文/戈登·比特科
图片来源:视觉中国
网络安全管理软件产品在安全领域引起轩然大波一年后,我们现在面临着另一个潜在的破坏性网络事件。Log4j漏洞是最新的漏洞,可能造成重大的经济和国家安全损失。虽然网络安全管理软件产品和Log4j在技术层面上代表了非常不同的事件,但它们都为组织领导者和决策者提供了关键的教训和警告。
首先,重要的是理解为什么最近的事件如此重要。Log4j是Apache开源项目中包含的Java日志库。这意味着它是一套标准的协作开发和开放访问软件,通常用于收集和存储服务器上的活动记录,例如运行网站的服务器。这些日志有许多用途,包括监控系统的性能,但具有讽刺意味的是,它们还用于检查潜在异常事件的安全影响。理想情况下,日志文件是静态的;他们捕获并存储记录用于分析目的,仅此而已。在这种情况下,新发现的漏洞允许恶意参与者引入数据字符串,从而支持日志服务器上的远程代码执行。因此,许多报告的事件是恶意用户通过新方法将泄露的信息引入系统日志的结果。
很多看似良性的项目都被举报过,比如包含恶意数据串的聊天信息。这种暴露本身就证明了这种漏洞的广度,但在开放的概念漏洞证明中可以找到进一步的证据。任何用户都可以利用这些漏洞达到自己的目的,比如控制加密货币挖矿服务器。关于系统损坏的报告正在迅速增加。因为Apache如此广泛,这些损害将不可避免地持续几周或几个月,并且将包括仅通过使用Log4j的服务提供商间接暴露的系统。
相反,网络安全管理软件产品利用复杂的供应链入侵将新的漏洞引入打包的商业软件产品。虽然有许多受影响的组织,但入侵是一个有经验的对手的工作,他有一个非常具体的弱点,主要用于访问高调的政府和公司网络。
虽然在技术细节上存在很大差异,但这些事件揭示了几个共同的关键点。首先,领导人永远不能对网络威胁掉以轻心。几乎可以毫不夸张地说,在这个现代、复杂和互联的世界里,要想实现完全的、可证明的安全是不可能的。所有的领导者,不仅仅是首席信息官和首席信息安全官,都需要时刻保持警惕,思考所在组织面临的风险,做好最坏情况发生时快速反应的准备。没有这样的准备,他们的组织很容易受到可怕的后果。也要靠这些领导去思考这种警惕的成本,找到合适的投资方式。
其次,组织需要严格和积极地采用良好的网络安全和卫生的基本知识。网络安全专家多年来一直强调的核心项目,如扫描您的网络,寻找已知的漏洞并快速修复它们,管理对敏感数据的访问,并确保您有用于恢复目的的备份数据,这些都不是好的处方,但它们肯定会降低或减轻入侵的风险,并使您的恢复尽可能顺利。例如,在最近的事件中,在漏洞广为人知之前就有了可用的修复程序。美国网络安全和基础设施安全局和其他机构正在积极鼓励组织将Log4j升级到此补丁,作为关键的响应步骤。虽然这是必要的,但如果您已经被入侵,这种漏洞的性质意味着您需要更深入地研究您的系统,以确保不良行为者从最初的入侵开始就没有扩散开来。
第三,随着组织超越网络健康基金会,他们应该应用美国政府倡导的零信任原则,以改善他们自己的网络安全状况,以应对网络安全管理软件产品事件。尽管过渡到真正的零信任架构既复杂又耗时,但它迫使组织仔细考虑最敏感的数据以及如何控制对这些数据的访问。对这些数据进行适当的分段可以最大限度地降低入侵的组织成本,而对活动(尤其是那些关键资产)的详细监控有助于快速确定入侵发生的时间,并可能限制入侵的范围。
最后,Log4j是为什么美国国会必须在2022年优先加强网络安全的另一个例子。2021年关于这一问题的重要听证会和讨论突出了挑战的范围,并强调立法者将追究未能认真对待网络问题的高管的责任。但与此同时,它们也证明了挑战正在迅速演变。在国会基础设施和投资与就业法案中对州和地方网络安全的初始投资必须伴随着对其他地方的类似投资,以及在威胁共享和事件报告等关键问题上公私合作的重要性的明确和一致的方向。正如每个人都注意到的,这是一项团队运动,但我们今天很难留在场上。
展望未来,行业和政府合作伙伴必须共同重新投入必要的投资,以在这些不断变化的威胁中保持竞争力。
比特科是福布斯作家,其观点仅代表个人。翻译斯蒂芬
