“網(wǎng)絡(luò)大流感”Apache Log4j2漏洞來襲“云上企業(yè)”如何應(yīng)對�?
每日經(jīng)濟(jì)新聞
2022-01-12 22:31:00
◎利用難度低�、攻擊成本低,意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續(xù)一段時間�,這將是一場“網(wǎng)絡(luò)安全大流感”。
◎目前即使是高度自動化的云原生安全方案��,也無法做到完全自主自治�����,仍然需要合格的云安全服務(wù)專業(yè)團(tuán)隊參與���。
每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟
對于大部分互聯(lián)網(wǎng)用戶而言�����,Apache(阿帕奇)Log4j2是個陌生的詞匯�。但在很多程序員眼中,它卻是陪伴自己的好伙伴�,每天用于記錄日志。然而�����,恰恰是這個被無數(shù)程序員每天使用的組件出現(xiàn)漏洞了�����。這個漏洞危害之大�����,甚至可能超過“永恒之藍(lán)”����。
安恒信息高級應(yīng)急響應(yīng)總監(jiān)季靖評價稱:“(Apache Log4j2)降低了黑客攻擊的成本,堪稱網(wǎng)絡(luò)安全領(lǐng)域20年以來史詩級的漏洞����。”有業(yè)內(nèi)人士還認(rèn)為�,這是“現(xiàn)代計算機歷史上最大的漏洞”�。
工信部于2021年12月17日發(fā)文提示風(fēng)險:“阿帕奇Log4j2組件存在嚴(yán)重安全漏洞……該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控���,進(jìn)而引發(fā)敏感信息竊取����、設(shè)備服務(wù)中斷等嚴(yán)重危害���,屬于高危漏洞�����。”
就連國家政府部門也中招了�����。2021年12月下旬�����,比利時國防部承認(rèn)他們遭受了嚴(yán)重的網(wǎng)絡(luò)攻擊����,該攻擊基于Apache Log4j2相關(guān)漏洞,網(wǎng)絡(luò)攻擊導(dǎo)致比利時國防部包括郵件系統(tǒng)在內(nèi)的一些業(yè)務(wù)癱瘓�����。
此漏洞“威力”之大�����,連國家信息安全也受到波及��。那么普通企業(yè)���,特別是采用云服務(wù)的企業(yè)應(yīng)該如何應(yīng)對呢��?疫情發(fā)生以來�,大量企業(yè)�����、機構(gòu)加速數(shù)字化進(jìn)程��,成為“云上企業(yè)”���。傳統(tǒng)環(huán)境下���,企業(yè)對自身的安全體系建設(shè)擁有更多掌控權(quán)����,完成云遷移后�����,這些企業(yè)的云安全防護(hù)是否到位����?
二十年一遇安全漏洞來襲:將成“網(wǎng)絡(luò)大流感”
2021年12月9日深夜�����,Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞攻擊爆發(fā)�����,一時間各大互聯(lián)網(wǎng)公司“風(fēng)聲鶴唳”�,許多網(wǎng)絡(luò)安全工程師半夜醒來,忙著修補漏洞����。“聽說各大廠程序員半夜被叫起來改�,不改完不讓下班��。”相關(guān)論壇也對此事議論紛紛�����。
為何一個安全漏洞的影響力如此之大����?安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)主管合伙人高軼峰認(rèn)為:“影響廣泛、威脅程度高���、攻擊難度低��,使得此次Apache Log4j2漏洞危機備受矚目����,造成了全球范圍的影響��。”
“Log4j2是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件�����,被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)”,季靖表示�,“據(jù)不完全統(tǒng)計,漏洞爆發(fā)后72小時之內(nèi)��,受影響的主流開發(fā)框架都超過70個���。而這些框架��,又被廣泛使用在各個行業(yè)的數(shù)字化信息系統(tǒng)建設(shè)之中����,比如金融�、醫(yī)療�、互聯(lián)網(wǎng)等等。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架�����,因此阿帕奇Log4j2漏洞影響范圍極大��。”
除了應(yīng)用廣泛之外���,Apache Log4j2漏洞被利用的成本相對而言也較低�����,攻擊者可以在不需要認(rèn)證登錄這種強交互的前提下�,構(gòu)造出惡意的數(shù)據(jù),通過遠(yuǎn)程代碼對有漏洞的系統(tǒng)執(zhí)行攻擊�。并且,它還可以獲得服務(wù)器的最高權(quán)限��,最終導(dǎo)致設(shè)備遠(yuǎn)程受控�����,進(jìn)一步造成數(shù)據(jù)泄露����,設(shè)備服務(wù)中斷等危害。
不僅僅攻擊成本低����,而且技術(shù)門檻也不高。不像2017年爆發(fā)的“永恒之藍(lán)”����,攻擊工具利用上相對復(fù)雜?��;贏pache Log4j2漏洞的攻擊者����,可以利用很多現(xiàn)成的工具,稍微懂點技術(shù)便可以構(gòu)造更新出一種惡意代碼��。
利用難度低���、攻擊成本低�,意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續(xù)一段時間����,這將是一場“網(wǎng)絡(luò)安全大流感”。
“云上企業(yè)”如何防護(hù)����?
傳統(tǒng)模式下�����,安全人員可以在本地檢測����、打補丁��、修復(fù)漏洞��。相對于傳統(tǒng)模式�,“云上企業(yè)”使用的是云計算���、云存儲服務(wù)等��,沒有自己的機房和服務(wù)器�。進(jìn)入云環(huán)境��,安全防護(hù)的“邊界”不復(fù)存在�����,對底層主機的控制權(quán)限也沒有本地那么多�,同時還多一層虛擬化方面的攻擊方式。
特別是疫情影響下��,大量企業(yè)�����、機構(gòu)開啟數(shù)字化轉(zhuǎn)型,從本地服務(wù)器遷徙到云服務(wù)器�。短時間內(nèi)完成云遷移,企業(yè)很可能缺乏對應(yīng)的云安全管理能力成熟度����;同時,往往也面臨著安全能力不足�����、專業(yè)人手緊缺等情況�。
面對這場史詩級的漏洞危機,“云上企業(yè)”應(yīng)該如何應(yīng)對呢�?
在安恒信息高級產(chǎn)品專家蓋文軒看來:“企業(yè)上云之后,傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險依然存在��,此外�����,還會面臨新的安全風(fēng)險��,比如用戶與云平臺之間安全責(zé)任邊界劃分等問題��。另外�,傳統(tǒng)的硬件設(shè)備可能不適用于云環(huán)境,因此需要針對特殊情況部署相關(guān)安全服務(wù)����。”
而在安永大中華區(qū)科技風(fēng)險咨詢服務(wù)合伙人趙劍澐看來:“面對快速上云,企業(yè)急需搭建滿足自身業(yè)務(wù)發(fā)展與管理要求的安全保障體系�。”
那么,對于這些“云上企業(yè)”�����,究竟是選擇云服務(wù)商提供的原生安全服務(wù)��,還是另尋第三方專業(yè)的安全服務(wù)商呢����?
事實上,目前即使是高度自動化的云原生安全方案����,也無法做到完全自主自治,仍然需要合格的云安全服務(wù)專業(yè)團(tuán)隊參與���。高軼峰強調(diào)�����,對于中小型企業(yè)��,選擇滿足資質(zhì)的第三方專業(yè)安全機構(gòu)�,能夠保證服務(wù)的獨立性,保障工作順利開展及服務(wù)質(zhì)量�����。
封面圖片來源:攝圖網(wǎng)-500345682
