每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟
Apache(阿帕奇)Log4j2,對(duì)于大部分互聯(lián)網(wǎng)用戶而言是個(gè)陌生的詞匯��。但在很多程序員眼中����,它卻是陪伴自己的好伙伴,每天用于記錄日志�。然而,恰恰是這個(gè)被無數(shù)程序員每天使用的組件出現(xiàn)漏洞了��。這個(gè)漏洞危害之大,甚至可能超過“永恒之藍(lán)”����。
安恒信息高級(jí)應(yīng)急響應(yīng)總監(jiān)季靖評(píng)價(jià)稱:“(Apache Log4j2)降低了黑客攻擊的成本,堪稱網(wǎng)絡(luò)安全領(lǐng)域20年以來史詩級(jí)的漏洞�����。”有業(yè)內(nèi)人士還認(rèn)為��,這是“現(xiàn)代計(jì)算機(jī)歷史上最大的漏洞”���。
工信部于2021年12月17日發(fā)文提示風(fēng)險(xiǎn):“阿帕奇Log4j2組件存在嚴(yán)重安全漏洞……該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控���,進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害����,屬于高危漏洞。”
就連國家政府部門也中招了�����。2021年12月下旬����,比利時(shí)國防部承認(rèn)他們?cè)馐芰藝?yán)重的網(wǎng)絡(luò)攻擊���,該攻擊基于Apache Log4j2相關(guān)漏洞,網(wǎng)絡(luò)攻擊導(dǎo)致比利時(shí)國防部包括郵件系統(tǒng)在內(nèi)的一些業(yè)務(wù)癱瘓���。
此漏洞“威力”之大��,連國家信息安全也受到波及�。那么普通企業(yè)�,特別是采用云服務(wù)的企業(yè)應(yīng)該如何應(yīng)對(duì)呢?疫情發(fā)生以來����,大量企業(yè)�、機(jī)構(gòu)加速數(shù)字化進(jìn)程,成為“云上企業(yè)”��。傳統(tǒng)環(huán)境下���,企業(yè)對(duì)自身的安全體系建設(shè)擁有更多掌控權(quán)����,完成云遷移后,這些企業(yè)的云安全防護(hù)是否到位�����?
二十年一遇安全漏洞來襲:將成“網(wǎng)絡(luò)大流感”
2021年12月9日深夜�����,Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞攻擊爆發(fā)����,一時(shí)間各大互聯(lián)網(wǎng)公司“風(fēng)聲鶴唳”,許多網(wǎng)絡(luò)安全工程師半夜醒來����,忙著修補(bǔ)漏洞。“聽說各大廠程序員半夜被叫起來改���,不改完不讓下班��。”相關(guān)論壇也對(duì)此事議論紛紛�����。
為何一個(gè)安全漏洞的影響力如此之大�����?安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)主管合伙人高軼峰認(rèn)為:“影響廣泛�、威脅程度高、攻擊難度低����,使得此次Apache Log4j2漏洞危機(jī)備受矚目,造成了全球范圍的影響����。”
“Log4j2是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件,被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)”��,季靖表示�,“據(jù)不完全統(tǒng)計(jì),漏洞爆發(fā)后72小時(shí)之內(nèi)��,受影響的主流開發(fā)框架都超過70個(gè)���。而這些框架,又被廣泛使用在各個(gè)行業(yè)的數(shù)字化信息系統(tǒng)建設(shè)之中�����,比如金融、醫(yī)療���、互聯(lián)網(wǎng)等等��。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架�����,因此阿帕奇Log4j2漏洞影響范圍極大�����。”
除了應(yīng)用廣泛之外�����,Apache Log4j2漏洞被利用的成本相對(duì)而言也較低���,攻擊者可以在不需要認(rèn)證登錄這種強(qiáng)交互的前提下,構(gòu)造出惡意的數(shù)據(jù)�����,通過遠(yuǎn)程代碼對(duì)有漏洞的系統(tǒng)執(zhí)行攻擊。并且���,它還可以獲得服務(wù)器的最高權(quán)限��,最終導(dǎo)致設(shè)備遠(yuǎn)程受控����,進(jìn)一步造成數(shù)據(jù)泄露�,設(shè)備服務(wù)中斷等危害。
不僅僅攻擊成本低�����,而且技術(shù)門檻也不高����。不像2017年爆發(fā)的“永恒之藍(lán)”,攻擊工具利用上相對(duì)復(fù)雜�。基于Apache Log4j2漏洞的攻擊者����,可以利用很多現(xiàn)成的工具,稍微懂點(diǎn)技術(shù)便可以構(gòu)造更新出一種惡意代碼�����。
利用難度低����、攻擊成本低,意味著近期針對(duì)Apache Log4j2漏洞的攻擊行為將還會(huì)持續(xù)一段時(shí)間���,這將是一場(chǎng)“網(wǎng)絡(luò)安全大流感”�。
互聯(lián)網(wǎng)也要“防疫”:企業(yè)不聞不問或?qū)韲?yán)重后果
與“流感病毒”的相似之處在于����,Apache Log4j2漏洞已經(jīng)產(chǎn)生“變種”。除了先期公布的漏洞CVE-2021-44228���,在12月29日�,又發(fā)現(xiàn)新的漏洞CVE-2021-44832����。而在漏洞曝光和初期修復(fù)后,又衍生出大量針對(duì)性的攻擊變種�,實(shí)在是防不勝防。
一方面��,漏洞在出現(xiàn)不同的“變種”;另一方面�����,攻擊者也在尋找新的漏洞利用模式����。因此,業(yè)內(nèi)人士普遍預(yù)計(jì)��,Apache Log4j2漏洞帶來的影響長期存在�����,甚至有專家預(yù)計(jì)將持續(xù)十年以上��。
攻擊者的攻擊方式�����,也是多種多樣的���。比如攻擊者獲取服務(wù)器最高權(quán)限后����,可能在系統(tǒng)代碼里留“后門”,將其變?yōu)榭軝C(jī)���,用來從事挖礦或者發(fā)動(dòng)DDoS攻擊等黑產(chǎn)活動(dòng)。
企業(yè)可以對(duì)這個(gè)漏洞“不聞不問”嗎�����?答案顯然是否定的�。高軼峰警示稱:“沒有及時(shí)認(rèn)真應(yīng)對(duì)此次Log4j2漏洞危機(jī)的企業(yè),或?qū)⒚媾R著網(wǎng)站篡改��、服務(wù)中斷���、數(shù)據(jù)泄漏等風(fēng)險(xiǎn)����。尤其是數(shù)據(jù)泄漏事件��,其危害對(duì)企業(yè)來說可能是‘毀滅性’的����,其中必然涉及直接銷售損失、合規(guī)罰款�����、對(duì)員工生產(chǎn)力影響和長期的商譽(yù)損害。數(shù)據(jù)泄漏事件一旦發(fā)生����,監(jiān)管部門必然會(huì)罰款并提出整改要求,嚴(yán)重的會(huì)導(dǎo)致失去業(yè)務(wù)資質(zhì)以及刑事指控��。”
“云上企業(yè)”怎么防護(hù)����?搭建安全保障體系是關(guān)鍵
傳統(tǒng)模式下,安全人員可以在本地檢測(cè)����、打補(bǔ)丁、修復(fù)漏洞���。相對(duì)于傳統(tǒng)模式���,“云上企業(yè)”使用的是云計(jì)算、云存儲(chǔ)服務(wù)等���,沒有自己的機(jī)房和服務(wù)器�。進(jìn)入云環(huán)境,安全防護(hù)的“邊界”不復(fù)存在����,對(duì)底層主機(jī)的控制權(quán)限也沒有本地那么多,同時(shí)還多一層虛擬化方面的攻擊方式����。
特別是疫情影響下�����,大量企業(yè)����、機(jī)構(gòu)開啟數(shù)字化轉(zhuǎn)型,從本地服務(wù)器遷徙到云服務(wù)器����。短時(shí)間內(nèi)完成云遷移,企業(yè)很可能缺乏對(duì)應(yīng)的云安全管理能力成熟度��;同時(shí)��,往往也面臨著安全能力不足�����、專業(yè)人手緊缺等情況�����。
面對(duì)這場(chǎng)史詩級(jí)的漏洞危機(jī),“云上企業(yè)”應(yīng)該如何應(yīng)對(duì)呢���?
在安恒信息高級(jí)產(chǎn)品專家蓋文軒看來:“企業(yè)上云之后�����,傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)依然存在��,此外�����,還會(huì)面臨新的安全風(fēng)險(xiǎn)�,比如用戶與云平臺(tái)之間安全責(zé)任邊界劃分等問題��。另外�����,傳統(tǒng)的硬件設(shè)備可能不適用于云環(huán)境,因此需要針對(duì)特殊情況部署相關(guān)安全服務(wù)�����。”
而在安永大中華區(qū)科技風(fēng)險(xiǎn)咨詢服務(wù)合伙人趙劍澐看來:“面對(duì)快速上云�,企業(yè)急需搭建滿足自身業(yè)務(wù)發(fā)展與管理要求的安全保障體系。”
那么��,對(duì)于這些“云上企業(yè)”�����,究竟是選擇云服務(wù)商提供的原生安全服務(wù)�,還是另尋第三方專業(yè)的安全服務(wù)商呢��?
蓋文軒認(rèn)為:“網(wǎng)絡(luò)安全服務(wù)的時(shí)效性是非常關(guān)鍵的���,如果安全事件發(fā)生后�,一個(gè)小時(shí)快速響應(yīng)���,還是幾個(gè)小時(shí)甚至一兩天響應(yīng)��,差距是很大的�,客戶承擔(dān)的風(fēng)險(xiǎn)和損失是持續(xù)的。選擇第三方安全機(jī)構(gòu)專業(yè)性更強(qiáng)���,云服務(wù)商兼容性更好��。”
事實(shí)上�,目前即使是高度自動(dòng)化的云原生安全方案�����,也無法做到完全自主自治��,仍然需要合格的云安全服務(wù)專業(yè)團(tuán)隊(duì)參與���。高軼峰強(qiáng)調(diào)���,對(duì)于中小型企業(yè),選擇滿足資質(zhì)的第三方專業(yè)安全機(jī)構(gòu)����,能夠保證服務(wù)的獨(dú)立性,保障工作順利開展及服務(wù)質(zhì)量�。
云服務(wù)商原生安全服務(wù)與第三方安全服務(wù)并非二選一���。趙劍澐認(rèn)為:“在企業(yè)安全防護(hù)體系的構(gòu)建中,企業(yè)應(yīng)結(jié)合自身安全管理經(jīng)驗(yàn)��,從計(jì)算層����、網(wǎng)絡(luò)層、數(shù)據(jù)層以及安全管理層�,考量安全實(shí)踐,量體裁衣���,選擇適合企業(yè)的安全服務(wù)���,以構(gòu)筑全棧安全。”
網(wǎng)絡(luò)安全專家談安全實(shí)踐:“宜未雨而綢繆”
網(wǎng)站風(fēng)險(xiǎn)的發(fā)現(xiàn)和網(wǎng)站安全防護(hù)是一個(gè)對(duì)專業(yè)性要求較高的工作�,很多單位缺乏專業(yè)安全設(shè)備和技術(shù)人員��,業(yè)務(wù)系統(tǒng)遭受攻擊后不能及時(shí)響應(yīng)����,造成內(nèi)容被篡改、植入暗鏈�、黑頁�、業(yè)務(wù)宕機(jī)癱瘓等�����,引發(fā)負(fù)面影響�,甚至給網(wǎng)站管理單位帶來嚴(yán)重的經(jīng)濟(jì)損失。因此��,對(duì)暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)開展常態(tài)化安全防護(hù)與監(jiān)測(cè)尤為必要�����。
趙劍澐總結(jié)稱:“優(yōu)秀的安全實(shí)踐‘宜未雨而綢繆��,毋臨渴而掘井’���。”
對(duì)于“云上企業(yè)”而言��,安恒玄武盾SaaS服務(wù)便是典型的云防護(hù)和云監(jiān)測(cè)一體化解決方案����,幫助用戶在Nday漏洞應(yīng)急響應(yīng)場(chǎng)景下�,可以有效實(shí)現(xiàn)漏洞的安全監(jiān)測(cè)、攻擊防護(hù)以及7x24小時(shí)安全專家值守服務(wù)保障��,協(xié)助用戶掌握重要信息系統(tǒng)和重點(diǎn)網(wǎng)站的安全態(tài)勢(shì),實(shí)現(xiàn)網(wǎng)站和相關(guān)業(yè)務(wù)系統(tǒng)的防篡改����、防入侵、防數(shù)據(jù)泄漏�����,避免網(wǎng)站安全事件發(fā)生�����。
行業(yè)數(shù)據(jù)概覽
11月和12月境內(nèi)計(jì)算機(jī)惡意程序傳播次數(shù)超過19000萬���,但是較10月的21000萬有明顯減少���。其中11月的惡意計(jì)算機(jī)程序傳播次數(shù)在第2周達(dá)到巔峰,為5367.2萬��,12月的在第3周達(dá)到高峰����,達(dá)到6374.1萬��。11月總計(jì)19294.9萬;12月總計(jì)19541.6萬�����。
在境內(nèi)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量上�����,11月每周呈上升趨勢(shì)����,11月總計(jì)397.6萬;12月得到控制��,每周呈下降趨勢(shì)總計(jì)423.7萬��。
境內(nèi)被篡改網(wǎng)站總數(shù)上����,11月有4767個(gè),12月有6708個(gè)��,兩個(gè)月較10月均有明顯減少�����;其中政府網(wǎng)站數(shù)量上,12月有36個(gè)�����,較11月34個(gè)相差不多����,政府網(wǎng)站面對(duì)的攻擊依舊不容忽視,要保持警惕��;
12月境內(nèi)被植入后門網(wǎng)站總數(shù)累計(jì)2062個(gè)��,較11月的3551個(gè)下降41.9%�����;針對(duì)境內(nèi)網(wǎng)站的仿冒網(wǎng)頁數(shù)量���,12月有1365個(gè)���,11月668個(gè),上漲104.3%����。由此可見,越到年末��,越要重視境內(nèi)的網(wǎng)絡(luò)安全�。
12月的信息安全漏洞數(shù)量2419個(gè),較11月的2239個(gè)上漲8.04%�;其中高危漏洞數(shù)量上,12月較11月上漲31.2%����。每月都有漏洞利用的事件發(fā)生,針對(duì)安全漏洞問題�,一定要在正規(guī)途徑下載應(yīng)用,并及時(shí)更新�����。
上云之后����,企業(yè)云安全面臨哪些威脅?
數(shù)據(jù)來源:CSA
發(fā)生在我國云平臺(tái)上的各類網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高��,其中云平臺(tái)上遭受大流量DDoS攻擊的事件數(shù)量占境內(nèi)目標(biāo)遭受大流量DDoS攻擊事件數(shù)的71.2%�、被植入后門網(wǎng)站數(shù)量占境內(nèi)全部被植入后門網(wǎng)站數(shù)量的87.1%、被篡改網(wǎng)站數(shù)量占境內(nèi)全部被篡改網(wǎng)站數(shù)量的89.1%。
同時(shí)���,攻擊者經(jīng)常利用我國云平臺(tái)發(fā)起網(wǎng)絡(luò)攻擊����,其中云平臺(tái)作為控制端發(fā)起DDoS攻擊的事件數(shù)量占境內(nèi)控制發(fā)起DDoS攻擊的事件數(shù)量的51.7%����、作為攻擊跳板對(duì)外植入后門鏈接數(shù)量占境內(nèi)攻擊跳板對(duì)外植入后門鏈接數(shù)量的79.3%;作為木馬和僵尸網(wǎng)絡(luò)惡意程序控制端控制的IP地址數(shù)量占境內(nèi)全部數(shù)量的65.1%��、承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的89.5%���。
上述餅狀圖數(shù)據(jù)來源:CNCERT/CC
圖片來源:艾瑞咨詢報(bào)告截圖
云安全技術(shù)未來5年發(fā)展趨勢(shì)
Gartner《2021年中國ICT技術(shù)成熟度曲線報(bào)告》(Hype Cycle for ICT in China�����,2021)橫向維度按照技術(shù)成熟度分為從新興到成熟的5個(gè)階段���,縱向維度表現(xiàn)該技術(shù)的期望值。此次ICT成熟度曲線對(duì)AIOps平臺(tái)�����、數(shù)據(jù)中臺(tái)、5G�����、低代碼���、容器即服務(wù)、多云����、云安全、邊緣計(jì)算等20多項(xiàng)新型有重大發(fā)展價(jià)值的技術(shù)進(jìn)行分析����。
圖片來源:Gartner報(bào)告截圖
中國云安全市場(chǎng)空間廣闊。根據(jù)中國信通院數(shù)據(jù)��,2019年我國云計(jì)算整體市場(chǎng)規(guī)模達(dá)1334.5億元���,增速38.6%���。預(yù)計(jì)2020年~2022年仍將處于快速增長階段,到2023年市場(chǎng)規(guī)模將超過3754.2億元����。中性假設(shè)下��,安全投入占云計(jì)算市場(chǎng)規(guī)模的3%~5%���,那么2023年中國云安全市場(chǎng)規(guī)模有望達(dá)到112.6億元~187.7億元。
掃描二維碼或點(diǎn)擊「閱讀原文」開啟安全I(xiàn)T運(yùn)維之路:
封面圖片來源:攝圖網(wǎng)-500530363
