编者按: 以下是OneTrust赞助的一篇博客文章:
由于Apache Log4j零日漏洞被发现并在整个信息安全澳门赌场官方下载传播,信息安全团队被迫在假日期间做出响应. 为这一事件做好准备的关键是在它发生之前就有合适的计划. 在这个博客中, 我们将剖析RCE漏洞和潜在攻击的独特挑战, 以及当前的风险形势,这进一步复杂化了开发人员和信息安全专业人员如何应对.
Log4j漏洞的性质和利用
未打补丁的易受攻击的远程代码执行(RCE)系统的威胁是巨大的,因为它允许攻击者在受害机器上远程执行任意命令,以无缝地利用数据. 利用RCE的最终结果可能是复制用户凭证, 获取知识产权, 或者删除包含有价值业务信息的关键文件. Log4j RCE事件更加复杂,因为它也是一个零日漏洞, 系统或设备中没有补丁的漏洞. 零日漏洞通常是由外部人员发现的,而不是软件开发人员. 在最好的情况下, 漏洞是由执行授权测试或其他IT风险缓解活动的白帽渗透测试人员发现的,然后他们将问题报告给编写组织, 允许时间来修复其软件或应用程序. Log4j was a worst-case scenario; it was found in the wild by a third-party organization that had to alert Apache to its existence. 当RCE漏洞被发现但软件所有者没有修补后,威胁参与者搜索和利用RCE漏洞的机会急剧增加.
考虑到Log4j的全局安装基础和零日RCE的性质, 这一近期事件继续产生广泛的影响, 超出最初反应的大规模影响. 最近的Log4j的受众非常广泛, 因为Apache是一个流行的开源代码日志数据库. 组织继续搜索他们的网络和IT环境,寻找可能存在未打补丁的Apache系统的任何实例.
利害关系继续升级
当我们反思最近的剥削, 几个加重因素突出, 使当前的风险形势更加难以驾驭.
- 繁荣时期萎缩的左派 - - - 吊杆左侧 网络安全领域的一个流行术语是指从漏洞首次被发现到随后被利用之间的时间吗. 这段时间,曾经以天为单位,现在已经缩短到小时. 缩短的时间框架掩盖了受影响的软件开发团队产生的快速周转和响应补丁. 即使是不老练的特工也能获得简化攻击的方法, 使用自动扫描器来识别漏洞,并利用那些没有意识到或尚未解决其IT生态系统中的漏洞的澳门赌场官方下载.
- 庞大而复杂的IT生态系统 IT资产扫描可能是劳动密集型的, 甚至还有自动扫描工具, 某些技术细节可能会为已识别的漏洞的实例创造机会,使其在您的补救工作中被忽略. SC媒体 最近公布了jFrog的一项新研究,他们在Maven Central中发现了数百个暴露的Lo4j系统.
- 加强对网络疏忽的问责 -执法机构,例如 联邦贸易委员会 (FTC)已发表声明,承认Log4j等漏洞对公众的级联影响. 在不断扩大的网络安全法规下,未能对公开记录的漏洞采取行动的组织可能很快就会被发现疏忽. 如果攻击危及已知漏洞上的个人数据,这种性质的漏洞可能会阻碍业务和公众.
细化您的IT和安全风险管理策略是在任何程序成熟阶段的持续需求. 不管目前的情况如何, 人, 流程, 技术是实施任何战略的三个重点领域. 当你想投资或实施对这些领域的改变时, 考虑一下改变将如何帮助你:
- 减少响应时间
- 简化你的技术栈
- 简化报告
识别和选择能够适应并适应您的业务不断变化的环境的技术,对于启用组织并获得对您的安全性和风险状态的可见性至关重要. 一个灵活的 集成GRC解决方案 能否以一种可衡量的方式将这些碎片整合在一起, 具有构建自动化和可操作的主动IT的基础 & 安全策略.
作者简介: 贾斯汀汉高是一位信息安全思想领袖, 主题专家, 也是OneTrust卓越安全中心的负责人. 贾斯汀在计划方面有良好的记录, 发展中, 建立和监控工作组合,以确保IT基础设施符合联邦和州网络安全标准, 的指导方针, 最佳实践. 他在与业务相关的网络安全和事件响应操作的高级领导层沟通方面拥有丰富的经验. 除了, Justin在漏洞管理方面有15年的经验, 政府的网络情报和风险整治, 情报部门和金融部门.
