每經(jīng)記者 朱成祥    每經(jīng)編輯 梁梟    

Apache（阿帕奇）Log4j2，對于大部分互聯(lián)網(wǎng)用戶而言是個陌生的詞匯。但在很多程序員眼中，它卻是陪伴自己的好伙伴，每天用于記錄日志。然而，恰恰是這個被無數(shù)程序員每天使用的組件出現(xiàn)漏洞了。這個漏洞危害之大，甚至可能超過“永恒之藍”。

安恒信息高級應急響應總監(jiān)季靖評價稱：“（Apache Log4j2）降低了黑客攻擊的成本，堪稱網(wǎng)絡安全領域20年以來史詩級的漏洞。”有業(yè)內(nèi)人士還認為，這是“現(xiàn)代計算機歷史上最大的漏洞”。

工信部于2021年12月17日發(fā)文提示風險：“阿帕奇Log4j2組件存在嚴重安全漏洞……該漏洞可能導致設備遠程受控，進而引發(fā)敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。”

就連國家政府部門也中招了。2021年12月下旬，比利時國防部承認他們遭受了嚴重的網(wǎng)絡攻擊，該攻擊基于Apache Log4j2相關漏洞，網(wǎng)絡攻擊導致比利時國防部包括郵件系統(tǒng)在內(nèi)的一些業(yè)務癱瘓。

此漏洞“威力”之大，連國家信息安全也受到波及。那么普通企業(yè)，特別是采用云服務的企業(yè)應該如何應對呢？疫情發(fā)生以來，大量企業(yè)、機構加速數(shù)字化進程，成為“云上企業(yè)”。傳統(tǒng)環(huán)境下，企業(yè)對自身的安全體系建設擁有更多掌控權，完成云遷移后，這些企業(yè)的云安全防護是否到位？

二十年一遇安全漏洞來襲：將成“網(wǎng)絡大流感”

2021年12月9日深夜，Apache Log4j2遠程代碼執(zhí)行漏洞攻擊爆發(fā)，一時間各大互聯(lián)網(wǎng)公司“風聲鶴唳”，許多網(wǎng)絡安全工程師半夜醒來，忙著修補漏洞。“聽說各大廠程序員半夜被叫起來改，不改完不讓下班。”相關論壇也對此事議論紛紛。

為何一個安全漏洞的影響力如此之大？安永大中華區(qū)網(wǎng)絡安全與隱私保護咨詢服務主管合伙人高軼峰認為：“影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機備受矚目，造成了全球范圍的影響。”

“Log4j2是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應用于各種業(yè)務系統(tǒng)開發(fā)”，季靖表示，“據(jù)不完全統(tǒng)計，漏洞爆發(fā)后72小時之內(nèi)，受影響的主流開發(fā)框架都超過70個。而這些框架，又被廣泛使用在各個行業(yè)的數(shù)字化信息系統(tǒng)建設之中，比如金融、醫(yī)療、互聯(lián)網(wǎng)等等。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架，因此阿帕奇Log4j2漏洞影響范圍極大。”

除了應用廣泛之外，Apache Log4j2漏洞被利用的成本相對而言也較低，攻擊者可以在不需要認證登錄這種強交互的前提下，構造出惡意的數(shù)據(jù)，通過遠程代碼對有漏洞的系統(tǒng)執(zhí)行攻擊。并且，它還可以獲得服務器的最高權限，最終導致設備遠程受控，進一步造成數(shù)據(jù)泄露，設備服務中斷等危害。

不僅僅攻擊成本低，而且技術門檻也不高。不像2017年爆發(fā)的“永恒之藍”，攻擊工具利用上相對復雜?；贏pache Log4j2漏洞的攻擊者，可以利用很多現(xiàn)成的工具，稍微懂點技術便可以構造更新出一種惡意代碼。

利用難度低、攻擊成本低，意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續(xù)一段時間，這將是一場“網(wǎng)絡安全大流感”。

互聯(lián)網(wǎng)也要“防疫”：企業(yè)不聞不問或?qū)韲乐睾蠊?/h2>

與“流感病毒”的相似之處在于，Apache Log4j2漏洞已經(jīng)產(chǎn)生“變種”。除了先期公布的漏洞CVE-2021-44228，在12月29日，又發(fā)現(xiàn)新的漏洞CVE-2021-44832。而在漏洞曝光和初期修復后，又衍生出大量針對性的攻擊變種，實在是防不勝防。

一方面，漏洞在出現(xiàn)不同的“變種”；另一方面，攻擊者也在尋找新的漏洞利用模式。因此，業(yè)內(nèi)人士普遍預計，Apache Log4j2漏洞帶來的影響長期存在，甚至有專家預計將持續(xù)十年以上。

攻擊者的攻擊方式，也是多種多樣的。比如攻擊者獲取服務器最高權限后，可能在系統(tǒng)代碼里留“后門”，將其變?yōu)榭軝C，用來從事挖礦或者發(fā)動DDoS攻擊等黑產(chǎn)活動。

企業(yè)可以對這個漏洞“不聞不問”嗎？答案顯然是否定的。高軼峰警示稱：“沒有及時認真應對此次Log4j2漏洞危機的企業(yè)，或?qū)⒚媾R著網(wǎng)站篡改、服務中斷、數(shù)據(jù)泄漏等風險。尤其是數(shù)據(jù)泄漏事件，其危害對企業(yè)來說可能是‘毀滅性’的，其中必然涉及直接銷售損失、合規(guī)罰款、對員工生產(chǎn)力影響和長期的商譽損害。數(shù)據(jù)泄漏事件一旦發(fā)生，監(jiān)管部門必然會罰款并提出整改要求，嚴重的會導致失去業(yè)務資質(zhì)以及刑事指控。”

“云上企業(yè)”怎么防護？搭建安全保障體系是關鍵

傳統(tǒng)模式下，安全人員可以在本地檢測、打補丁、修復漏洞。相對于傳統(tǒng)模式，“云上企業(yè)”使用的是云計算、云存儲服務等，沒有自己的機房和服務器。進入云環(huán)境，安全防護的“邊界”不復存在，對底層主機的控制權限也沒有本地那么多，同時還多一層虛擬化方面的攻擊方式。

特別是疫情影響下，大量企業(yè)、機構開啟數(shù)字化轉(zhuǎn)型，從本地服務器遷徙到云服務器。短時間內(nèi)完成云遷移，企業(yè)很可能缺乏對應的云安全管理能力成熟度；同時，往往也面臨著安全能力不足、專業(yè)人手緊缺等情況。

面對這場史詩級的漏洞危機，“云上企業(yè)”應該如何應對呢？

在安恒信息高級產(chǎn)品專家蓋文軒看來：“企業(yè)上云之后，傳統(tǒng)的網(wǎng)絡安全風險依然存在，此外，還會面臨新的安全風險，比如用戶與云平臺之間安全責任邊界劃分等問題。另外，傳統(tǒng)的硬件設備可能不適用于云環(huán)境，因此需要針對特殊情況部署相關安全服務。”

而在安永大中華區(qū)科技風險咨詢服務合伙人趙劍澐看來：“面對快速上云，企業(yè)急需搭建滿足自身業(yè)務發(fā)展與管理要求的安全保障體系。”

那么，對于這些“云上企業(yè)”，究竟是選擇云服務商提供的原生安全服務，還是另尋第三方專業(yè)的安全服務商呢？

蓋文軒認為：“網(wǎng)絡安全服務的時效性是非常關鍵的，如果安全事件發(fā)生后，一個小時快速響應，還是幾個小時甚至一兩天響應，差距是很大的，客戶承擔的風險和損失是持續(xù)的。選擇第三方安全機構專業(yè)性更強，云服務商兼容性更好。”

事實上，目前即使是高度自動化的云原生安全方案，也無法做到完全自主自治，仍然需要合格的云安全服務專業(yè)團隊參與。高軼峰強調(diào)，對于中小型企業(yè)，選擇滿足資質(zhì)的第三方專業(yè)安全機構，能夠保證服務的獨立性，保障工作順利開展及服務質(zhì)量。

云服務商原生安全服務與第三方安全服務并非二選一。趙劍澐認為：“在企業(yè)安全防護體系的構建中，企業(yè)應結合自身安全管理經(jīng)驗，從計算層、網(wǎng)絡層、數(shù)據(jù)層以及安全管理層，考量安全實踐，量體裁衣，選擇適合企業(yè)的安全服務，以構筑全棧安全。”

網(wǎng)絡安全專家談安全實踐：“宜未雨而綢繆”

網(wǎng)站風險的發(fā)現(xiàn)和網(wǎng)站安全防護是一個對專業(yè)性要求較高的工作，很多單位缺乏專業(yè)安全設備和技術人員，業(yè)務系統(tǒng)遭受攻擊后不能及時響應，造成內(nèi)容被篡改、植入暗鏈、黑頁、業(yè)務宕機癱瘓等，引發(fā)負面影響，甚至給網(wǎng)站管理單位帶來嚴重的經(jīng)濟損失。因此，對暴露在互聯(lián)網(wǎng)上的業(yè)務系統(tǒng)開展常態(tài)化安全防護與監(jiān)測尤為必要。

趙劍澐總結稱：“優(yōu)秀的安全實踐‘宜未雨而綢繆，毋臨渴而掘井’。”

對于“云上企業(yè)”而言，安恒玄武盾SaaS服務便是典型的云防護和云監(jiān)測一體化解決方案，幫助用戶在Nday漏洞應急響應場景下，可以有效實現(xiàn)漏洞的安全監(jiān)測、攻擊防護以及7x24小時安全專家值守服務保障，協(xié)助用戶掌握重要信息系統(tǒng)和重點網(wǎng)站的安全態(tài)勢，實現(xiàn)網(wǎng)站和相關業(yè)務系統(tǒng)的防篡改、防入侵、防數(shù)據(jù)泄漏，避免網(wǎng)站安全事件發(fā)生。

行業(yè)數(shù)據(jù)概覽

11月和12月境內(nèi)計算機惡意程序傳播次數(shù)超過19000萬，但是較10月的21000萬有明顯減少。其中11月的惡意計算機程序傳播次數(shù)在第2周達到巔峰，為5367.2萬，12月的在第3周達到高峰，達到6374.1萬。11月總計19294.9萬；12月總計19541.6萬。

在境內(nèi)感染計算機惡意程序主機數(shù)量上，11月每周呈上升趨勢，11月總計397.6萬；12月得到控制，每周呈下降趨勢總計423.7萬。

境內(nèi)被篡改網(wǎng)站總數(shù)上，11月有4767個，12月有6708個，兩個月較10月均有明顯減少；其中政府網(wǎng)站數(shù)量上，12月有36個，較11月34個相差不多，政府網(wǎng)站面對的攻擊依舊不容忽視，要保持警惕；

12月境內(nèi)被植入后門網(wǎng)站總數(shù)累計2062個，較11月的3551個下降41.9%；針對境內(nèi)網(wǎng)站的仿冒網(wǎng)頁數(shù)量，12月有1365個，11月668個，上漲104.3%。由此可見，越到年末，越要重視境內(nèi)的網(wǎng)絡安全。

12月的信息安全漏洞數(shù)量2419個，較11月的2239個上漲8.04%；其中高危漏洞數(shù)量上，12月較11月上漲31.2%。每月都有漏洞利用的事件發(fā)生，針對安全漏洞問題，一定要在正規(guī)途徑下載應用，并及時更新。

上云之后，企業(yè)云安全面臨哪些威脅？

數(shù)據(jù)來源：CSA

發(fā)生在我國云平臺上的各類網(wǎng)絡安全事件數(shù)量占比仍然較高，其中云平臺上遭受大流量DDoS攻擊的事件數(shù)量占境內(nèi)目標遭受大流量DDoS攻擊事件數(shù)的71.2%、被植入后門網(wǎng)站數(shù)量占境內(nèi)全部被植入后門網(wǎng)站數(shù)量的87.1%、被篡改網(wǎng)站數(shù)量占境內(nèi)全部被篡改網(wǎng)站數(shù)量的89.1%。

同時，攻擊者經(jīng)常利用我國云平臺發(fā)起網(wǎng)絡攻擊，其中云平臺作為控制端發(fā)起DDoS攻擊的事件數(shù)量占境內(nèi)控制發(fā)起DDoS攻擊的事件數(shù)量的51.7%、作為攻擊跳板對外植入后門鏈接數(shù)量占境內(nèi)攻擊跳板對外植入后門鏈接數(shù)量的79.3%；作為木馬和僵尸網(wǎng)絡惡意程序控制端控制的IP地址數(shù)量占境內(nèi)全部數(shù)量的65.1%、承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的89.5%。

上述餅狀圖數(shù)據(jù)來源：CNCERT/CC

圖片來源：艾瑞咨詢報告截圖

云安全技術未來5年發(fā)展趨勢

Gartner《2021年中國ICT技術成熟度曲線報告》（Hype Cycle for ICT in China，2021）橫向維度按照技術成熟度分為從新興到成熟的5個階段，縱向維度表現(xiàn)該技術的期望值。此次ICT成熟度曲線對AIOps平臺、數(shù)據(jù)中臺、5G、低代碼、容器即服務、多云、云安全、邊緣計算等20多項新型有重大發(fā)展價值的技術進行分析。

圖片來源：Gartner報告截圖

中國云安全市場空間廣闊。根據(jù)中國信通院數(shù)據(jù)，2019年我國云計算整體市場規(guī)模達1334.5億元，增速38.6%。預計2020年～2022年仍將處于快速增長階段，到2023年市場規(guī)模將超過3754.2億元。中性假設下，安全投入占云計算市場規(guī)模的3%～5%，那么2023年中國云安全市場規(guī)模有望達到112.6億元～187.7億元。

掃描二維碼或點擊「閱讀原文」開啟安全IT運維之路：

封面圖片來源：攝圖網(wǎng)-500530363