Log4Shell：OT 社区应立即采取的 5 大步骤

运营技术 (OT) 环境同样面临 Apache Log4j 缺陷带来的风险。下面介绍我们现在可以采取的行动。

相信您已经知道，互联网现在处于水深火热中。CVE-2021-44228：Log4j 远程代码执行漏洞 (Log4Shell) 正被归类为历史上最普遍、潜在影响范围最广的漏洞之一。Log4j 是一个开发人员广泛使用的开源 Java 日志记录库。 将第三方库用于核心功能不仅是 IT 的问题，Log4j 也内嵌在运营技术 (OT) 环境中。事实上，OT 供应商已经发布了关于其产品如何受影响的公告。

在接下来的几周和几个月里，我们将开始了解 OT 基础设施中这一特定漏洞的普遍性和影响范围；不过，该漏洞最可能用于执行关键的 OT 日志记录功能，使系统容易受到轻微的远程代码执行的攻击。即使您在 OT 基础设施中没有使用，您仍然可能面临风险。

因为企业已将其 IT 和 OT 运营融合在一起，所以攻击在 IT 和 OT 之间的转移也已不是第一次了。即使您的设备已被完全物理隔离，但您的环境“被动融合”的机会仍然高于平均水平。 如果不采取明确的步骤来保护 OT 基础设施，您的运营可能会面临风险。

常见问题：CVE-2021-45046, CVE-2021-4104: 关于 Log4Shell 和相关漏洞的常见问题。

为了保护您的 OT 环境不受 Log4j 的影响，需要采取以下五个步骤：

1. 遵循官方指导。 美国网络安全和基础设施安全局 (CISA) 等组织已发布了特定指导。经常了解并遵守此指导非常重要。遵守和依赖 MITRE、美国 国家标准和技术研究院 (NIST), the U.K. 网络和信息系统 (NIS) 和北美可靠电力公司 (NERC) 的框架，可以帮助企业建立最佳实践，在动态变化的威胁态势下保持警觉。
2. 了解您的资产。 资产清单是任何安全计划的基石，并可以提供深入的态势感知。这不仅牵涉到获取您环境中每项资产的制造商和型号，还需要获取最新的固件版本、修补程序等级、通信路径、访问权限等清单。使用网络监控只能提供部分细节；要获取具体细节，还需要使用主动查询和设备特定的查询功能。
3. 对 IT 资产运行有针对性的扫描。 一旦您获取有效的资产清单，就能运行漏洞扫描，了解可能受到影响的其他地方。Tenable 的研究团队还识别并推出用于检测 Log4J 或 Log4Shell 漏洞利用的特征。我们持续发布的插件可以在这里找到。建议使用新发布的插件运行有针对性的扫描，让风险元素无所遁形。
4. 了解更广泛的 OT 风险暴露情况。 最佳实践是采用有效的扫描方法，如 Nessus，对您的 IT 资产进行漏洞扫描，采用 OT 特定的方法，如 Tenable.ot，专门扫描您的 OT 资产。实际上，Tenable.ot 内部包含了 Nessus，可同时对 IT 和 OT 资产进行扫描。为确保 Nessus 只扫描 IT 资产而 Tenable.ot 扫描 OT 资产，Tenable 还采用了特定的防护措施。
5. 主动降低风险。 如果您只依靠入侵检测警报来提醒您发生入侵事件或系统受到漏洞利用，那就太迟了。持续的威胁评估必须包含最新的情报与来源。在大多数的环境中，IT 与 OT 网络已互连， 而威胁制造者正在利用这种融合情形。如果您担心在您的环境中已遭 Log4j 利用，Tenable 可随时伸出援手。

从长远来看，整个制造和关键基础设施社区需要更好地了解系统内使用了哪些元素，以便在新威胁出现时获得对这些新威胁所需的深度态势感知。2021 年 5 月发出的行政命令规范了软件物料单 (SBOM) 倡议。SBOM 可为最终用户提供了解其产品中是否使用了有漏洞软件链接库的透明度。

毫无疑问，我们将在未来几年都要与 Log4j 漏洞打交道，不幸的是，未来无疑还会有其他漏洞肆虐。有了合适的人员、流程和技术，世界各地的企业就可以快速、集体使用基于风险的决策，将 Log4Shell 之类的漏洞负面后果降至最低，并保护全球的关键基础设施。

Michael Rothschild 是 Tenable 的 OT 解决方案高级总监，同时也参与撰写了此博客文章。

了解详情

• 访问 Tenable Log4j 解决方案中心：https://www.tenable.com/log4j
• 阅读 SRT 警报：CVE-2021-44228: Apache Log4j 关键代码执行漏洞的概念验证现已可用 (Log4Shell)
• 阅读常见问题：CVE-2021-44228，CVE-2021-45046，CVE-2021-4104： 有关 Log4Shell 和关联漏洞的常见问题
• 阅读 CISO 观点：Apache Log4j 缺陷让第三方软件成为关注焦点
• 访问用户社区深入了解 Tenable 如何提供帮助：https://community.tenable.com/s/