博客

Log4j 漏洞: 组织是否仍面临风险?

Sudhir Patamsetti 缩略图
苏迪尔·帕塔姆塞蒂
2023 年 7 月 12 日发布

挥之不去的威胁

自从log4j 漏洞在网络安全社区引起轩然大波以来,已经过去了 18 个多月,但最近的报告表明,截至 2022 年 10 月 1 日,仍有高达 40% 的 log4j 下载容易受到攻击, 72% 的组织仍然容易受到 log4j 的攻击。 仅在 2023 年 5 月,我们的F5 分布式云平台就帮助客户抵御了超过 100 万次 log4j 攻击尝试,这些攻击尝试通过 Web 应用程序和 API 保护功能成功缓解。

图 1: 2023 年 6 月和 7 月的 Log4j 攻击继续受到 F5 分布式云 WAAP 的缓解

这只是 CVE 的一个例子,突显了组织在努力跟上 CVE 补救管理时所面临的持续挑战,而且这个问题只会继续变得更大。 发布的 CVE 数量正在加速增长, F5 实验室预计,到 2025 年,每周发布新 CVE 的速度将激增至 500 个。 自 log4j 漏洞曝光以来已经过去了近 2 年,随着问题的不断演变,各组织仍在努力追赶。 尽管已经有补丁和更新可用,但仍然有许多因素导致了像 log4j 这样的持续性漏洞。

组织挑战

由于信息有限或资源有限,无法及时了解最新的安全公告,新漏洞的数量和频率使得组织难以跟上(甚至可能没有意识到)漏洞的出现。 一旦发现漏洞,修补易受攻击的系统可能会很复杂,特别是在系统互联的大型组织中,需要付出大量努力和协调,从而导致较长的修补周期。 大多数组织中都混合了传统和现代基础设施、系统和应用,这使得情况变得更加复杂,在尝试实施关键更新时可能会产生兼容性问题、高成本或不便的时间承诺。 此外,复杂的修补和更新是间接依赖关系,可能存在于软件供应链或基础设施组件中,即使组织不直接使用易受攻击的系统,也可能是一个盲点。 就像软件代码本身一样,人为错误和疏忽也会阻碍缓解工作,因为开发人员或管理员可能会忽视修补的需要或错误配置系统。 最后,具有复杂 IT 基础设施或规避风险文化的组织可能会由于广泛的测试、对中断的担忧或业务优先级的竞争而延迟采用补丁。 除了所有这些复杂性之外,大多数组织都存在人手不足的情况,特别是在安全领域。 那么,在他们疯狂地修补和更新系统和应用的同时,他们该如何跟上步伐呢?

结论

解决像 log4j 这样的漏洞需要组织、开发人员、供应商和更广泛的网络安全社区的共同努力。 及时全面的修补、提高认识、强大的漏洞管理实践和持续的监控对于最大限度地减少漏洞的持续性和保护组织免受潜在攻击至关重要。 虽然补丁对于解决 log4j 等已知漏洞至关重要,但由于新漏洞不断出现,它们无法保证完全的保护。 为了有效地降低风险,组织必须采用全面的安全解决方案。 这包括实施 Web应用防火墙 (WAF) 和 API 安全措施,以防止应用程序级攻击。 此外,持续监控对于及时发现和应对新出现的威胁至关重要。 通过采用将修补与强大的安全措施和持续监控相结合的整体方法,组织可以更好地保护其系统和数据免受不断演变的安全风险的侵害。

修补是会发生的,但是通常(例如在这种情况下使用 log4j)它发生得不够快并且新的 CVE 会迅速被识别,因此无论修补得如何并且更新得如何,组织都必须在其应用前拥有全面的安全保护层。 使用 F5 的分布式云 Web 应用程序和 API 保护(WAAP)等解决方案保护内部和面向 Web 的应用程序对于在组织处理补丁和更新积压工作时填补漏洞至关重要。


一些资源和相关链接: