Log4j 漏洞： 组织是否仍面临风险？

这只是 CVE 的一个例子，突显了组织在努力跟上 CVE 补救管理时所面临的持续挑战，而且这个问题只会继续变得更大。 发布的 CVE 数量正在加速增长， F5 实验室预计，到 2025 年，每周发布新 CVE 的速度将激增至 500 个。 自 log4j 漏洞曝光以来已经过去了近 2 年，随着问题的不断演变，各组织仍在努力追赶。 尽管已经有补丁和更新可用，但仍然有许多因素导致了像 log4j 这样的持续性漏洞。

由于信息有限或资源有限，无法及时了解最新的安全公告，新漏洞的数量和频率使得组织难以跟上（甚至可能没有意识到）漏洞的出现。 一旦发现漏洞，修补易受攻击的系统可能会很复杂，特别是在系统互联的大型组织中，需要付出大量努力和协调，从而导致较长的修补周期。 大多数组织中都混合了传统和现代基础设施、系统和应用，这使得情况变得更加复杂，在尝试实施关键更新时可能会产生兼容性问题、高成本或不便的时间承诺。 此外，复杂的修补和更新是间接依赖关系，可能存在于软件供应链或基础设施组件中，即使组织不直接使用易受攻击的系统，也可能是一个盲点。 就像软件代码本身一样，人为错误和疏忽也会阻碍缓解工作，因为开发人员或管理员可能会忽视修补的需要或错误配置系统。 最后，具有复杂 IT 基础设施或规避风险文化的组织可能会由于广泛的测试、对中断的担忧或业务优先级的竞争而延迟采用补丁。 除了所有这些复杂性之外，大多数组织都存在人手不足的情况，特别是在安全领域。 那么，在他们疯狂地修补和更新系统和应用的同时，他们该如何跟上步伐呢？