你怎么能在2021离开Log4J?
在2021个月的最后一个月,由Log4J漏洞发现、发布和补丁迅速涌现,赔率是你修补系统对Log4J开发尝试。至少有些系统,如果不是全部的话。你甚至可能已经安装了最新的补丁–;在撰写本文时,这是2.17.1,但是,如果上一个快速补丁周期持续存在,那么在本文发布时,它可能已经发生了变化。
与此同时,防御者可能一直在加班加点,以填补Log4J带来的安全漏洞,但网络攻击者也是如此。Log4J当之无愧的名声也让网络攻击者注意到了进入目标的潜在途径。此外,虽然log4J有望从头条新闻中消失,但网络攻击者可能会继续试图利用它,以期找到未修补或未完全修补的目标。
由于人为错误仍然占所有安全漏洞的95%,网络攻击者积极依赖这些人为错误进行攻击,并利用由此产生的虚假安全感,假设补丁已成功应用。
Log4J系列是一场完美的风暴,它结合了以下因素,会产生大量修补错误:
1 —急性应激:Log4J被评为数十年来最严重的漏洞,Cloudflare将其定性为“非常糟糕,我们将尝试在默认情况下为所有@Cloudflare客户提供至少一些保护,即使是没有WAF的免费客户。”
在网络攻击者利用任何漏洞之前进行修补的压力很大。随着新补丁发布和受影响供应商名单的增加,危机进一步恶化,压力只会加剧。然而,2015年美国宇航局的一项研究表明,“环境压力会对飞行员以及其他领域的专家的认知和技能表现产生负面影响。”
2 — 疯狂的修补周期:从12月6日到12月27日,发布了四个不同的补丁,每个补丁都包含一个新版本的Log4J,因此每个补丁都需要升级到一个新版本,并且不破坏任何功能。在如此短的时间内进行如此多的更新会对补丁价值的信任程度产生负面影响,我会增加修补错误或疏忽的几率。这对网络攻击者来说是个好消息,他们可能会在未来数月乃至数年内继续将Log4J漏洞武器化。
针对当前和未来Log4J相关漏洞的最佳防御措施是验证您的补丁是否全面且充分应用。运行Log4J更新的漏洞扫描程序是一个很好的起点,但不幸的是,没有一个扫描程序可以发现所有间接或可传递的Log4J依赖项,尤其是当它作为一个缺乏Log4J明确定义的可传递依赖项引入时。
扫描仪的Log4J盲点意味着通过攻击性测试验证修补过程的效率是非选择性的必要。此方法确定您为转移Log4J格式错误的请求而设置的规则是否有效,或者是否需要进行更多调整。log4J执行方法可以由红队开箱即用。
使用这些攻击性测试技术,一些客户在供应商发布补丁之前有效地检测到了由供应链引发的Log4J漏洞。
运行全面的持续安全验证的好处是,由此产生的第一方和第三方安全控制的收紧确实限制了未知未知因素的暴露,因为它暴露了弱点,并提供了关闭弱点的可行建议。
避免因急性压力、疯狂的修补周期和隐藏实例的致命组合而产生的风险,无论是对于Log4J还是下一个大事件–;甚至小的–;持续验证不仅可以扫描漏洞,还可以安全地测试生产安全负载是否被有效检测和停止,并彻底评估修补前后安全策略和控制措施的有效性。
有关更多信息,请访问Cymate。通用域名格式。
