2022-10-07 分類: 網(wǎng)站建設(shè)
臨近元旦,本來大家應(yīng)該沉浸在一個(gè)安靜祥和的節(jié)日氛圍中,但由于有史以來最嚴(yán)重的漏洞CVE-2021-44228(Log4Shell)的出現(xiàn),整個(gè)安全行業(yè)立即進(jìn)入“全年無休模式”。是什么讓這個(gè)漏洞變得如此特別和可怕?有多大規(guī)模的災(zāi)難正在等待著我們?我們?nèi)绾尾拍鼙苊獍l(fā)生最壞的情況?
筆者希望通過本文帶大家簡(jiǎn)單了解一下這個(gè)Log4Shell漏洞,但本文并不是一篇技術(shù)性文章。因?yàn)槟壳昂芏鄻I(yè)內(nèi)專家和技術(shù)高手已經(jīng)對(duì)該漏洞進(jìn)行了詳細(xì)的剖析并制定了應(yīng)對(duì)措施,筆者在這里就不班門弄斧了。但是,筆者想從安全行業(yè)從業(yè)者的角度來簡(jiǎn)單說明一下為什么這個(gè)漏洞會(huì)引起如此大的恐慌,以及整個(gè)事件背后暴露了哪些值得我們思考的問題。
圖片來源于互聯(lián)網(wǎng)
為什么Log4Shell漏洞會(huì)引起如此大的恐慌 內(nèi)因:Log4Shell漏洞涉及范圍廣泛且易于利用Log4Shell漏洞本身就具有不良的特征,并且利用起來也非常簡(jiǎn)單。由于它是與數(shù)據(jù)相關(guān)的漏洞,因此不是與網(wǎng)絡(luò)連接的系統(tǒng),凡是與相關(guān)數(shù)據(jù)有關(guān)聯(lián)的系統(tǒng)就會(huì)受到攻擊。在云端深處的某個(gè)地方,可能就潛伏著Log4Shell漏洞。值得慶幸的是,目前利用Log4Shell漏洞的工具還沒有出現(xiàn),但一旦有人開發(fā)出使用工具,數(shù)據(jù)存在的整個(gè)網(wǎng)絡(luò)空間極有可能發(fā)生爆炸性災(zāi)難。
我們之所以稱其為“爆炸性災(zāi)難”的原因如下:
一是Log4j,這個(gè)被發(fā)現(xiàn)Log4shell漏洞的軟件,毫不夸張地講在世界上任何地方隨處可見,您甚至不需要訪問權(quán)限。 二是但凡使用Java的環(huán)境中,就無法保證100%的安全。雖然您可以對(duì)所有Log4j的漏洞進(jìn)行修補(bǔ),但您可能無法找到所有的Log4j,因?yàn)槭褂肑ava制作的應(yīng)用程序無處不在。 三是該漏洞利用起來非常簡(jiǎn)單,攻擊者只需要慫恿受害者在日志中寫入一些東西就能完成。為此,黑客們迄今為止已設(shè)計(jì)出無數(shù)種方法,有很多簡(jiǎn)單的方法,也有很多雖然復(fù)雜但確實(shí)有效的方法。 四是檢測(cè)結(jié)果可能由于開始檢測(cè)的時(shí)間不同而存在顯著差異。在這種情況下,檢測(cè)結(jié)果可能不正確,脆弱的系統(tǒng)可能會(huì)被診斷為堅(jiān)固。 外因:行業(yè) “內(nèi)卷”現(xiàn)象嚴(yán)重以及盲目的“安全信心”修補(bǔ)Log4shell漏洞本身就是件很困難的事情,但在安全行業(yè)內(nèi)部還出現(xiàn)了相互傷害的行為。例如,假設(shè)第三方添加了關(guān)于Log4j漏洞的新規(guī)則。當(dāng)然,這種應(yīng)對(duì)方式是非常積極的。然而,這樣做使得很難相信外部的漏洞掃描結(jié)果。隨著攻擊者的攻擊行為變得更加困難,安全行業(yè)的檢測(cè)也將變得更加困難。如此以來就增加了雖然處于危險(xiǎn)狀態(tài)但在沒有意識(shí)到危險(xiǎn)的情況下通過檢測(cè)的可能性。
打個(gè)比方,我們制造了一臺(tái)掃描儀。這是一款能夠遍歷客戶網(wǎng)站并查找漏洞的掃描儀。但是,由于客戶更改了某種設(shè)置并添加了新的規(guī)則,導(dǎo)致掃描無法正常進(jìn)行。當(dāng)然,我們可以對(duì)每個(gè)站點(diǎn)進(jìn)行額外的定制掃描,但我們制造掃描儀的初衷并不是仔細(xì)檢查每個(gè)站點(diǎn),而是快速找到所有站點(diǎn)的脆弱因素和漏洞。
并且,僅根據(jù)掃描結(jié)果就認(rèn)為“我們是安全的”也是致命的錯(cuò)誤。有人可能會(huì)問,誰會(huì)相信匆忙制造的掃描儀得出的結(jié)果呢?但是,如果市場(chǎng)上的其它掃描解決方案也存在類似的問題呢?為了暫時(shí)防止Log4Shell漏洞被利用而更改的設(shè)置正在向用戶提交“看起來不錯(cuò)”的安全檢測(cè)結(jié)果,這一事實(shí)現(xiàn)在對(duì)于任何掃描儀都不例外。
筆者在這里想強(qiáng)調(diào)的是,我們需要清楚地認(rèn)識(shí)到我們現(xiàn)在使用的所有安全檢測(cè)工具都存在局限性。不要通過一次檢測(cè)就向客戶報(bào)告“您的公司是安全的”,而是要告知我們的客戶“即使您在這里得到了很好的檢測(cè)結(jié)果,實(shí)際上也可能面臨危險(xiǎn)”。當(dāng)掃描儀給出“良好”的結(jié)果時(shí),并不意味著您的系統(tǒng)是“沒有漏洞的干凈狀態(tài)”,而是意味著“用目前的方法很難找到漏洞”。
如上所述,漏洞掃描顯然存在局限性。如果你想對(duì)掃描結(jié)果100%的有信心,你必須掃描所有數(shù)字元素的所有源代碼。通過這種方式,您可以一一過濾掉所有存在漏洞的脆弱版本。然而這種漏洞掃描方式在現(xiàn)實(shí)生活中可能實(shí)現(xiàn)嗎?因此,筆者認(rèn)為,今后與Log4j安全漏洞相關(guān)的“事后處理工作”可能要持續(xù)數(shù)月,甚至更長(zhǎng)的時(shí)間。因?yàn)槲覀兡壳斑€不具備能夠方便地自動(dòng)查找深入網(wǎng)絡(luò)空間內(nèi)所有要素的技術(shù)。
我們從此次漏洞事件中看出的幾個(gè)問題 一是對(duì)大規(guī)模網(wǎng)絡(luò)攻擊沒有做到未雨綢繆過去,我們經(jīng)歷了多次諸如“永恒之藍(lán)”(WannaCry)和“太陽風(fēng)”(SolarWinds)等這種大規(guī)模網(wǎng)絡(luò)攻擊事件,它們的名字也被永遠(yuǎn)“銘記”在網(wǎng)絡(luò)安全漏洞庫中。為了防止再次出現(xiàn)類似的混亂,一部分安全組織研究制定了一整套的防范措施,但絕大部分的安全組織仍然沒有對(duì)大規(guī)模網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備,并且對(duì)其技術(shù)堆棧中的內(nèi)容一無所知。通常情況下,將修補(bǔ)程序應(yīng)用于受影響的系統(tǒng)是緩解威脅的有效途徑,但如果IT團(tuán)隊(duì)開始時(shí)沒有全面了解其網(wǎng)絡(luò)中的內(nèi)容,則無法采取迅速果斷的行動(dòng)。
二是對(duì)資產(chǎn)清點(diǎn)和管理沒有做到了然于胸如此大規(guī)模和快速的攻擊也凸顯了資產(chǎn)清點(diǎn)和管理的重要性,而這在日常工作中往往會(huì)因IT運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的裂痕而難以實(shí)現(xiàn)。在 Log4j漏洞爆發(fā)后,各地的首席信息安全官(CISO)都在詢問他們的團(tuán)隊(duì)“我們的暴露情況如何?”如果安全團(tuán)隊(duì)沒有準(zhǔn)確的設(shè)備和軟件目錄,就無法正確回答這個(gè)問題。雖然這很困難,而且是安全運(yùn)營(yíng)框架中經(jīng)常被遺忘的元素,但不斷發(fā)展和嚴(yán)峻的 Log4j 漏洞事件表明,擁有一個(gè)完整的視圖以在需要的地方快速修復(fù)補(bǔ)丁是多么的重要。
三是安全響應(yīng)碎片化沒有做到組織有序近年來,隨著網(wǎng)絡(luò)攻擊越來越有組織化和復(fù)雜化,因此也越來越強(qiáng)大難以應(yīng)對(duì)。而當(dāng)前安全行業(yè)對(duì)于網(wǎng)絡(luò)攻擊的響應(yīng)是“無組織的”,仍然處于單打獨(dú)斗式的“碎片化”處理。我們需要更多更先進(jìn)的技術(shù)方法來系統(tǒng)應(yīng)對(duì)這種大規(guī)模且性質(zhì)嚴(yán)重的網(wǎng)絡(luò)安全事件。無論 Log4Shell漏洞的情況是多么糟糕、多么嚴(yán)重,總有一天會(huì)得到解決。但是下次再發(fā)生類似的事件時(shí),如果我們還是同樣手足無措,那就是我們的錯(cuò)誤。我們現(xiàn)在必須具備應(yīng)對(duì)下一次Log4Shell漏洞事件的能力。
解決當(dāng)前這種“響應(yīng)碎片化”局面的技術(shù)方法為了解決安全響應(yīng)“碎片化”問題,在這里我們不得不介紹一下“安全統(tǒng)籌與自動(dòng)化響應(yīng)(SOAR)”技術(shù)。SOAR 的全稱是 Security Orchestration, Automation and Response,意思為安全統(tǒng)籌自動(dòng)化與響應(yīng)。該技術(shù)聚焦安全運(yùn)維領(lǐng)域,重點(diǎn)解決(但并不限于)安全響應(yīng)的問題,最早是由Gartner公司在 2015 年提出的。
為了應(yīng)對(duì)日益有組織化和復(fù)雜化的網(wǎng)絡(luò)犯罪,如今的安全組織正在運(yùn)營(yíng)基于各種安全解決方案的安全控制(SOC, Security Operation Center)平臺(tái),識(shí)別和應(yīng)對(duì)威脅要素。然而,隨著高級(jí)網(wǎng)絡(luò)攻擊的數(shù)量日益增加,繁雜的安全工具、安全人員短缺、人員能力差距等問題也隨之顯現(xiàn),目前的安全解決方案無法識(shí)別和有效應(yīng)對(duì)所有安全威脅。因此,作為提高安全控制效率和降低安全控制中心復(fù)雜性的解決方案,預(yù)計(jì)未來對(duì)“安全統(tǒng)籌與自動(dòng)化響應(yīng)”技術(shù)的需求將進(jìn)一步增大。
SOAR技術(shù)的三大核心能力包括:△著眼于規(guī)范響應(yīng)流程,縮小人員能力差距,解決專業(yè)人才短缺問題的“安全事故響應(yīng)平臺(tái)(SIRP, Security Incident Response Platforms)”,△通過運(yùn)營(yíng)多種安全解決方案,以減少聯(lián)動(dòng)復(fù)雜性和管理負(fù)擔(dān)的“安全統(tǒng)籌與自動(dòng)化(SOA, Security Orchestration and Automation)”, 以及△通過收集和分析威脅數(shù)據(jù)提前構(gòu)建響應(yīng)體系的“威脅情報(bào)平臺(tái)(TIP, Threat Intelligence Platforms)”。
與所有安全技術(shù)一樣,并非所有安全威脅都可以通過采用SOAR來進(jìn)行檢測(cè)和響應(yīng)。但是,利用以標(biāo)準(zhǔn)化的安全控制流程為基礎(chǔ),將不同攻擊類型的響應(yīng)要素組合到一個(gè)流程的“劇本”,可以避免安全組織在眾多安全業(yè)務(wù)中出現(xiàn)“孤島”現(xiàn)象,并能更快地找出潛在的威脅因素。通過這種方式,可以縮短從威脅檢測(cè)到響應(yīng)的過程,從而建立更先進(jìn)的安全控制體系。
結(jié)語雖然正確預(yù)測(cè)未來是一件非常困難的事,但這里有一點(diǎn)是可以肯定的:至少在接下來的幾周時(shí)間內(nèi),許多組織將花費(fèi)大量時(shí)間尋找Log4j中的安全漏洞。這并不一定是件壞事。就像新冠肺炎疫情很可能不是最后一次流行病一樣,將來也無法避免像這樣搜索所有網(wǎng)絡(luò)空間和網(wǎng)絡(luò)環(huán)境的事情。正好借助Log4Shell漏洞事件,作為一次全面了解網(wǎng)絡(luò)空間的契機(jī),這對(duì)安全行業(yè)發(fā)現(xiàn)自身存在的問題和不足也是大有裨益的。
網(wǎng)站欄目:Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點(diǎn)思考
本文URL:http://www.rwnh.cn/news14/202864.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、小程序開發(fā)、App開發(fā)、建站公司、網(wǎng)站排名、網(wǎng)站維護(hù)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容