Log4j安全漏洞事件引发了安全行业的一些思考安全行业立即进入“24/7模式”。是什么让这个漏洞如此特别和可怕?有多大的灾难在等着我们?我们怎样才能避免最坏的情况发生?希望通过本文能让大家对这个Log4Shell漏洞有一个简单的了解,但本文不全是技术文章。因为很多行业专家和技术专家已经对这个漏洞进行了详细的分析并制定了应对措施,笔者在此不再赘述。不过,笔者想从安全行业从业者的角度来简单解释一下为什么这个漏洞会引起如此恐慌,以及整个事件背后暴露出哪些值得思考的问题。图片来自网络为什么Log4Shell漏洞会引起这么大的恐慌内部原因:Log4Shell漏洞涉及面广,利用容易Log4Shell漏洞本身的特性不好,使用起来非常简单。由于是与数据相关的破坏,它不是连接到网络的系统,任何与相关数据关联的系统都会受到攻击。在云深处的某个地方,可能潜伏着一个Log4Shell漏洞。幸运的是,目前还没有利用Log4Shell漏洞的工具,但是一旦有人开发出工具来利用它,整个数据存在的网络空间极有可能经历一场爆炸性的灾难。之所以称之为“爆炸性灾难”,原因如下:首先,发现Log4shell漏洞的软件Log4j几乎遍布全球,甚至不需要访问权限。二是在任何使用Java的环境下,都无法保证100%的安全。虽然您可以修补Log4j的所有漏洞,但您可能无法找到所有漏洞,因为使用Java开发的应用程序无处不在。三是该漏洞利用非常简单,攻击者只需要鼓励受害者在日志中写入一些东西即可完成。为此,迄今为止黑客们想出了无数的方法,有很多简单的方法,也有很多复杂但有效的方法。第四,由于开始测试的时间不同,测试结果可能存在较大差异。在这种情况下,检测结果可能不正确,脆弱的系统可能被诊断为健壮的。外部原因:行业“卷入”现象严重,盲目的“安全信心”很难修复Log4shell漏洞,但安全行业内部也存在相互伤害的行为。例如,假设第三方添加了有关Log4j漏洞的新规则。当然,这种应对方式是非常积极的。但是,这样做会让人难以相信外部漏洞扫描结果。随着攻击者变得更加难以攻击,安全行业也将变得更加难以检测。这会增加您在没有意识到的情况下通过测试的可能性,即使您处于危险之中。作为类比,我们构建了一个扫描仪。这是一个遍历客户网站并查找漏洞的扫描仪。但是,由于客户更改了某些设置并添加了新规则,扫描无法正常工作。当然,我们可以对每个站点进行额外的自定义扫描,但我们构建扫描器并不是为了仔细检查每个站点,而是为了快速找到所有站点的漏洞和漏洞。而且,仅仅根据扫描结果假设“我们是安全的”是一个致命的错误。有人可能会问,谁会相信仓促构建的扫描仪的结果?但是,如果市场上的其他扫描解决方案也存在类似问题怎么办?一项旨在暂时阻止Log4Shell漏洞利用的设置更改正在向用户推出提交“看起来不错”的安全调查结果现在已成为任何扫描程序的生活事实。笔者在这里想强调的是,我们需要清醒地认识到,我们现在使用的所有安全检测工具都是有局限性的。与其通过一次测试报告“您的公司是安全的”,不如告诉我们的客户“即使您在这里进行了良好的测试,您实际上也可能处于危险之中”。当扫描仪给出“良好”结果时,并不意味着您的系统“干净无漏洞”,而是意味着“很难用当前方法找到漏洞”。如上所述,漏洞扫描显然存在局限性。如果您想对扫描结果有100%的信心,您必须扫描所有数字元素的所有源代码。这样就可以将所有易受攻击的版本一一过滤掉。然而,这种漏洞扫描方式在现实生活中可行吗?因此,笔者认为,与Log4j安全漏洞相关的“后处理工作”未来可能会持续数月甚至更长时间。因为我们还没有能够轻松自动地找到深层网络空间中所有元素的技术。我们从这次漏洞事件中看到了几个问题。第一,我们没有做好大规模网络攻击的防范措施。像WannaCry、SolarWinds这样的大规模攻击我们经历过很多次。大规模的网络攻击,它们的名字永远“铭记”在网络安全漏洞库中。为了防止类似的乱象再次发生,一些安全组织研究制定了一套防范措施,但绝大多数安全组织对大规模网络攻击还没有做好充分的准备,不知道自己的技术有什么用堆栈知道。通常,对受影响的系统应用补丁是缓解威胁的有效途径,但如果IT团队不从全面了解其网络上的内容开始,就无法采取迅速而果断的行动。二是对资产盘点和管理认识不清晰。如此大规模和快速的攻击也凸显了资产清点和管理的重要性,这往往是由于日常工作中IT运营和安全团队之间的裂痕造成的。很难完成。在Log4j漏洞发生后,各地的首席信息安全官(CISO)都在询问他们的团队“我们的暴露程度如何?”如果没有准确的设备和软件清单,安全团队就无法正确回答这个问题。虽然这很困难,而且是安全操作框架中经常被遗忘的元素,但Log4j漏洞的不断演变和严重事件表明,拥有一个完整的视图以在需要的地方快速修复补丁是多么重要。三是安全响应碎片化尚未有序组织。近年来,随着网络攻击越来越有组织、越来越复杂,其威力和应对难度也越来越大。然而,当前安全行业对网络攻击的应对“杂乱无章”,仍处于单打独斗的“碎片化”过程中。我们需要越来越多的先进技术手段来系统应对此类大规模、严重的网络安全事件。不管Log4Shell漏洞的情况有多糟糕和严重,总有一天会被修复。但是下次再发生这样的事情,如果我们同样不知所措,那就是我们的错了。我们现在必须为下一次Log4Shell违规事件做好准备。解决当前“碎片化响应”局面的技术手段为了解决安全响应“碎片化”的问题,这里不得不介绍一下“安全编排与自动响应(SOAR)”技术。SOAR的全称是SecurityOrchestration,AutomationandResponse,意思是SecurityOrchestrationAutomationandResponse。该技术专注于安全运维领域,专注于解决(但不限于)安全响应问题。它于2015年由Gartner首次提出。为了应对日益有组织和复杂的网络犯罪,当今的安全组织正在运行基于各种安全解决方案的安全控制(SOC,SecurityOperationCenter)平台,以识别和响应威胁元素。然而,随着网络高级攻击事件的增多,安全工具复杂、安全人员短缺、人员能力存在差距等问题也随之显现。当前的安全解决方案无法识别并有效应对所有安全威胁。因此,作为提高安全管控效率、降低安全管控中心复杂度的解决方案,预计未来对“安全编排和自动化响应”技术的需求会进一步增加。SOAR技术的三大核心能力包括:△“安全事件响应平台(SIRP,SecurityIncidentResponsePlatforms)”专注于规范响应流程,缩小人员能力差距,解决专业人才短缺问题;△通过运营多种安全解决方案,“安全编排与自动化(SOA,SecurityOrchestrationandAutomation)”降低联动复杂度和管理负担,“威胁情报平台(TIP,ThreatIntelligencePlatforms)”构建应对体系通过收集和分析威胁数据来推进。与所有安全技术一样,并非所有安全威胁都可以通过使用SOAR来检测和响应。但是,基于标准化的安全控制流程,使用一套将不同攻击类型的响应要素整合为一个流程的“剧本”,可以避免安全组织中很多安全业务出现的“孤岛”现象,可以更快地发现问题。潜在的威胁。通过这种方式,可以缩短从威胁检测到响应的过程,从而实现更高级的安全控制。结论尽管很难正确预测未来,但有一件事是肯定的:至少在接下来的几周内,许多组织将花费大量时间寻找Log4j中的安全漏洞。这不一定是坏事。正如COVID-19可能不是最后一次大流行一样,未来无法避免像搜索所有网络空间和在线环境这样的事情。以Log4Shell漏洞事件为契机,全面认识网络空间,对安全行业发现自身问题和不足也大有裨益。
