文/Gordon Bitko
图片来源:视觉中国
SolarWinds在安全领域掀起轩然大波一年之后,我们现在面临着另一场潜在的毁灭性网络事件。Log4j漏洞是最新的漏洞,有可能导致重大的经济和国家安全损害。虽然SolarWinds和Log4j在技术层面上代表了非常不同的事件,但它们都为组织领导者(包括整个最高管理层,而不仅仅是首席信息官和首席信息安全官)和决策者提供了关键教训和警告。
首先,重要的是要理解为什么最近的事件如此重要。Log4j是Apache开源项目中包含的Java日志库。这意味着它是一组标准的协作开发和公开访问的软件(开源),通常用于收集和存储服务器上的活动记录(日志),比如一个运行网站的服务器。这些日志被用于许多目的,包括监视系统的性能,但具有讽刺意味的是,还用于检查潜在异常事件的安全性影响。理想情况下,日志文件是静态的;它们捕捉和存储记录是为了分析的目的,仅此而已。在这种情况下,新发现的漏洞允许恶意参与者引入一个数据字符串,从而支持在日志服务器上远程执行代码。因此,报告的许多事件都是恶意用户通过新方法将泄露的信息引入系统日志的结果。
已经报道了许多看似良性的项目,比如包含恶意数据字符串的聊天消息。这种暴露本身就证明了这种漏洞的广度,但在公开的概念证明漏洞中可以找到进一步的证据。任何用户都可以利用这些漏洞来实现自己的目的,比如控制加密货币挖掘服务器,有关系统被破坏的报告正在迅速增加。由于Apache是如此广泛,这些破坏不可避免地会持续增长数周或数月,并将包括仅通过服务提供者使用Log4j间接公开的系统。
与此相反,SolarWinds利用复杂的供应链入侵将新的漏洞引入到打包的商业软件产品中。虽然有许多受影响的组织,但入侵是针对一个非常特定的弱点的老练对手的工作,主要用于访问高调的政府和公司网络。
尽管在技术细节上有很大不同,但这些事件揭示了几个共同的关键点。首先,领导者永远不能对网络威胁自满。几乎从字面上说,在现代、复杂和连通的世界中,不可能做足够的事情来做到完全和可证明的安全。所有的领导者,不仅仅是首席信息官和首席信息安全官,都需要时刻保持警惕,思考他们的组织所面临的风险,并准备在最坏的情况发生时迅速做出反应。没有这样的准备,他们的组织就容易遭受可怕的后果。这也取决于这些领导者思考这种警惕的成本,并找到适当的投资方式。
其次,组织机构需要严格主动地采用良好网络安全卫生的基础知识。网络安全专家多年来一直强调的核心项目——比如扫描你的网络,寻找已知的漏洞并迅速修复它们,管理对敏感数据的访问,并确保你有备份数据以用于恢复目的——并不是良方,但它们肯定会降低或减轻入侵的风险,并使您的恢复尽可能顺利。例如,在最近的这次事件中,在漏洞被广泛了解之前已经有了一个可用的修复。美国网络安全和基础设施安全局(CISA)和其他机构正积极鼓励各组织将Log4j升级到该补丁版本,以此作为关键的响应步骤。虽然有必要,但如果您已经被入侵了,这种漏洞的性质意味着您需要更深入地研究您的系统,以确保不良行为者没有从最初的入侵中扩散出去。
第三,随着组织超越网络卫生基础,他们应该应用零信任的原则,这是美国政府一直提倡的,以改善其自身的网络安全态势,以应对SolarWinds事件。虽然过渡到真正的零信任架构是复杂和耗时的,但它迫使组织仔细考虑最敏感的数据,以及如何控制对这些数据的访问。对这些数据进行适当的分割可以将入侵的组织成本降至最低,而对活动的详细监控,尤其是对那些关键资产的详细监控,可以帮助快速识别入侵何时发生,并可能限制入侵的范围。
最后,Log4j是另一个例子,说明为什么美国国会必须在2022年优先加强网络安全。2021年关于这一问题的重要听证会和讨论突显了挑战的范围,并强调了立法者将追究未能认真对待网络问题的高管的责任。但与此同时,他们也证明了挑战在急剧演变。国会在《基础设施与投资就业法案》中对州和地方网络安全的初始投资,必须伴随着其他地方的类似投资,以及在威胁共享和事件报告等关键问题上公私合作的重要性方面明确和一致的方向。正如大家所注意到的,这是一项团队运动,但我们今天连留在赛场上都很艰难。
展望未来,至关重要的是,行业和政府合作伙伴共同重新承诺必要的投资,以在这些动态和不断演变的威胁中保持竞争力。
Gordon Bitko为福布斯撰稿人,表达观点仅代表个人。译 Stephen