Log4jJava日志包中发现的漏洞让全球安全专业人士头疼不已,2022年1月最新的Neustar国际安全委员会(NISC)会议)调查显示,多达75%的报告受到Log4j的影响,21%的人表示影响很大。Log4j漏洞降低了安全专业人员对开源工具的信任调查:Log4j最常见的影响是IT和安全团队需要休假来评估风险并进行关键更改以保护基础架构和数据(52%),然后重新评估软件供应链安全实践(45%)和软件购买决策(44%)。很大一部分受访者也开始重新评估现有的供应商关系(35%)或表示违规行为降低了他们对开源工具的信任(34%)。87%的受访者表示,鉴于Log4j带来的网络风险级别,美国联邦贸易委员会等政府监管机构应对未能修补漏洞的组织采取法律行动。用一位安全专家的话来说,“这些组织可能无法保护或保护重要的客户数据,这使每个人都处于危险之中。我们应该控制客户数据的最终去向。联邦政府应该强制执行这种缓解措施,因为如果他们不这样做,谁会这样做?”“Log4j威胁的消息让世界各地的安全和应用程序团队陷入了疯狂的活动——盘点他们面向互联网的系统,检查Log4j,检查修订级别,并实施紧急修复——许多组织已经采用了Neustar安全服务解决方案,”高级副总裁卡洛斯莫拉莱斯说。零日威胁的虚拟补丁对于已经部署了Web应用程序防火墙(WAF)技术或从其云安全提供商那里签约了WAF功能的公司,可能有一个简单的解决方案来应对Log4j等零日威胁:虚拟补丁。“虚拟补丁可以诱使任何潜在的攻击者认为您的应用程序不易受攻击,”莫拉莱斯补充道。“WAF解决方案与Web应用程序流量同步部署,并充当应用程序客户端和源服务器之间的反向代理。WAF终止与客户端的连接,确保客户端没有做任何恶意的事情,然后创建一个单独的连接,在两者之间桥接数据。由于它终止客户端流量,WAF可以代表源服务器并掩盖服务器上存在的任何漏洞。虚拟补丁是完成此操作的方法之一。“除了Log4j之外,接受调查的安全专业人员还被问及他们在2021年11月和2021年12月报告期间最关心的问题。分布式拒绝服务(DDoS)列为最受关注的问题,其次是勒索软件和系统妥协,各占18%。勒索软件、DDoS攻击和针对性黑客攻击是报告期内最有可能被视为增加的威胁。在此期间,组织应对能力的主要威胁是供应商或客户冒充、针对性黑客攻击和勒索软件。有关调查参与者最关心的问题(DDoS攻击)的更多详细信息显示,84%的企业受到DDoS攻击。57%的受访组织表示他们将DDoS缓解措施外包,60%的组织表示通常需要60秒到5分钟才能启动缓解措施。
