根据总统乔拜登创建的一个新的网络安全小组,去年在一个无处不在的软件中发现的一个计算机漏洞是一个“地方性”问题,可能会带来十年或更长时间的安全风险。
网络安全审查委员会 在周四的一份报告中说,虽然没有任何重大迹象 网络攻击 由于 Log4j 的缺陷,它仍将“在未来几年内被利用”。
“日志4j 是历史上最严重的软件漏洞之一,”董事会主席、国土安全部副部长 Rob Silvers 周三告诉记者。
去年年底公开的 Log4j 漏洞让基于互联网的攻击者可以轻松控制从工业控制系统到 Web 服务器和消费电子产品的所有内容。 该漏洞被利用的第一个明显迹象出现在 我的世界,微软旗下的一款极受欢迎的网络游戏。
该漏洞的发现引发了政府官员的紧急警告以及网络安全专业人员为修补易受攻击的系统所做的巨大努力。
董事会周四表示,“有点令人惊讶”的是,Log4j 漏洞的利用程度低于专家的预期。 董事会还表示,它不知道任何对关键基础设施系统的“重大” Log4j 攻击,但指出一些 网络攻击 去不报告。
董事会表示,未来的攻击很可能在很大程度上是因为 Log4j 经常嵌入其他软件,组织很难在他们的系统中找到运行。
“这个活动还没有结束,”西尔弗斯说。
Log4j 是用 Java 编程语言编写的,用于记录计算机上的用户活动。 它由少数志愿者在开源 Apache 软件基金会的赞助下开发和维护,非常受商业软件开发人员的欢迎。
中国科技巨头的安全研究员 阿里巴巴 24 月 XNUMX 日通知了基金会。开发和发布修复程序花了两周时间。 中国媒体报道称政府处罚 阿里巴巴 因为没有更早地向州政府官员报告该缺陷。
该委员会周四表示,它发现中国政府的漏洞披露政策存在“令人不安的因素”,称这可以让中国国家黑客及早了解他们可能用于窃取商业机密或监视持不同政见者等邪恶手段的计算机漏洞。 中国政府长期以来一直否认在网络空间存在不当行为,并告诉董事会,它鼓励改进有关软件漏洞的信息共享。
董事会就减轻 Log4j 缺陷的影响以及总体上改善网络安全提出了一些建议。 这包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。
网络安全审查委员会以国家运输安全委员会为蓝本,该委员会审查飞机失事和其他重大事故,并由拜登去年 15 月签署的一项行政命令授权。 由 XNUMX 名成员组成的董事会由 FBI、国家安全局和其他政府官员以及私营部门的人士组成。 新委员会的一些支持者批评国土安全部花了这么长时间才启动和运行。
拜登的行政命令指示董事会对大规模的俄罗斯网络间谍活动进行首次审查,该活动被称为 SolarWinds的. 俄罗斯黑客能够入侵多个联邦机构,包括属于国土安全部高级网络安全官员的账户,尽管该活动的全部后果仍不清楚。
Silvers 表示,国土安全部和白宫一致认为,审查 Log4j 缺陷是更好地利用新董事会的专业知识和时间。
