2021年末,Log4j2漏洞爆發,引發了一場供應鏈安全危機,其影響范圍極為廣泛,同時也伴隨著巨大的危害性。通過仔細分析此次供應鏈安全事件的特點不難看出,這是一起典型的由開源軟件所導致的供應鏈安全事件,上游軟件提供商的漏洞殃及了下游產業的產品提供者,錯綜復雜的依賴關系使影響范圍擴大,最終遍及整個網絡空間。Log4j2事件為安全廠商與網絡安全從業者敲響了警鐘,必須警惕開源軟件供應鏈中暗藏的危機,并采取有效行動。

Log4j2作為一個堪比標準庫的基礎日志庫,無數開源 Java 組件都直接或間接依賴于Log4j2。作為軟件供應鏈中的核心原始組件,Log4j2的自身漏洞帶給整個軟件供應鏈的影響最為直接、隱秘,影響也最為深遠,它猶如一個埋藏在命門處的定時炸彈,一旦引爆,便是致命打擊。然而,當我們需要探查這個深埋在系統內部的缺陷,并梳理其影響范圍或判斷其他組件是否存在同樣的安全隱患時,這又給管理者帶來了一項極為復雜的工作。

由于Log4j2被引用的廣泛性,其可能存在于系統組件的各個角落。在組件的集成構建階段,當 Log4j2 作為基礎組件集成到一些核心業務組件時,漏洞也在有意無意間滲透到了更為上層的核心業務中,使產品的核心業務暴露出一個附加的攻擊面。在該階段,由于組件之間的依賴關系相對較為清晰,所以當漏洞被引入時,受到的影響面也較為容易排查。我們往往只需要將代碼倉庫中受影響的組件版本更換為安全的補丁版本或直接移除更換掉即可。

在組件的依賴使用階段,隨著當前軟件系統架構復雜性的提升,組件之間的依賴深度也逐漸增加。當Log4j2這類核心組件受到漏洞影響時,軟件系統自身的復雜性就會掩蓋影響,導致整個軟件系統的攻擊面被隱藏起來,從而容易被人忽略。所以在該階段排查漏洞影響最為艱難,往往需要安全工程師們進行大規模的分析排查、抽絲剝繭,將軟件系統的各種依賴關系梳理清楚。站在攻擊、防御的視角觀察同樣如此,攻擊者及防御者往往需要通過hook、fuzz等方式測試組件的調用深度,從而找出被隱藏的漏洞觸發點。

在下游用戶使用階段,受到的影響則更為被動。因為復雜的軟件系統對于身處下游的用戶來說是一個黑盒,普通用戶對于其包含的組件風險一無所知,此時只能靠有責任心的軟件提供商來提供運維支持服務。如果遇到不負責任或者漏洞應急不及時的供應商,則只能依靠社區建議及旁路的安全設備來進行臨時舒緩。

隨著開源軟件應用的不斷普及,軟件開發過程也越來越依賴于組件間的相互調用與組合,以適應不斷變化的市場環境。但開發者在關注敏捷高效的同時,也會為系統引入新的安全風險,開源軟件的引入減少了開發時間,也增加了軟件供應鏈安全的復雜度,尤其是此次Log4j2這樣應用廣泛的基礎組件,在供應鏈的各階段均存在深遠的影響。大型項目中依賴關系數量與依賴層級數量的復雜度提升直接增加了廠商對漏洞的排查難度。對漏洞組件產生間接依賴的開源組件及框架也有安全隱患,因為原始組件被大量引用所造成的二級傳播極大的擴充了Log4j2漏洞的影響范圍。在上游軟件供應鏈產品中累積的漏洞影響,最終會在下游應用場景中浮現,下游產品服務提供商應當采取有效手段,對涉及的漏洞資產進行排查。

此次暴露的安全問題僅僅是供應鏈安全領域的冰山一角,SolarWinds事件、Mimecast事件或類似針對供應鏈的APT攻擊等一系列安全事件也都在為我們敲響著警鐘。綠盟科技《網絡安全2022:守望高質量》報告對供應鏈安全進行了梳理,針對安全事件、政策標準進行了分析,并展望2022年供應鏈安全發展趨勢。同時,報告也整理了其他網絡安全領域的發展趨勢并將其劃分為態勢篇、威脅篇、數字基礎設施篇,篩選匯聚了綠盟科技2021年在網絡安全攻防相關領域的核心研究成果。其中,態勢篇重點梳理了我國網絡安全發展區域的威脅態勢;威脅篇重點分析了網絡安全面臨的漏洞、惡意軟件和高級可持續威脅等主要風險因素;數字基礎設施篇對網絡安全基礎設施相關的熱點事件、市場發展和領域趨勢進行整理。

希望此份報告能引發大家對網絡安全發展趨勢的思考,為讀者帶來價值。綠盟科技將依托技術產品和服務,秉承“專攻術業,成就所托”的宗旨,盡心為用戶的安全體系賦能,盡力加強用戶信息化安全體系建設,全力服務于構筑國家高質量發展的網絡安全屏障,為全面加強國家網絡安全保障體系持續貢獻力量。

在綠盟科技公眾號后臺回復“網絡安全2022”獲取下載鏈接,在綠盟科技官方公眾號中點擊【綠盟精選】-【綠盟書櫥】可直接閱讀。

免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。

標簽: 網絡安全 網絡安全:守望高質量