FTC警告企业尽快修复Log4j漏洞，否则可能要面临法律后果

Log4j Java日志记录包中发现的漏洞让全球的网络安全专业人员头疼，在2022年1月进行的最新Neustar国际安全委员会(NISC)调查中，多达75%的报告受到Log4j的影响，21%的报告表示受到很大影响。

FTC在本周的警报中警告说，这个“严重”漏洞于12月首次发现，正在被越来越多的攻击者利用，并且对数百万消费产品构成“严重风险”。公开信敦促各组织减少漏洞，以减少对消费者造成伤害的可能性并避免潜在的法律诉讼。以下为原文内容：

“当一个漏洞被发现并被利用时，它有可能导致个人信息的丢失或泄露、经济损失和其他不可逆转的伤害，”FTC表示。“采取合理措施减轻已知软件漏洞的责任涉及法律，包括《联邦贸易委员会法》和《格雷姆-里奇-比利雷法案》。依赖Log4j的公司及其供应商现在采取行动以减少对消费者造成伤害的可能性至关重要，并避免FTC法律诉讼造成的损害。

因未能修补已知漏洞而导致1.47亿消费者个人信息。根据Equifax的投诉，Equifax同意支付7亿美元来解决联邦贸易委员会、消费者金融保护局和所有50个州的诉讼。

因此，接下来，FTC打算利用其所有法律权力追查未能采取合理措施保护消费者数据免受Log4j2漏洞或未来类似已知漏洞的公司。

Log4j漏洞降低了安全专业人员对开源工具的信任

调查显示：Log4j最常见的影响是IT和安全团队需要在假期工作以评估风险并进行关键更改以保护基础设施和数据(52%)，然后重新评估软件供应链安全实践(45%)和软件购买决策(44%)。很大一部分受访者也开始重新评估现有的供应商关系(35%)，或者表示该漏洞降低了他们对开源工具的信任(34%)。

87%的受访者表示，鉴于Log4j带来的网络风险水平，政府监管机构（如美国联邦贸易委员会）应对未能修补漏洞的组织采取法律行动。Log4j威胁的消息使全球的安全和应用程序团队陷入了疯狂的活动。

除了Log4j，在2021年11月和2021年12月的报告期内，被调查的安全专业人员还被问及他们最关心的其他问题。21%的受访者将分布式拒绝服务(DDoS)列为最关心的问题，其次是勒索软件和系统妥协均为18%。

勒索软件、DDoS攻击和有针对性的黑客攻击是报告期内最有可能被视为增加的威胁。在此期间，组织应对威胁的主要能力是冒充供应商或客户、有针对性的黑客攻击和勒索软件。

深入了解调查参与者最关心的问题，DDoS攻击的更多细节表明，84%的企业在某个时候受到了DDoS攻击。57%的响应组织表示他们将DDoS缓解措施外包，60%的组织表示启动缓解措施通常需要60秒到5分钟。