Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

Apache Log4j 缺陷让第三方软件成为关注焦点

Apache Log4j 缺陷如何让第三方软件成为关注焦点

随着全球各地的企业争分夺秒解决严重的 Log4j 漏洞(又称为 Log4Shell),每个安全领导者心中的头号问题是:我如何知道企业中存在该漏洞?

12 月 17 日更新: Apache 已将另外一个 Log4j 漏洞 CVE-2021-45046 的严重性从低危更新为严重 (9.0 CVSSv3), 该漏洞在某些配置下可能执行远程命令。有关更多信息,请参见 Tenable Community 上的该帖文

开源日志记录框架 Apache Log4j 无处不在,让这个问题特别难以回答。

许多企业不仅在自己的源代码中使用 Log4j,而且在这些企业从第三方购买的许多产品中也在使用。对安全软件开发生命周期 (SSDL) 采用“左移”方法的企业可以分析自己的源代码,以发现并修复自己系统中的缺陷。

您需要采用包含静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST)、第三方依赖性检查、容器安全扫描、漏洞管理和基础设施即代码 (IaC) 的 SSDL 方法。但是,即使采用了所有这些做法,企业仍将难于掌控软件开发生命周期左手侧的一切。特别是,如果采用了第三方软件,漏洞管理和 Web 应用程序扫描也是至关重要。仅仅发现缺陷是否存在不足以解决问题,您还必须了解这些缺陷在企业混合了应用程序、资产和业务流程的环境中所代表的风险等级。

最近,尽管拜登政府发布的行政命令要求企业制定一份软件物料单 (SBOM),但大多数供应商并没有为其软件提供 SBOM。而且,即使提供了,大多数企业距离有效使用此物料单的流程和能力还遥不可及。因此,当 log4j 之类的安全事件发生时,网络安全领导者只有一个选择:把第三方供应商叫来并询问。这项工作十分艰巨、繁复且耗时,让企业在攻击者突然利用漏洞攻击时措手不及。

常见问题:CVE-2021-45046, CVE-2021-4104: 关于 Log4Shell 和相关漏洞的常见问题

即使在最为成熟的企业中,SSDL 做法和 SBOM 已经在流程中牢牢扎根,还是会有安全缺口,让安全企业很难回答下面五个重要问题:

  1. 在环境中运行这些软件吗?
  2. 在基础设施中呢?
  3. 在构建管道中呢?
  4. 基础设施提供商呢?(如果您使用的是云服务提供商提供的服务,则这一点尤其与您相关)
  5. 由于软件组成分析 (SCA) 不会发现 Log4J 的所有实例,我们是否运行了其他控制机制,如基础设施即代码 (IaC)、漏洞管理和网络应用程序扫描,以发现代码的所有组件?

结论是:修复 Log4j 并非举手之劳。一个显而易见的预防方法就是实施 Web 应用程序防火墙,这已被证明是防范此漏洞相当简单的方式。负责任的企业必须更新其核心软件,并了解该缺陷对整体风险状况造成何种影响。企业现在采取的措施都是在紧急模式下做出的决策;一旦初步度过危急,这个考验就会被宣布为“任务完成”,然后弃之不理。而从我们看来,这可是个毁灭性的错误。我们已经完美错过企业修复其基础架构,并且以安全优先的方式维护系统的时机。

Tenable 致力于维护 SSDL 并采取下列措施来应对 Log4j:

  • 我们采用防堵法,在本例中,我们会防止使用任何有漏洞的软件实例,其中包含 Log4j。
  • 我们在所有的基础设施以及在产品发运给客户前的预先发行版产品代码中,主动且持续执行漏洞管理扫描和 Web 应用程序扫描。
  • 此外,我们还对所有入侵指标和攻击采取了措施,在网络和主机级别实施了控制措施。

我们将继续通过监控威胁情报来跟踪威胁态势并根据需要进行调整。处理任何安全事件归根结底要知道您的环境中有什么,弄清楚您的攻击面,包括所有第三方的攻击面,才能快速降低风险。时间是关键。攻击对手总是随时准备利用最新的漏洞,并根据自己的使用情况安排新用途。企业必须尽一切所能仔细审视他们当前的做法,此安全事件引发的连锁反应在未来数年仍会困扰企业软件。

了解详情

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

免费试用 30 天


可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

免费试用 30 天 在软件开发生命周期的设计、构建和运行时阶段,享有检测和修复云基础架构错误配置的完全访问权限。

购买 Tenable.cs

联系销售代表,了解有关云安全的更多信息,以及如何从代码到云,全程护航。