4 年首次出现在 Apache Log2021j 中的广泛漏洞 会继续被剥削,甚至可能比我们迄今为止看到的更糟糕。 这些威胁更令人担忧的方面是,它们很有可能在未来数月或数年内继续被利用。
国土安全部的网络安全审查委员会于 2021 年首次亮相,并于 2022 年发布了其 就职安全报告 (PDF)。 在其中,董事会将 Log4j 称为“地方性漏洞”,主要是因为没有针对 Log4j 的全面“客户列表”,这使得跟上漏洞的步伐几乎是不可能完成的任务。 一个联邦内阁部门甚至在其 Log33,000j 响应上花费了 4 小时。
市场上的许多组织和安全解决方案都无法识别可利用性和漏洞之间的区别——这为攻击者提供了进行恶意活动的机会。
可利用性与漏洞
当今网络安全的关键问题之一是了解漏洞及其严重程度之间的区别。 在衡量可利用性和漏洞时,安全威胁是在您的企业内可利用还是只是“易受攻击”并且不能阻碍业务或影响关键资产之间存在很大差异。 安全团队花费太多时间不了解两者之间的区别,并在每个漏洞出现时对其进行修复,而不是优先考虑可利用的漏洞。
每家公司都有数以千计的常见漏洞和暴露 (CVE),其中许多在通用漏洞评分系统 (CVSS) 中得分很高,因此不可能全部修复。 为了解决这个问题,希望基于风险的漏洞管理 (RBVM) 工具能够 通过澄清什么是可利用的来更容易地确定优先级.
然而,将 CVSS 分数与 RBVM 威胁情报相结合的安全优先级排序方法并不能提供最佳结果。 即使在过滤并查看可在野外利用的内容之后,安全团队仍然有太多需要处理的问题,因为列表很长且难以管理。 仅仅因为 CVE 今天没有漏洞并不意味着它下周不会有漏洞。
作为回应,公司一直在添加预测风险人工智能,这可以帮助用户了解未来是否可能利用 CVE。 这仍然不够,并导致太多问题需要解决。 数以千计的漏洞仍然会显示出可利用的漏洞,但许多漏洞将具有必须满足的其他条件集才能真正利用该问题。
例如,对于 Log4j,需要识别以下参数:
- 易受攻击的 Log4j 库是否存在?
- 它是由正在运行的 Java 应用程序加载的吗?
- 是否启用了 JNDI 查找?
- Java是否监听远程连接,是否有其他机器的连接?
如果不满足条件和参数,则该漏洞并不严重,不应优先处理。 即使一个漏洞可以在机器上被利用,那又如何呢? 该机器是否非常关键,或者它可能没有连接到任何关键或敏感资产?
也有可能这台机器并不重要,但它可以让攻击者以更隐蔽的方式继续攻击关键资产。 换句话说,上下文是关键——此漏洞是否位于关键资产的潜在攻击路径上? 是否足以在阻塞点(多个攻击路径的交叉点)切断漏洞以阻止攻击路径到达关键资产?
安全团队讨厌漏洞处理过程和他们的解决方案,因为漏洞越来越多——没有人能够完全清除历史记录。 但如果他们能 专注于可以创造的东西 损伤 对关键资产,他们可以更好地了解从哪里开始。
打击 Log4j 漏洞
好消息是,适当的漏洞管理可以通过识别存在潜在利用风险的位置来帮助减少和修复以 Log4j 为中心的攻击的风险。
漏洞管理是网络安全的一个重要方面,对于确保系统和数据的安全性和完整性是必要的。 然而,这不是一个完美的过程,尽管尽最大努力识别和缓解漏洞,系统中仍然存在漏洞。 定期审查和更新漏洞管理流程和策略非常重要,以确保它们有效并及时解决漏洞。
漏洞管理的重点不应仅放在漏洞本身,还应放在潜在的利用风险上。 重要的是要确定攻击者可能获得网络访问权限的点,以及他们可能采取的危害关键资产的路径。 减轻特定漏洞风险的最有效和最具成本效益的方法是识别漏洞、错误配置和可能被攻击者利用的用户行为之间的联系,并在漏洞被利用之前主动解决这些问题。 这有助于阻止攻击并防止对系统造成损害。
您还应该执行以下操作:
- 补丁: 识别易受 Log4j 攻击的所有产品。 这可以手动完成,也可以使用开源扫描仪完成。 如果为您的其中一个易受攻击的产品发布了相关补丁,请尽快修补系统。
- 解决方法: 在 Log4j 版本 2.10.0 及更高版本上,在 Java CMD 行中,设置以下内容:log4j2.formatMsgNoLookups=true
- 块: 如果可能,请在您的 Web 应用程序防火墙中添加一条规则以阻止:“jndi:”
完美的安全性是一项无法实现的壮举,因此将完美作为善的敌人是没有意义的。 相反,应专注于确定和锁定潜在攻击路径的优先级,以持续改善安全态势。 识别并现实地了解什么是脆弱的,什么是可利用的可以帮助做到这一点,因为它将允许战略性地将资源集中到最重要的关键领域。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-
- 000
- 10
- 2021
- 2022
- 7
- a
- 对,能力--
- 关于
- 以上
- ACCESS
- 活动
- 通
- 地址
- 后
- AI
- 所有类型
- 和
- 阿帕奇
- 出现
- 应用领域
- 方法
- 地区
- 方面
- 财富
- 办公室文员:
- 攻击
- 攻击
- 因为
- before
- 作为
- 最佳
- 更好
- 之间
- 大
- 阻止
- 板
- 商业
- 被称为
- 不能
- 携带
- 机会
- 打击
- 结合
- 相当常见
- 公司
- 公司
- 全面
- 妥协
- 条件
- 已联繫
- 地都
- 连接
- 上下文
- 继续
- 经济有效
- 可以
- 危急
- 顾客
- 切
- CVE
- 网络
- 网络安全
- data
- 日期
- 开张
- 问题类型
- 国土安全部
- 尽管
- 差异
- 破坏
- 向下
- 每
- 更容易
- 有效
- 高效
- 工作的影响。
- enable
- 启用
- 更多
- 确保
- 保证
- 甚至
- EVER
- 例子
- 存在
- 利用
- 开发
- 剥削
- 曝光
- 非常
- 失败
- 功绩
- 联邦
- 过滤
- 火墙
- (名字)
- 固定
- 专注焦点
- 以下
- 止
- 充分
- 未来
- 非常好
- 处理
- 帮助
- 相关信息
- 高
- 阻碍
- 家园
- 国土安全部
- 抱有希望
- HOURS
- 但是
- HTTPS
- 确定
- 鉴定
- 确定
- 重要
- 重要方面
- 不可能
- 改善
- in
- 其他
- 代替
- 诚信
- 英特尔
- 路口
- 问题
- IT
- 爪哇岛
- 保持
- 键
- 信息
- 离开
- 自学资料库
- Line
- 清单
- 听力
- 日志4j
- 长
- 寻找
- 查找
- 机
- 机
- 制作
- 颠覆性技术
- 方式
- 手动
- 许多
- 市场
- 问题
- 测量
- 可能
- 减轻
- 个月
- 更多
- 最先进的
- 多
- 必要
- 需求
- 网络
- 消息
- 下页
- 下周
- 一
- 打开
- 开放源码
- ZAP优势
- 最佳
- 组织
- 其他名称
- 参数
- 特别
- 打补丁
- 径
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 可能
- 潜力
- 可能
- 准备
- 当下
- 防止
- 优先级
- 优先
- 优先顺序
- 市场问题
- 过程
- 过程
- 核心产品
- 正确
- 提供
- 达到
- 现实
- 减少
- 经常
- 发布
- 相应
- 远程
- 资源
- 响应
- 成果
- 检讨
- 风险
- 风险
- 第
- 运行
- 实现安全
- 得分
- 保安
- 感
- 敏感
- 集
- 套数
- 应该
- 显示
- 自
- 石板
- So
- 解决方案
- 来源
- 花
- 花费
- 开始
- 留
- 仍
- Stop 停止
- 策略
- 系统
- 产品
- 采取
- 任务
- 队
- 其
- 他们自己
- 数千
- 威胁
- 威胁
- 次
- 至
- 今晚
- 也有
- 工具
- 对于
- 理解
- 理解
- 更新
- 用户
- 用户
- Ve
- 与
- 漏洞
- 漏洞
- 脆弱
- 方法
- 卷筒纸
- Web应用程序
- 周
- 什么是
- 什么是
- 是否
- 这
- 广泛
- Wild!!!
- 将
- 中
- 韩元
- 话
- 年
- 完全
- 您一站式解决方案
- 和风网