自从log4j 漏洞在网络安全社区引起轩然大波以来,已经过去了 18 个多月,但最近的报告表明,截至 2022 年 10 月 1 日,仍有高达 40% 的 log4j 下载容易受到攻击, 72% 的组织仍然容易受到 log4j 的攻击。 仅在 2023 年 5 月,我们的F5 分布式云平台就帮助客户抵御了超过 100 万次 log4j 攻击尝试,这些攻击尝试通过 Web 应用程序和 API 保护功能成功缓解。
这只是 CVE 的一个例子,突显了组织在努力跟上 CVE 补救管理时所面临的持续挑战,而且这个问题只会继续变得更大。 发布的 CVE 数量正在加速增长, F5 实验室预计,到 2025 年,每周发布新 CVE 的速度将激增至 500 个。 自 log4j 漏洞曝光以来已经过去了近 2 年,随着问题的不断演变,各组织仍在努力追赶。 尽管已经有补丁和更新可用,但仍然有许多因素导致了像 log4j 这样的持续性漏洞。
由于信息有限或资源有限,无法及时了解最新的安全公告,新漏洞的数量和频率使得组织难以跟上(甚至可能没有意识到)漏洞的出现。 一旦发现漏洞,修补易受攻击的系统可能会很复杂,特别是在系统互联的大型组织中,需要付出大量努力和协调,从而导致较长的修补周期。 大多数组织中都混合了传统和现代基础设施、系统和应用,这使得情况变得更加复杂,在尝试实施关键更新时可能会产生兼容性问题、高成本或不便的时间承诺。 此外,复杂的修补和更新是间接依赖关系,可能存在于软件供应链或基础设施组件中,即使组织不直接使用易受攻击的系统,也可能是一个盲点。 就像软件代码本身一样,人为错误和疏忽也会阻碍缓解工作,因为开发人员或管理员可能会忽视修补的需要或错误配置系统。 最后,具有复杂 IT 基础设施或规避风险文化的组织可能会由于广泛的测试、对中断的担忧或业务优先级的竞争而延迟采用补丁。 除了所有这些复杂性之外,大多数组织都存在人手不足的情况,特别是在安全领域。 那么,在他们疯狂地修补和更新系统和应用的同时,他们该如何跟上步伐呢?
修补是会发生的,但是通常(例如在这种情况下使用 log4j)它发生得不够快并且新的 CVE 会迅速被识别,因此无论修补得如何并且更新得如何,组织都必须在其应用前拥有全面的安全保护层。 使用 F5 的分布式云 Web 应用程序和 API 保护(WAAP)等解决方案保护内部和面向 Web 的应用程序对于在组织处理补丁和更新积压工作时填补漏洞至关重要。
一些资源和相关链接: