根据具有里程碑意义的美国政府报告,开源库Log4j中的“Log4Shell”漏洞已达到“流行”程度,余震可能会持续“十年或更长时间”。网络安全审查委员会(CSRB)的首份报告就组织和政府机构如何加强其网络和应用程序抵御威胁提供了19条建议。CSRB由国土安全部(DHS)于2022年2月根据拜登总统一年前签署的以网络安全为重点的行政命令的要求成立。公私合作计划的任务是审查严重的网络安全事件并向政府、行业和信息安全社区提供战略建议。
Log4Shell漏洞于2021年12月浮出水面,提供了超临界性(CVSS严重性评分最高为10)和巨大的攻击面的强大组合,因为Log4j在为无数应用程序提供基于Java的日志记录方面几乎无处不在。
国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)表示,CSRB是一个“将以前所未有的方式提升我们的网络弹性的转型机构”,其报告将有助于“加强我们的网络弹性并推进对我们的集体安全至关重要的公私伙伴关系”。
Synopsys网络安全研究中心首席安全策略师Tim Mackey表示,该报告“如此迅速地全面审查网络事件的影响和根本原因”是不同寻常的。
CSRB报告(PDF)于7月14日发布,称“Log4j的脆弱实例将在未来很多年(可能是十年或更长时间)中保留在系统中。重大风险依然存在。”
维护Log4j的Apache软件基金会因其“完善的软件开发生命周期”和“认识到问题的严重性”而迅速发布补丁而受到赞誉。
该报告还赞扬了供应商和政府快速生成有效的指导、工具和威胁信息。
然而,在供应链的更下游,“组织仍在努力应对这一事件,许多组织升级易受攻击软件的艰苦工作还远未完成”。
此外,该活动强调了“资源稀少、以志愿者为基础的开源社区所特有的安全风险”,CSRB表示需要公共和私营部门利益相关者的更多支持。
该报告称,CSRB“不知道对关键基础设施系统有任何重大的基于Log4j的攻击”,并且恶意利用似乎“发生的程度低于许多专家的预测”。
然而,安全供应商Cerby的首席信任官Matt Chiodi发现这些说法“令人难以置信”,并指出 - 正如CSRB 本身所承认的那样 - 组织没有义务报告对严重漏洞的利用。
Chiodi还表示,这些建议,其中包括减轻持续的Log4j风险和迁移到主动漏洞管理模型,“对于公司以目前的形式实施来说太不透明了”。
他建议组织“非常认真地了解你的资产并转向零信任架构”,并指出“大多数组织都有糟糕的资产管理实践”,特别是在“云中的本土应用程序”方面。
与此同时,Mackey警告说,不要“依赖商业供应商来提醒消费者问题假设供应商正在正确管理他们对开源的使用,并且他们能够识别并提醒所有用户他们受影响的软件——即使支持那个软件已经结束了。”
考虑到这一点,“软件消费者应该实施一个信任但验证模型,以验证他们获得的软件是否不包含未修补的漏洞”。
评论已关闭。