《網(wǎng)絡(luò )安全2022：守望高質(zhì)量》報告解讀 | 回顧供應鏈安全事件，展望2022網(wǎng)絡(luò )安全風(fēng)向

2021年末，Log4j2漏洞爆發(fā)，引發(fā)了一場(chǎng)供應鏈安全危機，其影響范圍極為廣泛，同時(shí)也伴隨著(zhù)巨大的危害性。通過(guò)仔細分析此次供應鏈安全事件的特點(diǎn)不難看出，這是一起典型的由開(kāi)源軟件所導致的供應鏈安全事件，上游軟件提供商的漏洞殃及了下游產(chǎn)業(yè)的產(chǎn)品提供者，錯綜復雜的依賴(lài)關(guān)系使影響范圍擴大，最終遍及整個(gè)網(wǎng)絡(luò )空間。Log4j2事件為安全廠(chǎng)商與網(wǎng)絡(luò )安全從業(yè)者敲響了警鐘，必須警惕開(kāi)源軟件供應鏈中暗藏的危機，并采取有效行動(dòng)。

Log4j2作為一個(gè)堪比標準庫的基礎日志庫，無(wú)數開(kāi)源 Java 組件都直接或間接依賴(lài)于Log4j2。作為軟件供應鏈中的核心原始組件，Log4j2的自身漏洞帶給整個(gè)軟件供應鏈的影響最為直接、隱秘，影響也最為深遠，它猶如一個(gè)埋藏在命門(mén)處的定時(shí)炸彈，一旦引爆，便是致命打擊。然而，當我們需要探查這個(gè)深埋在系統內部的缺陷，并梳理其影響范圍或判斷其他組件是否存在同樣的安全隱患時(shí)，這又給管理者帶來(lái)了一項極為復雜的工作。

由于Log4j2被引用的廣泛性，其可能存在于系統組件的各個(gè)角落。在組件的集成構建階段，當 Log4j2 作為基礎組件集成到一些核心業(yè)務(wù)組件時(shí)，漏洞也在有意無(wú)意間滲透到了更為上層的核心業(yè)務(wù)中，使產(chǎn)品的核心業(yè)務(wù)暴露出一個(gè)附加的攻擊面。在該階段，由于組件之間的依賴(lài)關(guān)系相對較為清晰，所以當漏洞被引入時(shí)，受到的影響面也較為容易排查。我們往往只需要將代碼倉庫中受影響的組件版本更換為安全的補丁版本或直接移除更換掉即可。

在組件的依賴(lài)使用階段，隨著(zhù)當前軟件系統架構復雜性的提升，組件之間的依賴(lài)深度也逐漸增加。當Log4j2這類(lèi)核心組件受到漏洞影響時(shí)，軟件系統自身的復雜性就會(huì )掩蓋影響，導致整個(gè)軟件系統的攻擊面被隱藏起來(lái)，從而容易被人忽略。所以在該階段排查漏洞影響最為艱難，往往需要安全工程師們進(jìn)行大規模的分析排查、抽絲剝繭，將軟件系統的各種依賴(lài)關(guān)系梳理清楚。站在攻擊、防御的視角觀(guān)察同樣如此，攻擊者及防御者往往需要通過(guò)hook、fuzz等方式測試組件的調用深度，從而找出被隱藏的漏洞觸發(fā)點(diǎn)。

在下游用戶(hù)使用階段，受到的影響則更為被動(dòng)。因為復雜的軟件系統對于身處下游的用戶(hù)來(lái)說(shuō)是一個(gè)黑盒，普通用戶(hù)對于其包含的組件風(fēng)險一無(wú)所知，此時(shí)只能靠有責任心的軟件提供商來(lái)提供運維支持服務(wù)。如果遇到不負責任或者漏洞應急不及時(shí)的供應商，則只能依靠社區建議及旁路的安全設備來(lái)進(jìn)行臨時(shí)舒緩。

隨著(zhù)開(kāi)源軟件應用的不斷普及，軟件開(kāi)發(fā)過(guò)程也越來(lái)越依賴(lài)于組件間的相互調用與組合，以適應不斷變化的市場(chǎng)環(huán)境。但開(kāi)發(fā)者在關(guān)注敏捷高效的同時(shí)，也會(huì )為系統引入新的安全風(fēng)險，開(kāi)源軟件的引入減少了開(kāi)發(fā)時(shí)間，也增加了軟件供應鏈安全的復雜度，尤其是此次Log4j2這樣應用廣泛的基礎組件，在供應鏈的各階段均存在深遠的影響。大型項目中依賴(lài)關(guān)系數量與依賴(lài)層級數量的復雜度提升直接增加了廠(chǎng)商對漏洞的排查難度。對漏洞組件產(chǎn)生間接依賴(lài)的開(kāi)源組件及框架也有安全隱患，因為原始組件被大量引用所造成的二級傳播極大的擴充了Log4j2漏洞的影響范圍。在上游軟件供應鏈產(chǎn)品中累積的漏洞影響，最終會(huì )在下游應用場(chǎng)景中浮現，下游產(chǎn)品服務(wù)提供商應當采取有效手段，對涉及的漏洞資產(chǎn)進(jìn)行排查。

此次暴露的安全問(wèn)題僅僅是供應鏈安全領(lǐng)域的冰山一角，SolarWinds事件、Mimecast事件或類(lèi)似針對供應鏈的APT攻擊等一系列安全事件也都在為我們敲響著(zhù)警鐘。綠盟科技《網(wǎng)絡(luò )安全2022：守望高質(zhì)量》報告對供應鏈安全進(jìn)行了梳理，針對安全事件、政策標準進(jìn)行了分析，并展望2022年供應鏈安全發(fā)展趨勢。同時(shí)，報告也整理了其他網(wǎng)絡(luò )安全領(lǐng)域的發(fā)展趨勢并將其劃分為態(tài)勢篇、威脅篇、數字基礎設施篇，篩選匯聚了綠盟科技2021年在網(wǎng)絡(luò )安全攻防相關(guān)領(lǐng)域的核心研究成果。其中，態(tài)勢篇重點(diǎn)梳理了我國網(wǎng)絡(luò )安全發(fā)展區域的威脅態(tài)勢;威脅篇重點(diǎn)分析了網(wǎng)絡(luò )安全面臨的漏洞、惡意軟件和高級可持續威脅等主要風(fēng)險因素;數字基礎設施篇對網(wǎng)絡(luò )安全基礎設施相關(guān)的熱點(diǎn)事件、市場(chǎng)發(fā)展和領(lǐng)域趨勢進(jìn)行整理。

希望此份報告能引發(fā)大家對網(wǎng)絡(luò )安全發(fā)展趨勢的思考，為讀者帶來(lái)價(jià)值。綠盟科技將依托技術(shù)產(chǎn)品和服務(wù)，秉承“專(zhuān)攻術(shù)業(yè)，成就所托”的宗旨，盡心為用戶(hù)的安全體系賦能，盡力加強用戶(hù)信息化安全體系建設，全力服務(wù)于構筑國家高質(zhì)量發(fā)展的網(wǎng)絡(luò )安全屏障，為全面加強國家網(wǎng)絡(luò )安全保障體系持續貢獻力量。

在綠盟科技公眾號后臺回復“網(wǎng)絡(luò )安全2022”獲取下載鏈接，在綠盟科技官方公眾號中點(diǎn)擊【綠盟精選】-【綠盟書(shū)櫥】可直接閱讀。

免責聲明：市場(chǎng)有風(fēng)險，選擇需謹慎!此文僅供參考，不作買(mǎi)賣(mài)依據。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞： http qiye dzb.jinbaonet.com .html