Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點(diǎn)思考

臨近元旦，本來(lái)大家應(yīng)該沉浸在一個(gè)安靜祥和的節(jié)日氛圍中，但由于有史以來(lái)最嚴(yán)重的漏洞CVE-2021-44228(Log4Shell)的出現(xiàn)，整個(gè)安全行業(yè)立即進(jìn)入“全年無(wú)休模式”。是什么讓這個(gè)漏洞變得如此特別和可怕?有多大規(guī)模的災(zāi)難正在等待著我們?我們?nèi)绾尾拍鼙苊獍l(fā)生最壞的情況?

筆者希望通過(guò)本文帶大家簡(jiǎn)單了解一下這個(gè)Log4Shell漏洞，但本文并不是一篇技術(shù)性文章。因?yàn)槟壳昂芏鄻I(yè)內(nèi)專(zhuān)家和技術(shù)高手已經(jīng)對(duì)該漏洞進(jìn)行了詳細(xì)的剖析并制定了應(yīng)對(duì)措施，筆者在這里就不班門(mén)弄斧了。但是，筆者想從安全行業(yè)從業(yè)者的角度來(lái)簡(jiǎn)單說(shuō)明一下為什么這個(gè)漏洞會(huì)引起如此大的恐慌，以及整個(gè)事件背后暴露了哪些值得我們思考的問(wèn)題。

圖片來(lái)源于互聯(lián)網(wǎng)

為什么Log4Shell漏洞會(huì)引起如此大的恐慌 內(nèi)因：Log4Shell漏洞涉及范圍廣泛且易于利用

Log4Shell漏洞本身就具有不良的特征，并且利用起來(lái)也非常簡(jiǎn)單。由于它是與數(shù)據(jù)相關(guān)的漏洞，因此不是與網(wǎng)絡(luò)連接的系統(tǒng)，凡是與相關(guān)數(shù)據(jù)有關(guān)聯(lián)的系統(tǒng)就會(huì)受到攻擊。在云端深處的某個(gè)地方，可能就潛伏著Log4Shell漏洞。值得慶幸的是，目前利用Log4Shell漏洞的工具還沒(méi)有出現(xiàn)，但一旦有人開(kāi)發(fā)出使用工具，數(shù)據(jù)存在的整個(gè)網(wǎng)絡(luò)空間極有可能發(fā)生爆炸性災(zāi)難。

我們之所以稱(chēng)其為“爆炸性災(zāi)難”的原因如下：

一是Log4j，這個(gè)被發(fā)現(xiàn)Log4shell漏洞的軟件，毫不夸張地講在世界上任何地方隨處可見(jiàn)，您甚至不需要訪問(wèn)權(quán)限。 二是但凡使用Java的環(huán)境中，就無(wú)法保證100%的安全。雖然您可以對(duì)所有Log4j的漏洞進(jìn)行修補(bǔ)，但您可能無(wú)法找到所有的Log4j，因?yàn)槭褂肑ava制作的應(yīng)用程序無(wú)處不在。 三是該漏洞利用起來(lái)非常簡(jiǎn)單，攻擊者只需要慫恿受害者在日志中寫(xiě)入一些東西就能完成。為此，黑客們迄今為止已設(shè)計(jì)出無(wú)數(shù)種方法，有很多簡(jiǎn)單的方法，也有很多雖然復(fù)雜但確實(shí)有效的方法。 四是檢測(cè)結(jié)果可能由于開(kāi)始檢測(cè)的時(shí)間不同而存在顯著差異。在這種情況下，檢測(cè)結(jié)果可能不正確，脆弱的系統(tǒng)可能會(huì)被診斷為堅(jiān)固。 外因：行業(yè) “內(nèi)卷”現(xiàn)象嚴(yán)重以及盲目的“安全信心”

修補(bǔ)Log4shell漏洞本身就是件很困難的事情，但在安全行業(yè)內(nèi)部還出現(xiàn)了相互傷害的行為。例如，假設(shè)第三方添加了關(guān)于Log4j漏洞的新規(guī)則。當(dāng)然，這種應(yīng)對(duì)方式是非常積極的。然而，這樣做使得很難相信外部的漏洞掃描結(jié)果。隨著攻擊者的攻擊行為變得更加困難，安全行業(yè)的檢測(cè)也將變得更加困難。如此以來(lái)就增加了雖然處于危險(xiǎn)狀態(tài)但在沒(méi)有意識(shí)到危險(xiǎn)的情況下通過(guò)檢測(cè)的可能性。

打個(gè)比方，我們制造了一臺(tái)掃描儀。這是一款能夠遍歷客戶(hù)網(wǎng)站并查找漏洞的掃描儀。但是，由于客戶(hù)更改了某種設(shè)置并添加了新的規(guī)則，導(dǎo)致掃描無(wú)法正常進(jìn)行。當(dāng)然，我們可以對(duì)每個(gè)站點(diǎn)進(jìn)行額外的定制掃描，但我們制造掃描儀的初衷并不是仔細(xì)檢查每個(gè)站點(diǎn)，而是快速找到所有站點(diǎn)的脆弱因素和漏洞。

并且，僅根據(jù)掃描結(jié)果就認(rèn)為“我們是安全的”也是致命的錯(cuò)誤。有人可能會(huì)問(wèn)，誰(shuí)會(huì)相信匆忙制造的掃描儀得出的結(jié)果呢?但是，如果市場(chǎng)上的其它掃描解決方案也存在類(lèi)似的問(wèn)題呢?為了暫時(shí)防止Log4Shell漏洞被利用而更改的設(shè)置正在向用戶(hù)提交“看起來(lái)不錯(cuò)”的安全檢測(cè)結(jié)果，這一事實(shí)現(xiàn)在對(duì)于任何掃描儀都不例外。

筆者在這里想強(qiáng)調(diào)的是，我們需要清楚地認(rèn)識(shí)到我們現(xiàn)在使用的所有安全檢測(cè)工具都存在局限性。不要通過(guò)一次檢測(cè)就向客戶(hù)報(bào)告“您的公司是安全的”，而是要告知我們的客戶(hù)“即使您在這里得到了很好的檢測(cè)結(jié)果，實(shí)際上也可能面臨危險(xiǎn)”。當(dāng)掃描儀給出“良好”的結(jié)果時(shí)，并不意味著您的系統(tǒng)是“沒(méi)有漏洞的干凈狀態(tài)”，而是意味著“用目前的方法很難找到漏洞”。

如上所述，漏洞掃描顯然存在局限性。如果你想對(duì)掃描結(jié)果100%的有信心，你必須掃描所有數(shù)字元素的所有源代碼。通過(guò)這種方式，您可以一一過(guò)濾掉所有存在漏洞的脆弱版本。然而這種漏洞掃描方式在現(xiàn)實(shí)生活中可能實(shí)現(xiàn)嗎?因此，筆者認(rèn)為，今后與Log4j安全漏洞相關(guān)的“事后處理工作”可能要持續(xù)數(shù)月，甚至更長(zhǎng)的時(shí)間。因?yàn)槲覀兡壳斑€不具備能夠方便地自動(dòng)查找深入網(wǎng)絡(luò)空間內(nèi)所有要素的技術(shù)。

我們從此次漏洞事件中看出的幾個(gè)問(wèn)題 一是對(duì)大規(guī)模網(wǎng)絡(luò)攻擊沒(méi)有做到未雨綢繆

過(guò)去，我們經(jīng)歷了多次諸如“永恒之藍(lán)”(WannaCry)和“太陽(yáng)風(fēng)”(SolarWinds)等這種大規(guī)模網(wǎng)絡(luò)攻擊事件，它們的名字也被永遠(yuǎn)“銘記”在網(wǎng)絡(luò)安全漏洞庫(kù)中。為了防止再次出現(xiàn)類(lèi)似的混亂，一部分安全組織研究制定了一整套的防范措施，但絕大部分的安全組織仍然沒(méi)有對(duì)大規(guī)模網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備，并且對(duì)其技術(shù)堆棧中的內(nèi)容一無(wú)所知。通常情況下，將修補(bǔ)程序應(yīng)用于受影響的系統(tǒng)是緩解威脅的有效途徑，但如果IT團(tuán)隊(duì)開(kāi)始時(shí)沒(méi)有全面了解其網(wǎng)絡(luò)中的內(nèi)容，則無(wú)法采取迅速果斷的行動(dòng)。

二是對(duì)資產(chǎn)清點(diǎn)和管理沒(méi)有做到了然于胸

如此大規(guī)模和快速的攻擊也凸顯了資產(chǎn)清點(diǎn)和管理的重要性，而這在日常工作中往往會(huì)因IT運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的裂痕而難以實(shí)現(xiàn)。在 Log4j漏洞爆發(fā)后，各地的首席信息安全官(CISO)都在詢(xún)問(wèn)他們的團(tuán)隊(duì)“我們的暴露情況如何?”如果安全團(tuán)隊(duì)沒(méi)有準(zhǔn)確的設(shè)備和軟件目錄，就無(wú)法正確回答這個(gè)問(wèn)題。雖然這很困難，而且是安全運(yùn)營(yíng)框架中經(jīng)常被遺忘的元素，但不斷發(fā)展和嚴(yán)峻的 Log4j 漏洞事件表明，擁有一個(gè)完整的視圖以在需要的地方快速修復(fù)補(bǔ)丁是多么的重要。

三是安全響應(yīng)碎片化沒(méi)有做到組織有序

近年來(lái)，隨著網(wǎng)絡(luò)攻擊越來(lái)越有組織化和復(fù)雜化，因此也越來(lái)越強(qiáng)大難以應(yīng)對(duì)。而當(dāng)前安全行業(yè)對(duì)于網(wǎng)絡(luò)攻擊的響應(yīng)是“無(wú)組織的”，仍然處于單打獨(dú)斗式的“碎片化”處理。我們需要更多更先進(jìn)的技術(shù)方法來(lái)系統(tǒng)應(yīng)對(duì)這種大規(guī)模且性質(zhì)嚴(yán)重的網(wǎng)絡(luò)安全事件。無(wú)論 Log4Shell漏洞的情況是多么糟糕、多么嚴(yán)重，總有一天會(huì)得到解決。但是下次再發(fā)生類(lèi)似的事件時(shí)，如果我們還是同樣手足無(wú)措，那就是我們的錯(cuò)誤。我們現(xiàn)在必須具備應(yīng)對(duì)下一次Log4Shell漏洞事件的能力。

解決當(dāng)前這種“響應(yīng)碎片化”局面的技術(shù)方法

為了解決安全響應(yīng)“碎片化”問(wèn)題，在這里我們不得不介紹一下“安全統(tǒng)籌與自動(dòng)化響應(yīng)(SOAR)”技術(shù)。SOAR 的全稱(chēng)是 Security Orchestration, Automation and Response，意思為安全統(tǒng)籌自動(dòng)化與響應(yīng)。該技術(shù)聚焦安全運(yùn)維領(lǐng)域，重點(diǎn)解決(但并不限于)安全響應(yīng)的問(wèn)題，最早是由Gartner公司在 2015 年提出的。

為了應(yīng)對(duì)日益有組織化和復(fù)雜化的網(wǎng)絡(luò)犯罪，如今的安全組織正在運(yùn)營(yíng)基于各種安全解決方案的安全控制(SOC, Security Operation Center)平臺(tái)，識(shí)別和應(yīng)對(duì)威脅要素。然而，隨著高級(jí)網(wǎng)絡(luò)攻擊的數(shù)量日益增加，繁雜的安全工具、安全人員短缺、人員能力差距等問(wèn)題也隨之顯現(xiàn)，目前的安全解決方案無(wú)法識(shí)別和有效應(yīng)對(duì)所有安全威脅。因此，作為提高安全控制效率和降低安全控制中心復(fù)雜性的解決方案，預(yù)計(jì)未來(lái)對(duì)“安全統(tǒng)籌與自動(dòng)化響應(yīng)”技術(shù)的需求將進(jìn)一步增大。

SOAR技術(shù)的三大核心能力包括：△著眼于規(guī)范響應(yīng)流程，縮小人員能力差距，解決專(zhuān)業(yè)人才短缺問(wèn)題的“安全事故響應(yīng)平臺(tái)(SIRP, Security Incident Response Platforms)”，△通過(guò)運(yùn)營(yíng)多種安全解決方案，以減少聯(lián)動(dòng)復(fù)雜性和管理負(fù)擔(dān)的“安全統(tǒng)籌與自動(dòng)化(SOA, Security Orchestration and Automation)”， 以及△通過(guò)收集和分析威脅數(shù)據(jù)提前構(gòu)建響應(yīng)體系的“威脅情報(bào)平臺(tái)(TIP, Threat Intelligence Platforms)”。

與所有安全技術(shù)一樣，并非所有安全威脅都可以通過(guò)采用SOAR來(lái)進(jìn)行檢測(cè)和響應(yīng)。但是，利用以標(biāo)準(zhǔn)化的安全控制流程為基礎(chǔ)，將不同攻擊類(lèi)型的響應(yīng)要素組合到一個(gè)流程的“劇本”，可以避免安全組織在眾多安全業(yè)務(wù)中出現(xiàn)“孤島”現(xiàn)象，并能更快地找出潛在的威脅因素。通過(guò)這種方式，可以縮短從威脅檢測(cè)到響應(yīng)的過(guò)程，從而建立更先進(jìn)的安全控制體系。

結(jié)語(yǔ)

雖然正確預(yù)測(cè)未來(lái)是一件非常困難的事，但這里有一點(diǎn)是可以肯定的：至少在接下來(lái)的幾周時(shí)間內(nèi)，許多組織將花費(fèi)大量時(shí)間尋找Log4j中的安全漏洞。這并不一定是件壞事。就像新冠肺炎疫情很可能不是最后一次流行病一樣，將來(lái)也無(wú)法避免像這樣搜索所有網(wǎng)絡(luò)空間和網(wǎng)絡(luò)環(huán)境的事情。正好借助Log4Shell漏洞事件，作為一次全面了解網(wǎng)絡(luò)空間的契機(jī)，這對(duì)安全行業(yè)發(fā)現(xiàn)自身存在的問(wèn)題和不足也是大有裨益的。

文章名稱(chēng)：Log4j安全漏洞事件引發(fā)安全行業(yè)的幾點(diǎn)思考
網(wǎng)站地址：http://bm7419.com/news/202864.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊(cè)、網(wǎng)站改版、品牌網(wǎng)站設(shè)計(jì)、自適應(yīng)網(wǎng)站、關(guān)鍵詞優(yōu)化、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)