏洞的工具還沒有出現,但一旦有人開發出使用工具,數據存在的整個網絡空間極有可能發生爆炸性災難。
我們之所以稱其為“爆炸性災難”的原因如下:
一是Log4j,這個被發現Log4shell漏洞的軟件,毫不夸張地講在世界上任何地方隨處可見,您甚至不需要訪問權限。 二是但凡使用Java的環境中,就無法保證100%的安全。雖然您可以對所有Log4j的漏洞進行修補,但您可能無法找到所有的Log4j,因為使用Java制作的應用程序無處不在。 三是該漏洞利用起來非常簡單,攻擊者只需要慫恿受害者在日志中寫入一些東西就能完成。為此,黑客們迄今為止已設計出無數種方法,有很多簡單的方法,也有很多雖然復雜但確實有效的方法。 四是檢測結果可能由于開始檢測的時間不同而存在顯著差異。在這種情況下,檢測結果可能不正確,脆弱的系統可能會被診斷為堅固。 外因:行業 “內卷”現象嚴重以及盲目的“安全信心”修補Log4shell漏洞本身就是件很困難的事情,但在安全行業內部還出現了相互傷害的行為。例如,假設第三方添加了關于Log4j漏洞的新規則。當然,這種應對方式是非常積極的。然而,這樣做使得很難相信外部的漏洞掃描結果。隨著攻擊者的攻擊行為變得更加困難,安全行業的檢測也將變得更加困難。如此以來就增加了雖然處于危險狀態但在沒有意識到危險的情況下通過檢測的可能性。
打個比方,我們制造了一臺掃描儀。這是一款能夠遍歷客戶網站并查找漏洞的掃描儀。但是,由于客戶更改了某種設置并添加了新的規則,導致掃描無法正常進行。當然,我們可以對每個站點進行額外的定制掃描,但我們制造掃描儀的初衷并不是仔細檢查每個站點,而是快速找到所有站點的脆弱因素和漏洞。
并且,僅根據掃描結果就認為“我們是安全的”也是致命的錯誤。有人可能會問,誰會相信匆忙制造的掃描儀得出的結果呢?但是,如果市場上的其它掃描解決方案也存在類似的問題呢?為了暫時防止Log4Shell漏洞被利用而更改的設置正在向用戶提交“看起來不錯”的安全檢測結果,這一事實現在對于任何掃描儀都不例外。
筆者在這里想強調的是,我們需要清楚地認識到我們現在使用的所有安全檢測工具都存在局限性。不要通過一次檢測就向客戶報告“您的公司是安全的”,而是要告知我們的客戶“即使您在這里得到了很好的檢測結果,實際上也可能面臨危險”。當掃描儀給出“良好”的結果時,并不意味著您的系統是“沒有漏洞的干凈狀態”,而是意味著“用目前的方法很難找到漏洞”。
如上所述,漏洞掃描顯然存在局限性。如果你想對掃描結果100%的有信心,你必須掃描所有數字元素的所有源代碼。通過這種方式,您可以一一過濾掉所有存在漏洞的脆弱版本。然而這種漏洞掃描方式在現實生活中可能實現嗎?因此,筆者認為,今后與Log4j安全漏洞相關的“事后處理工作”可能要持續數月,甚至更長的時間。因為我們目前還不具備能夠方便地自動查找深入網絡空間內所有要素的技術。
我們從此次漏洞事件中看出的幾個問題 一是對大規模網絡攻擊沒有做到未雨綢繆過去,我們經歷了多次諸如“永恒之藍”(WannaCry)和“太陽風”(SolarWinds)等這種大規模網絡攻擊事件,它們的名字也被永遠“銘記”在網絡安全漏洞庫中。為了防止再次出現類似的混亂,一部分安全組織研究制定了一整套的防范措施,但絕大部分的安全組織仍然沒有對大規模網絡攻擊做好充分準備,并且對其技術堆棧中的內容一無所知。通常情況下,將修補程序應用于受影響的系統是緩解威脅的有效途徑,但如果IT團隊開始時沒有全面了解其網絡中的內容,則無法采取迅速果斷的行動。
二是對資產清點和管理沒有做到了然于胸如此大規模和快速的攻擊也凸顯了資產清點和管理的重要性,而這在日常工作中往往會因IT運營和安全團隊之間的裂痕而難以實現。在 Log4j漏洞爆發后,各地的首席信息安全官(CISO)都在詢問他們的團隊“我們的暴露情況如何?”如果安全團隊沒有準確的設備和軟件目錄,就無法正確回答這個問題。雖然這很困難,而且是安全運營框架中經常被遺忘的元素,但不斷發展和嚴峻的 Log4j 漏洞事件表明,擁有一個完整的視圖以在需要的地方快速修復補丁是多么的重要。
三是安全響應碎片化沒有做到組織有序近年來,隨著網絡攻擊越來越有組織化和復雜化,因此也越來越強大難以應對。而當前安全行業對于網絡攻擊的響應是“無組織的”,仍然處于單打獨斗式的“碎片化”處理。我們需要更多更先進的技術方法來系統應對這種大規模且性質嚴重的網絡安全事件。無論 Log4Shell漏洞的情況是多么糟糕、多么嚴重,總有一天會得到解決。但是下次再發生類似的事件時,如果我們還是同樣手足無措,那就是我們的錯誤。我們現在必須具備應對下一次Log4Shell漏洞事件的能力。
解決當前這種“響應碎片化”局面的技術方法為了解決安全響應“碎片化”問題,在這里我們不得不介紹一下“安全統籌與自動化響應(SOAR)”技術。SOAR 的全稱是 Security Orchestration, Automation and Response,意思為安全統籌自動化與響應。該技術聚焦安全運維領域,重點解決(但并不限于)安全響應的問題,最早是由Gartner公司在 2015 年提出的。
為了應對日益有組織化和復雜化的網絡犯罪,如今的安全組織正在運營基于各種安全解決方案的安全控制(SOC, Security Operation Center)平臺,識別和應對威脅要素。然而,隨著高級網絡攻擊的數量日益增加,繁雜的安全工具、安全人員短缺、人員能力差距等問題也隨之顯現,目前的安全解決方案無法識別和有效應對所有安全威脅。因此,作為提高安全控制效率和降低安全控制中心復雜性的解決方案,預計未來對“安全統籌與自動化響應”技術的需求將進一步增大。
SOAR技術的三大核心能力包括:△著眼于規范響應流程,縮小人員能力差距,解決專業人才短缺問題的“安全事故響應平臺(SIRP, Security Incident Response Platforms)”,△通過運營多種安全解決方案,以減少聯動復雜性和管理負擔的“安全統籌與自動化(SOA, Security Orchestration and Automation)”, 以及△通過收集和分析威脅數據提前構建響應體系的“威脅情報平臺(TIP, Threat Intelligence Platforms)”。
與所有安全技術一樣,并非所有安全威脅都可以通過采用SOAR來進行檢測和響應。但是,利用以標準化的安全控制流程為基礎,將不同攻擊類型的響應要素組合到一個流程的“劇本”,可以避免安全組織在眾多安全業務中出現“孤島”現象,并能更快地找出潛在的威脅因素。通過這種方式,可以縮短從威脅檢測到響應的過程,從而建立更先進的安全控制體系。
結語雖然正確預測未來是一件非常困難的事,但這里有一點是可以肯定的:至少在接下來的幾周時間內,許多組織將花費大量時間尋找Log4j中的安全漏洞。這并不一定是件壞事。就像新冠肺炎疫情很可能不是最后一次流行病一樣,將來也無法避免像這樣搜索所有網絡空間和網絡環境的事情。正好借助Log4Shell漏洞事件,作為一次全面了解網絡空間的契機,這對安全行業發現自身存在的問題和不足也是大有裨益的。
網站欄目:Log4j安全漏洞事件引發安全行業的幾點思考
本文URL:http://m.newbst.com/news14/202864.html
成都網站建設公司_創新互聯,為您提供網頁設計公司、小程序開發、App開發、建站公司、網站排名、網站維護
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容