Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

1/10 被评估的资产易遭 Log4Shell 攻击

Amit Yoran
2021 年 12 月 22 日 • 阅读时长为 2 分钟
作者: Amit Yoran 
博客主页 / 新闻和观点

如果现在不解决,就会改写 2022 年的计算环境。

Tenable 围绕每个漏洞收集了大量的数据,包括最近的颇受瞩目的 Log4Shell。到目前为止,我们所得的结论令人吃惊的,但并不奇怪,即在所有被评估的资产中,有 10% 容易受到 Log4Shell 的攻击。而此时 30% 的企业甚至还没有着手寻找这个漏洞,这令人非常不安,而且考虑威胁制造者虎视眈眈,环伺左右,这一延误尤为致命。

在已评估过的资产中,大约有 10% 的资产发现了 Log4Shell,其中包括各种服务器、Web 应用程序、容器和 IoT 设备。Log4Shell 在各个行业和各个地区无所不在 10 台公司服务器就有 1 台暴露在风险中。10 个 Web 应用程序就有一个曝露在风险之中,诸如此类。在我们数字基础设施的每一个方面,就有将近十分之一有可能通过 Log4Shell 被恶意利用。

因此,受影响的企业不计其数。我们的遥测显示,截至 2021 年 12 月 21 日,只有 70% 的企业扫描了该漏洞!Log4Shell 已确认为我们有史以来遇到的最严重的网络安全风险之一,然而却有许多企业还没开始采取行动:30% 的企业还没有开始评估其环境中的 Log4Shell,更别提开始修补该漏洞了。

安全专业人士疲于奔命,而且在欢度假期时就更是困难重重,但这个风险独一无二。对该漏洞的广泛利用已经开始了,在一个月的时间里,我们会看到利用此漏洞进行好几拨攻击,所造成的损害可能更具侵略性,到时我们可能无法抵挡这些攻击。

例如,尽管利用 EternalBlue 可精心编制多个重大攻击,例如 WannaCry,但因为 Log4j 在基础设施和应用程序中无处不在,因此所造成的影响可能会更大。历史上还没有一个这样的漏洞让企业如坐针毡,亟需修复。 据我们所知,Log4Shell 将会改写计算环境,将那些投入资源保护自己的企业和那些浑浑噩噩轻视此漏洞的企业区分开来。

了解详情:

Amit Yoran

Amit Yoran

主席兼首席执行官 (CEO) Amit Yoran 负责制定 Tenable 愿景,使组织能够了解和减少其网络安全风险。Amit 为 Tenable 带来公私营部门独特的领导经验。之前他曾担任过 RSA 总裁,带领公司转型成为最成功的全球安全产品公司之一。Amit 随 NetWitness 收购而加入 RSA,NetWitness 是由他创立并担任首席执行官的一家网络取证公司。在创立 NetWitness 之前,Amit 曾在美国国土安全部门担任计算机安全应急响应组 (US-CERT) 的创办负责人。他还曾是首批安全托管服务提供商 (MSSP) 之一 Riptech 的创始人和首席执行官,该公司于 2002 年被 Symantec 收购。Amit 在 BlackLine, Inc. 董事会(纳斯达克代码:BL) 和互联网安全中心 (CIS) 任职。 他是安全行业公认的思想领袖和意见领袖,常常受邀在行业活动和媒体上就未来网络安全愿景提供专家评论。

相关文章

How to Perform Efficient Vulnerability Assessments with Tenable

September 12, 2023

Policy configuration choices in vulnerability assessment tools like Tenable Nessus, Tenable Security Center and Tenable Vulnerability Management enable security professionals to effectively gather data that can be analyzed to aid in prioritizing remediation.

Seth Matheson

Seth Matheson

Tenable's 2023 Capture The Flag: Are You Ready to Test Your Hacking Skills?

July 26, 2023

Tenable is bringing its annual hacking competition to Black Hat 2023 in a hybrid in-person and online experience, giving competitors around the world a chance to have fun and test their skills.

Team Tenable

Team Tenable

Cybersecurity Snapshot: IoT Vendors Fail at Vulnerability Disclosures, While Cyber Threats Again Top Business Risks 

January 27, 2023

Learn all about how most IoT product makers lack vulnerability disclosure policies. Plus, businesses again rank cyber risk as their top concern. Also, check out a new toolbox for cybersecurity awareness programs. Then scan the latest list of top malware. And much more!

Juan Perez

Juan Perez

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

April 26, 2024

Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!

Juan Perez

Juan Perez

CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor

April 25, 2024

Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.

Satnam Narang

Satnam Narang

CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited

April 23, 2024

A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.

Satnam Narang

Satnam Narang

  • Vulnerability Scanning

您可加以利用的网络安全新闻

输入您的电子邮件,绝不要错过 Tenable 专家的及时提醒和安全指导。

免费试用 立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

试用 Tenable Web App Scanning

您可以通过 Tenable One 风险暴露管理平台完全访问我们专为现代应用程序量身打造的最新 Web 应用程序扫描产品。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。立即注册。

Tenable Web App Scanning 试用版还包含 Tenable Vulnerability Management 和 Tenable Lumin。

购买 Tenable Web App Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable Lumin

使用 Tenable Lumin 直观呈现及探索您的风险暴露管理,长期追踪风险降低状况,并比照同行业者进行基准衡量。

Tenable Lumin 试用版还包括 Tenable Vulnerability Management 和 Tenable Web App Scanning。

购买 Tenable Lumin

联系销售代表,了解 Tenable Lumin 如何帮助您获取整个企业的洞见并管理网络安全风险。

免费试用 立即购买

免费试用 Tenable Nessus Professional

免费试用 7 天

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。

新 - Tenable Nessus Expert
不可用

Nessus Expert 添加了更多功能,包括外部攻击面扫描,以及添加域和扫描云基础设施的功能。单击此处试用 Nessus Expert。

填写下面的表格可继续试用 Nessus Pro。

购买 Tenable Nessus Professional

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。Tenable Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

立即购买
续订已购许可证 | 寻找经销商
免费试用 立即购买

免费试用 Tenable Nessus Expert

免费试用 7 天

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

已经有 Tenable Nessus Professional?
升级到 Nessus Expert,免费试用 7 天。

购买 Tenable Nessus Expert

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

选择您的许可证

购买多年许可证,节省幅度更大。

添加支持和培训

立即购买
续订已购许可证 | 寻找经销商