當(dāng)前位置:首頁 >  IDC >  安全 >  正文

《網(wǎng)絡(luò)安全2022:守望高質(zhì)量》報告解讀 | 回顧供應(yīng)鏈安全事件,展望2022網(wǎng)絡(luò)安全風(fēng)向

 2022-06-20 16:05  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

2021年末,Log4j2漏洞爆發(fā),引發(fā)了一場供應(yīng)鏈安全危機,其影響范圍極為廣泛,同時也伴隨著巨大的危害性。通過仔細分析此次供應(yīng)鏈安全事件的特點不難看出,這是一起典型的由開源軟件所導(dǎo)致的供應(yīng)鏈安全事件,上游軟件提供商的漏洞殃及了下游產(chǎn)業(yè)的產(chǎn)品提供者,錯綜復(fù)雜的依賴關(guān)系使影響范圍擴大,最終遍及整個網(wǎng)絡(luò)空間。Log4j2事件為安全廠商與網(wǎng)絡(luò)安全從業(yè)者敲響了警鐘,必須警惕開源軟件供應(yīng)鏈中暗藏的危機,并采取有效行動。

Log4j2作為一個堪比標(biāo)準(zhǔn)庫的基礎(chǔ)日志庫,無數(shù)開源 Java 組件都直接或間接依賴于Log4j2。作為軟件供應(yīng)鏈中的核心原始組件,Log4j2的自身漏洞帶給整個軟件供應(yīng)鏈的影響最為直接、隱秘,影響也最為深遠,它猶如一個埋藏在命門處的定時炸彈,一旦引爆,便是致命打擊。然而,當(dāng)我們需要探查這個深埋在系統(tǒng)內(nèi)部的缺陷,并梳理其影響范圍或判斷其他組件是否存在同樣的安全隱患時,這又給管理者帶來了一項極為復(fù)雜的工作。

由于Log4j2被引用的廣泛性,其可能存在于系統(tǒng)組件的各個角落。在組件的集成構(gòu)建階段,當(dāng) Log4j2 作為基礎(chǔ)組件集成到一些核心業(yè)務(wù)組件時,漏洞也在有意無意間滲透到了更為上層的核心業(yè)務(wù)中,使產(chǎn)品的核心業(yè)務(wù)暴露出一個附加的攻擊面。在該階段,由于組件之間的依賴關(guān)系相對較為清晰,所以當(dāng)漏洞被引入時,受到的影響面也較為容易排查。我們往往只需要將代碼倉庫中受影響的組件版本更換為安全的補丁版本或直接移除更換掉即可。

在組件的依賴使用階段,隨著當(dāng)前軟件系統(tǒng)架構(gòu)復(fù)雜性的提升,組件之間的依賴深度也逐漸增加。當(dāng)Log4j2這類核心組件受到漏洞影響時,軟件系統(tǒng)自身的復(fù)雜性就會掩蓋影響,導(dǎo)致整個軟件系統(tǒng)的攻擊面被隱藏起來,從而容易被人忽略。所以在該階段排查漏洞影響最為艱難,往往需要安全工程師們進行大規(guī)模的分析排查、抽絲剝繭,將軟件系統(tǒng)的各種依賴關(guān)系梳理清楚。站在攻擊、防御的視角觀察同樣如此,攻擊者及防御者往往需要通過hook、fuzz等方式測試組件的調(diào)用深度,從而找出被隱藏的漏洞觸發(fā)點。

在下游用戶使用階段,受到的影響則更為被動。因為復(fù)雜的軟件系統(tǒng)對于身處下游的用戶來說是一個黑盒,普通用戶對于其包含的組件風(fēng)險一無所知,此時只能靠有責(zé)任心的軟件提供商來提供運維支持服務(wù)。如果遇到不負責(zé)任或者漏洞應(yīng)急不及時的供應(yīng)商,則只能依靠社區(qū)建議及旁路的安全設(shè)備來進行臨時舒緩。

隨著開源軟件應(yīng)用的不斷普及,軟件開發(fā)過程也越來越依賴于組件間的相互調(diào)用與組合,以適應(yīng)不斷變化的市場環(huán)境。但開發(fā)者在關(guān)注敏捷高效的同時,也會為系統(tǒng)引入新的安全風(fēng)險,開源軟件的引入減少了開發(fā)時間,也增加了軟件供應(yīng)鏈安全的復(fù)雜度,尤其是此次Log4j2這樣應(yīng)用廣泛的基礎(chǔ)組件,在供應(yīng)鏈的各階段均存在深遠的影響。大型項目中依賴關(guān)系數(shù)量與依賴層級數(shù)量的復(fù)雜度提升直接增加了廠商對漏洞的排查難度。對漏洞組件產(chǎn)生間接依賴的開源組件及框架也有安全隱患,因為原始組件被大量引用所造成的二級傳播極大的擴充了Log4j2漏洞的影響范圍。在上游軟件供應(yīng)鏈產(chǎn)品中累積的漏洞影響,最終會在下游應(yīng)用場景中浮現(xiàn),下游產(chǎn)品服務(wù)提供商應(yīng)當(dāng)采取有效手段,對涉及的漏洞資產(chǎn)進行排查。

此次暴露的安全問題僅僅是供應(yīng)鏈安全領(lǐng)域的冰山一角,SolarWinds事件、Mimecast事件或類似針對供應(yīng)鏈的APT攻擊等一系列安全事件也都在為我們敲響著警鐘。綠盟科技《網(wǎng)絡(luò)安全2022:守望高質(zhì)量》報告對供應(yīng)鏈安全進行了梳理,針對安全事件、政策標(biāo)準(zhǔn)進行了分析,并展望2022年供應(yīng)鏈安全發(fā)展趨勢。同時,報告也整理了其他網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展趨勢并將其劃分為態(tài)勢篇、威脅篇、數(shù)字基礎(chǔ)設(shè)施篇,篩選匯聚了綠盟科技2021年在網(wǎng)絡(luò)安全攻防相關(guān)領(lǐng)域的核心研究成果。其中,態(tài)勢篇重點梳理了我國網(wǎng)絡(luò)安全發(fā)展區(qū)域的威脅態(tài)勢;威脅篇重點分析了網(wǎng)絡(luò)安全面臨的漏洞、惡意軟件和高級可持續(xù)威脅等主要風(fēng)險因素;數(shù)字基礎(chǔ)設(shè)施篇對網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施相關(guān)的熱點事件、市場發(fā)展和領(lǐng)域趨勢進行整理。

希望此份報告能引發(fā)大家對網(wǎng)絡(luò)安全發(fā)展趨勢的思考,為讀者帶來價值。綠盟科技將依托技術(shù)產(chǎn)品和服務(wù),秉承“專攻術(shù)業(yè),成就所托”的宗旨,盡心為用戶的安全體系賦能,盡力加強用戶信息化安全體系建設(shè),全力服務(wù)于構(gòu)筑國家高質(zhì)量發(fā)展的網(wǎng)絡(luò)安全屏障,為全面加強國家網(wǎng)絡(luò)安全保障體系持續(xù)貢獻力量。

在綠盟科技公眾號后臺回復(fù)“網(wǎng)絡(luò)安全2022”獲取下載鏈接,在綠盟科技官方公眾號中點擊【綠盟精選】-【綠盟書櫥】可直接閱讀。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學(xué)計算機學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦