“網絡大流感”Apache Log4j2漏洞來襲“云上企業”如何應對?
每(mei)日經濟新聞(wen)
2022-01-12 22:31:00
◎利用難度低、攻(gong)(gong)擊成本(ben)低,意味著近期針對Apache L�������og4j2漏洞(dong)的攻(gong)(gong)擊行為將(jiang)還會持續一(yi)段時間(jian),這將(jiang)是一(yi)場“網絡安全大流感”。
◎目(mu)前即使�����是高度自(zi)動化的(de)云原(yuan)生安(an)全(quan)方案,也無法(fa)做到完全(quan)自(zi)主自(zi)治,仍然需要合格的(de)云安(an)全(quan)服務專業(ye)團(tuan)隊(dui)參與。
每(mei)經記者|朱(zhu)成祥 每(mei)經編輯|梁梟 ������;
������
對于(yu)大(da)部分互聯網用(yong)戶而(����er)言,Apache(阿帕奇)Log4j2是個陌(mo)生的(de)詞匯。但在很多(duo)程(cheng)序(xu)員(yuan)眼中,它卻�����是陪伴自己(ji)的(de)好伙伴,每(mei)天用(yong)于(yu)記(ji)錄日志。然而(er),恰(qia)恰(qia)是這(zhe)個被無數程(cheng)序(xu)員(yuan)每(mei)天使用(yong)的(de)組件出現漏(lou)洞了。這(zhe)個漏(lou)洞危害(hai)之大(da),甚至可能(neng)超過“永(yong)恒(heng)之藍(lan)”。
安恒(heng)信息高級應急響應總(zong)監季(ji)靖評(ping)價稱:“(Apache Log4j2)降低(di)了黑客攻擊的(de)成本,堪稱網(wang)絡安全領(ling������)域20年以來史(shi)詩級的(de)漏洞。”有業內人士(shi)還認為,這是“現代(dai)計算機歷史(shi)上最大(da)的(de)漏洞”。
工信部于(yu)2021年12月17日發文提(ti)示(shi)風險:“阿帕奇Log4j2組件存(cun)在嚴(yan)重(zhong)安全漏(lou)洞(dong)……該漏(lou)洞(dong)可能導致設備��������(bei)遠程受(shou)控,�����進而引發敏感(gan)信息竊取、設備(bei)服務中(zhong)斷等嚴(yan)重(zhong)危害(hai),屬于(yu)高危漏(lou)洞(dong)。”
就連國家政府部門也中招了(le)。2021年12月下旬,比利時(shi)國防(fang)部承認他們(men)遭受了(le)嚴重的網(wang)(wang)絡攻(gong)(gon������g)擊,該(gai)攻(gong)(gong)擊基于Apache Log4j2相關漏(lou)洞(dong),網(wang)(wang)絡攻(gong)(gong)擊導致比利時(shi)國防(fang)部包括(kuo)郵件系(xi)統(tong)在內的一些業務癱(tan)瘓。
此漏洞(dong)“威力”之大(da),連國家信息安(an)全也受到(dao)波及。那么普通(tong)企(qi)業(ye)(ye),特(te)別是采用云(yun)服務的(de)(de)(de)企(qi)業(ye)(ye)應該(gai)如(ru)何應對呢?疫情發(fa)生(sheng)以來,大(da)量企(qi)業(ye)(ye)、機(ji)構加速(su)數(shu)字化進(jin)程,成為“云(yun)上企(qi)業(ye)(ye)”。傳統環境(jing)下,企(qi)業(ye)(ye)對自(zi)身(shen)的(de)(de)(de)安(an)全體系建設擁有更多掌控權,完成云(yun)遷(qian)������移后,這些企(qi)������業(ye)(ye)的(de)(de)(de)云(yun)安(an)全防護(hu)是否到(dao)位?
二十年一遇安全漏洞來襲:將成“網絡大流感”
2021年12月9日深(shen)夜,Apache Log4j2遠程代碼執行(xing)漏洞攻擊爆發(fa),一時間各大(da)互(hu)聯網公司“風(feng)聲鶴(he)唳”,許(xu)多網絡安全工程師(shi)半夜醒來(lai),忙著修補漏洞。“聽說(shuo)各大(da)廠程序(xu)員(yuan)半夜被(bei)叫起來(lai)改(gai)(gai),不(bu)(bu)改(g��������ai)(gai)完不(bu)(bu)讓下班。”相關(guan)論壇也對此事議(yi)論紛紛。
為何一個安全漏洞的影(ying)響(xiang)力如(ru)此之(zhi)大(da)?安永(yong)大(da)中華區網絡(luo)安全與隱私保護(hu)咨詢服(fu)務(wu)主(zhu)管合(he)伙人高軼峰認為:&ldq����uo;影(ying)響(xiang)廣泛、威脅程度(du)高、攻擊難(nan)度(du)低,使得此次Apache Log4j2漏洞危(w����ei)機備受矚目,造成(cheng)了全球范圍的影(ying)響(xiang)。”
“Log4j2是開源社(she)區阿(a)帕(pa)奇(Apache)旗下的開源日(ri)志(zhi)組(zu)件,被全(quan)世界企業(ye)和(he)組(zu)織廣(guang)泛(fan)應用于各種業(ye)務(wu)系統(tong)(tong)開發(fa)”,季靖表示,“據不(bu)完全(quan)統(tong)(tong)計,漏洞爆發(fa)后72小(xiao)時之內,受影響的主流開發(fa)框架都(dou)超過70個(ge)。而這(zhe)些框架,又被廣(guang)泛(fan)使用在各個(ge)行(xing)業(ye)的數字化(hua)信(xin)息(xi)系統(tong)(tong)建設之中,比(bi)如金融、醫療、互(��������hu)聯(lian)網等(deng)等(deng)。由(you)于許多�����耳熟能詳的互(hu)聯(lian)網公司都(dou)在使用該框架,因此阿(a)帕(pa)奇Log4j2漏洞影響范(fan)圍極(ji)大。”
除了(le)應用廣泛(fan)之外,Apache Log4j2漏洞被利用的成本相對(������dui)而(er)言也較低,攻(gong)擊者可以在不需要認證登錄這種(zhong)強交互(hu)的前提(ti)下,構造(zao)出惡意(yi)的數據,通過遠程(cheng)代碼對(dui)有(you�����)漏洞的系統(tong)執行攻(gong)擊。并且,它還可以獲得服務器(qi)的最高(gao)權限,最終(zhong)導致(zhi)設備遠程(cheng)受控,進一步造(zao)成數據泄露(lu),設備服務中斷等(deng)危害。
不(bu)(bu)僅(jin)(jin)僅(jin)(jin)攻(gong)擊(ji)成(cheng)本低,而(er)且技術(shu)門檻也(ye)不(bu)(bu)高。不(bu)(bu)像2017年(nian)爆發的“永恒之藍”,攻(gong)擊(ji)工具利(li)用上相(xiang)對復雜(za)。基于Apache Log4j2漏(lou)洞的攻(gong)擊(ji)者,可以利(li)用很多現成(cheng)的工具,稍������(shao)微懂點(dian)技術(shu)便可以構造更新出一種惡(e)意代碼。
利用難度低、攻(gong)(gong)擊(ji)成本(ben)低,意味著近期(��������������qi)針(zhen)對Apache Log4j2漏洞的攻(gong)(gong)擊(ji)行為將還會持(chi)續一段時間,這將是(shi)一場“網絡安(an)全大流感”。
“云上企業”如何防護?
傳(chuan)統模式(shi)下,安全人員可以在(zai)本(ben)(ben)地檢測(ce)、打(da)補丁、修復漏(lou)洞。相對于傳(chuan)統模式(shi),“云(yun)上(shang)企業”使(shi)用的(de)是(shi)云(yun)計算、云(yun)存儲(chu)服務等(deng),沒(mei)�����有(you)自己的(de)機房和服務器(qi)。進(jin)入云(yun)環境,安全防(fang)護的(de)“邊界(jie)”不復存在(zai),對底層主(zhu)機的(de)控制權限也沒(mei)有(you)本(ben)(ben)地那么(me)多,同時還多一層虛擬(ni)化方面的(de)攻(gong)擊方式(shi)。
特別是疫情影響(xiang)下,大量企業(ye)、機構開啟數字化轉型,從(cong)本地(di)服務器������遷徙到云服務器。短時間(jian)內完成(cheng)云遷移,企業(ye)很可(ke)能缺乏對(dui)應的云安全管理能力成(cheng)熟度(du);同時,往往也面(mian)臨著安全能力不足、專業(y����e)人手緊缺等情況。
面對(dui)這場(chang)史(shi)詩級的漏(lou)洞危機,“云上企(qi)業”應該(gai)如������何(he)應對(dui)呢?
在安恒(heng)信息高(gao)級產品專家蓋文軒看(kan)來:&l������dquo;企(qi)業上云之后(hou),傳(chuan)統的網絡������安全(quan)(quan)風險依然存在,此(ci)外,還會面(mian)臨新的安全(quan)(quan)風險,比(bi)如用(yong)戶(hu)與云平臺之間安全(quan)(quan)責任邊界劃分等(deng)問(wen)題。另外,傳(chuan)統的硬件設(she)備可能不適用(yong)于云環境,因此(ci)需(xu)要針對特殊情況部署相(xiang)關安全(quan)(quan)服(fu)務(wu)。”
而在安永大中華區(qu)科(ke)技風險咨詢服務合伙人趙劍������(jian)澐看來:“面對快速上(shang)云(yun),企業(ye)急需搭建(jian)滿足自身業(ye)務發(fa)展與管理要求的(de)安全(q�����uan)保障體系。”
那么,對(dui)于這些“云上企業”,究竟是選(xuan)擇云服務商提供的原生安全(q������uan)服務,還是另尋第三方專(zhua�����n)業的安全(quan)服務商呢?
事(shi)實上(shang),目(mu)前即使是(shi)高度(du)自(zi)動化的云(yun)原(yuan)生安(an)全方(fang)案,也無法做到完(wan)全自(zi)主自(zi)治(zhi),仍然(ran)需要合格(ge)的云(yun)安(������an)全服務(wu)專業(ye)團(tuan)隊參(can)與。高軼峰(feng)強調,對于中小型企業(ye),選擇滿(man)足資質的第(di)三(san)方(fang)專業(ye)安(an)全����機構(gou),能夠(gou)保證服務(wu)的獨立性,保障工作順利開展及服務(wu)質量(liang)。
封面圖(tu)片來(lai)源:攝(she)圖(tu)網-500345682
