Apache(阿帕奇)Log4j2,对于大部分互联网用户而言是个陌生的词汇。但在很多程序员眼中,它却是陪伴自己的好伙伴,每天用于记录日志。然而,恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大,甚至可能超过“永恒之蓝”。
安恒信息高级应急响应总监季靖评价称:“(Apache Log4j2)降低了黑客攻击的成本,堪称网络安全领域20年以来史诗级的漏洞。”有业内人士还认为,这是“现代计算机历史上最大的漏洞”。
工信部于2021年12月17日发文提示风险:“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。”
就连国家政府部门也中招了。2021年12月下旬,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于Apache Log4j2相关漏洞,网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。
此漏洞“威力”之大,连国家信息安全也受到波及。那么普通企业,特别是采用云服务的企业应该如何应对呢?疫情发生以来,大量企业、机构加速数字化进程,成为“云上企业”。传统环境下,企业对自身的安全体系建设拥有更多掌控权,完成云迁移后,这些企业的云安全防护是否到位?
二十年一遇安全漏洞来袭:将成“网络大流感”
2021年12月9日深夜,Apache Log4j2远程代码执行漏洞攻击爆发,一时间各大互联网公司“风声鹤唳”,许多网络安全工程师半夜醒来,忙着修补漏洞。“听说各大厂程序员半夜被叫起来改,不改完不让下班。”相关论坛也对此事议论纷纷。为何一个安全漏洞的影响力如此之大?安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为:“影响广泛、威胁程度高、攻击难度低,使得此次Apache Log4j2漏洞危机备受瞩目,造成了全球范围的影响。”“Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发”,季靖表示,“据不完全统计,漏洞爆发后72小时之内,受影响的主流开发框架都超过70个。而这些框架,又被广泛使用在各个行业的数字化信息系统建设之中,比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架,因此阿帕奇Log4j2漏洞影响范围极大。”除了应用广泛之外,Apache Log4j2漏洞被利用的成本相对而言也较低,攻击者可以在不需要认证登录这种强交互的前提下,构造出恶意的数据,通过远程代码对有漏洞的系统执行攻击。并且,它还可以获得服务器的最高权限,最终导致设备远程受控,进一步造成数据泄露,设备服务中断等危害。不仅仅攻击成本低,而且技术门槛也不高。不像2017年爆发的 “永恒之蓝”,攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者,可以利用很多现成的工具,稍微懂点技术便可以构造更新出一种恶意代码。利用难度低、攻击成本低,意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间,这将是一场“网络安全大流感”。互联网也要“防疫”:企业不闻不问或将带来严重后果与“流感病毒”的相似之处在于,Apache Log4j2漏洞已经产生“变种”。除了先期公布的漏洞CVE-2021-44228,在12月29日,又发现新的漏洞CVE-2021-44832。而在漏洞曝光和初期修复后,又衍生出大量针对性的攻击变种,实在是防不胜防。
一方面,漏洞在出现不同的“变种”;另一方面,攻击者也在寻找新的漏洞利用模式。因此,业内人士普遍预计,Apache Log4j2漏洞带来的影响长期存在,甚至有专家预计将持续十年以上。
攻击者的攻击方式,也是多种多样的。比如攻击者获取服务器最高权限后,可能在系统代码里留“后门”,将其变为傀儡机,用来从事挖矿或者发动DDoS攻击等黑产活动。
企业可以对这个漏洞“不闻不问”吗?答案显然是否定的。高轶峰警示称:“没有及时认真应对此次Log4j2漏洞危机的企业,或将面临着网站篡改、服务中断、数据泄漏等风险。尤其是数据泄漏事件,其危害对企业来说可能是‘毁灭性’的,其中必然涉及直接销售损失、合规罚款、对员工生产力影响和长期的商誉损害。数据泄漏事件一旦发生,监管部门必然会罚款并提出整改要求,严重的会导致失去业务资质以及刑事指控。”
“云上企业”怎么防护?搭建安全保障体系是关键
传统模式下,安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式,“云上企业”使用的是云计算、云存储服务等,没有自己的机房和服务器。进入云环境,安全防护的“边界”不复存在,对底层主机的控制权限也没有本地那么多,同时还多一层虚拟化方面的攻击方式。
特别是疫情影响下,大量企业、机构开启数字化转型,从本地服务器迁徙到云服务器。短时间内完成云迁移,企业很可能缺乏对应的云安全管理能力成熟度;同时,往往也面临着安全能力不足、专业人手紧缺等情况。
面对这场史诗级的漏洞危机,“云上企业”应该如何应对呢?
在安恒信息高级产品专家盖文轩看来:“企业上云之后,传统的网络安全风险依然存在,此外,还会面临新的安全风险,比如用户与云平台之间安全责任边界划分等问题。另外,传统的硬件设备可能不适用于云环境,因此需要针对特殊情况部署相关安全服务。”
而在安永大中华区科技风险咨询服务合伙人赵剑澐看来:“面对快速上云,企业急需搭建满足自身业务发展与管理要求的安全保障体系。”
那么,对于这些“云上企业”,究竟是选择云服务商提供的原生安全服务,还是另寻第三方专业的安全服务商呢?
盖文轩认为:“网络安全服务的时效性是非常关键的,如果安全事件发生后,一个小时快速响应,还是几个小时甚至一两天响应,差距是很大的,客户承担的风险和损失是持续的。选择第三方安全机构专业性更强,云服务商兼容性更好。”
事实上,目前即使是高度自动化的云原生安全方案,也无法做到完全自主自治,仍然需要合格的云安全服务专业团队参与。高轶峰强调,对于中小型企业,选择满足资质的第三方专业安全机构,能够保证服务的独立性,保障工作顺利开展及服务质量。
云服务商原生安全服务与第三方安全服务并非二选一。赵剑澐认为:“在企业安全防护体系的构建中,企业应结合自身安全管理经验,从计算层、网络层、数据层以及安全管理层,考量安全实践,量体裁衣,选择适合企业的安全服务,以构筑全栈安全。”
网络安全专家谈安全实践:“宜未雨而绸缪”
网站风险的发现和网站安全防护是一个对专业性要求较高的工作,很多单位缺乏专业安全设备和技术人员,业务系统遭受攻击后不能及时响应,造成内容被篡改、植入暗链、黑页、业务宕机瘫痪等,引发负面影响,甚至给网站管理单位带来严重的经济损失。因此,对暴露在互联网上的业务系统开展常态化安全防护与监测尤为必要。
赵剑澐总结称:“优秀的安全实践‘宜未雨而绸缪,毋临渴而掘井’。”
对于“云上企业”而言,安恒玄武盾SaaS服务便是典型的云防护和云监测一体化解决方案,帮助用户在Nday漏洞应急响应场景下,可以有效实现漏洞的安全监测、攻击防护以及7x24小时安全专家值守服务保障,协助用户掌握重要信息系统和重点网站的安全态势,实现网站和相关业务系统的防篡改、防入侵、防数据泄漏,避免网站安全事件发生。
行业数据概览
11月和12月境内计算机恶意程序传播次数超过19000万,但是较10月的21000万有明显减少。其中11月的恶意计算机程序传播次数在第2周达到巅峰,为5367.2万,12月的在第3周达到高峰,达到6374.1万。11月总计19294.9万;12月总计19541.6万。
在境内感染计算机恶意程序主机数量上,11月每周呈上升趋势,11月总计397.6万;12月得到控制,每周呈下降趋势总计423.7万。
境内被篡改网站总数上,11月有4767个,12月有6708个,两个月较10月均有明显减少;其中政府网站数量上,12月有36个,较11月34个相差不多,政府网站面对的攻击依旧不容忽视,要保持警惕;
12月境内被植入后门网站总数累计2062个,较11月的3551个下降41.9%;针对境内网站的仿冒网页数量,12月有1365个,11月668个,上涨104.3%。由此可见,越到年末,越要重视境内的网络安全。
12月的信息安全漏洞数量2419个,较11月的2239个上涨8.04%;其中高危漏洞数量上,12月较11月上涨31.2%。每月都有漏洞利用的事件发生,针对安全漏洞问题,一定要在正规途径下载应用,并及时更新。
上云之后,企业云安全面临哪些威胁?
数据来源:CSA
发生在我国云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。
同时,攻击者经常利用我国云平台发起网络攻击,其中云平台作为控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的51.7%、作为攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的79.3%;作为木马和僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的65.1%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的89.5%。
上述饼状图数据来源:CNCERT/CC
图片来源:艾瑞咨询报告截图
云安全技术未来5年发展趋势
Gartner《2021年中国ICT技术成熟度曲线报告》(Hype Cycle for ICT in China,2021)横向维度按照技术成熟度分为从新兴到成熟的5个阶段,纵向维度表现该技术的期望值。此次ICT成熟度曲线对AIOps平台、数据中台、5G、低代码、容器即服务、多云、云安全、边缘计算等20多项新型有重大发展价值的技术进行分析。
图片来源:Gartner报告截图
中国云安全市场空间广阔。根据中国信通院数据,2019年我国云计算整体市场规模达1334.5亿元,增速38.6%。预计2020年~2022年仍将处于快速增长阶段,到2023年市场规模将超过3754.2亿元。中性假设下,安全投入占云计算市场规模的3%~5%,那么2023年中国云安全市场规模有望达到112.6亿元~187.7亿元。
扫描二维码或点击「阅读原文」开启安全IT运维之路:
记者|朱成祥
编辑|梁枭 段炼 杜恒峰
视频编辑|郑得锐
校对|何小桃
本文首发于微信公众号:每日经济新闻。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(李显杰 )