亚洲av成人中文无码专区-精品国精品无码自拍自在线-影音先锋人妻啪啪av资源网站-精品久久久久久中文字幕大豆网-欧美日韩综合一区二区三区-岳毛多又紧做起爽

《網(wǎng)絡(luò)安全2022:守望高質(zhì)量》報(bào)告解讀 | 回顧供應(yīng)鏈安全事件,展望2022網(wǎng)絡(luò)安全風(fēng)向

來(lái)源:財(cái)訊網(wǎng)

2021年末,Log4j2漏洞爆發(fā),引發(fā)了一場(chǎng)供應(yīng)鏈安全危機(jī),其影響范圍極為廣泛,同時(shí)也伴隨著巨大的危害性。通過(guò)仔細(xì)分析此次供應(yīng)鏈安全事件的特點(diǎn)不難看出,這是一起典型的由開(kāi)源軟件所導(dǎo)致的供應(yīng)鏈安全事件,上游軟件提供商的漏洞殃及了下游產(chǎn)業(yè)的產(chǎn)品提供者,錯(cuò)綜復(fù)雜的依賴關(guān)系使影響范圍擴(kuò)大,最終遍及整個(gè)網(wǎng)絡(luò)空間。Log4j2事件為安全廠商與網(wǎng)絡(luò)安全從業(yè)者敲響了警鐘,必須警惕開(kāi)源軟件供應(yīng)鏈中暗藏的危機(jī),并采取有效行動(dòng)。

Log4j2作為一個(gè)堪比標(biāo)準(zhǔn)庫(kù)的基礎(chǔ)日志庫(kù),無(wú)數(shù)開(kāi)源 Java 組件都直接或間接依賴于Log4j2。作為軟件供應(yīng)鏈中的核心原始組件,Log4j2的自身漏洞帶給整個(gè)軟件供應(yīng)鏈的影響最為直接、隱秘,影響也最為深遠(yuǎn),它猶如一個(gè)埋藏在命門處的定時(shí)炸彈,一旦引爆,便是致命打擊。然而,當(dāng)我們需要探查這個(gè)深埋在系統(tǒng)內(nèi)部的缺陷,并梳理其影響范圍或判斷其他組件是否存在同樣的安全隱患時(shí),這又給管理者帶來(lái)了一項(xiàng)極為復(fù)雜的工作。

由于Log4j2被引用的廣泛性,其可能存在于系統(tǒng)組件的各個(gè)角落。在組件的集成構(gòu)建階段,當(dāng) Log4j2 作為基礎(chǔ)組件集成到一些核心業(yè)務(wù)組件時(shí),漏洞也在有意無(wú)意間滲透到了更為上層的核心業(yè)務(wù)中,使產(chǎn)品的核心業(yè)務(wù)暴露出一個(gè)附加的攻擊面。在該階段,由于組件之間的依賴關(guān)系相對(duì)較為清晰,所以當(dāng)漏洞被引入時(shí),受到的影響面也較為容易排查。我們往往只需要將代碼倉(cāng)庫(kù)中受影響的組件版本更換為安全的補(bǔ)丁版本或直接移除更換掉即可。

在組件的依賴使用階段,隨著當(dāng)前軟件系統(tǒng)架構(gòu)復(fù)雜性的提升,組件之間的依賴深度也逐漸增加。當(dāng)Log4j2這類核心組件受到漏洞影響時(shí),軟件系統(tǒng)自身的復(fù)雜性就會(huì)掩蓋影響,導(dǎo)致整個(gè)軟件系統(tǒng)的攻擊面被隱藏起來(lái),從而容易被人忽略。所以在該階段排查漏洞影響最為艱難,往往需要安全工程師們進(jìn)行大規(guī)模的分析排查、抽絲剝繭,將軟件系統(tǒng)的各種依賴關(guān)系梳理清楚。站在攻擊、防御的視角觀察同樣如此,攻擊者及防御者往往需要通過(guò)hook、fuzz等方式測(cè)試組件的調(diào)用深度,從而找出被隱藏的漏洞觸發(fā)點(diǎn)。

在下游用戶使用階段,受到的影響則更為被動(dòng)。因?yàn)閺?fù)雜的軟件系統(tǒng)對(duì)于身處下游的用戶來(lái)說(shuō)是一個(gè)黑盒,普通用戶對(duì)于其包含的組件風(fēng)險(xiǎn)一無(wú)所知,此時(shí)只能靠有責(zé)任心的軟件提供商來(lái)提供運(yùn)維支持服務(wù)。如果遇到不負(fù)責(zé)任或者漏洞應(yīng)急不及時(shí)的供應(yīng)商,則只能依靠社區(qū)建議及旁路的安全設(shè)備來(lái)進(jìn)行臨時(shí)舒緩。

隨著開(kāi)源軟件應(yīng)用的不斷普及,軟件開(kāi)發(fā)過(guò)程也越來(lái)越依賴于組件間的相互調(diào)用與組合,以適應(yīng)不斷變化的市場(chǎng)環(huán)境。但開(kāi)發(fā)者在關(guān)注敏捷高效的同時(shí),也會(huì)為系統(tǒng)引入新的安全風(fēng)險(xiǎn),開(kāi)源軟件的引入減少了開(kāi)發(fā)時(shí)間,也增加了軟件供應(yīng)鏈安全的復(fù)雜度,尤其是此次Log4j2這樣應(yīng)用廣泛的基礎(chǔ)組件,在供應(yīng)鏈的各階段均存在深遠(yuǎn)的影響。大型項(xiàng)目中依賴關(guān)系數(shù)量與依賴層級(jí)數(shù)量的復(fù)雜度提升直接增加了廠商對(duì)漏洞的排查難度。對(duì)漏洞組件產(chǎn)生間接依賴的開(kāi)源組件及框架也有安全隱患,因?yàn)樵冀M件被大量引用所造成的二級(jí)傳播極大的擴(kuò)充了Log4j2漏洞的影響范圍。在上游軟件供應(yīng)鏈產(chǎn)品中累積的漏洞影響,最終會(huì)在下游應(yīng)用場(chǎng)景中浮現(xiàn),下游產(chǎn)品服務(wù)提供商應(yīng)當(dāng)采取有效手段,對(duì)涉及的漏洞資產(chǎn)進(jìn)行排查。

此次暴露的安全問(wèn)題僅僅是供應(yīng)鏈安全領(lǐng)域的冰山一角,SolarWinds事件、Mimecast事件或類似針對(duì)供應(yīng)鏈的APT攻擊等一系列安全事件也都在為我們敲響著警鐘。綠盟科技《網(wǎng)絡(luò)安全2022:守望高質(zhì)量》報(bào)告對(duì)供應(yīng)鏈安全進(jìn)行了梳理,針對(duì)安全事件、政策標(biāo)準(zhǔn)進(jìn)行了分析,并展望2022年供應(yīng)鏈安全發(fā)展趨勢(shì)。同時(shí),報(bào)告也整理了其他網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展趨勢(shì)并將其劃分為態(tài)勢(shì)篇、威脅篇、數(shù)字基礎(chǔ)設(shè)施篇,篩選匯聚了綠盟科技2021年在網(wǎng)絡(luò)安全攻防相關(guān)領(lǐng)域的核心研究成果。其中,態(tài)勢(shì)篇重點(diǎn)梳理了我國(guó)網(wǎng)絡(luò)安全發(fā)展區(qū)域的威脅態(tài)勢(shì);威脅篇重點(diǎn)分析了網(wǎng)絡(luò)安全面臨的漏洞、惡意軟件和高級(jí)可持續(xù)威脅等主要風(fēng)險(xiǎn)因素;數(shù)字基礎(chǔ)設(shè)施篇對(duì)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施相關(guān)的熱點(diǎn)事件、市場(chǎng)發(fā)展和領(lǐng)域趨勢(shì)進(jìn)行整理。

希望此份報(bào)告能引發(fā)大家對(duì)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)的思考,為讀者帶來(lái)價(jià)值。綠盟科技將依托技術(shù)產(chǎn)品和服務(wù),秉承“專攻術(shù)業(yè),成就所托”的宗旨,盡心為用戶的安全體系賦能,盡力加強(qiáng)用戶信息化安全體系建設(shè),全力服務(wù)于構(gòu)筑國(guó)家高質(zhì)量發(fā)展的網(wǎng)絡(luò)安全屏障,為全面加強(qiáng)國(guó)家網(wǎng)絡(luò)安全保障體系持續(xù)貢獻(xiàn)力量。

在綠盟科技公眾號(hào)后臺(tái)回復(fù)“網(wǎng)絡(luò)安全2022”獲取下載鏈接,在綠盟科技官方公眾號(hào)中點(diǎn)擊【綠盟精選】-【綠盟書櫥】可直接閱讀。

免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。

標(biāo)簽:

推薦

熱點(diǎn)更多》

關(guān)閉

快訊更多》

財(cái)富