在應對Log4Shell問題上 企業哪些安全實踐起了作用?

現在，讓我們一起來回顧一下Log4j漏洞 (CVE-2021-44228) 事情是如何發展的。在面對過去10年最顯著的弱點之一時，哪些策略起了作用?

Log4j是一種Java日誌記錄實用程式，幾乎被Internet上所有基於Java的產品、工具和服務所使用。如果您曾經在網站上看到錯誤頁面或輸入錯誤的憑據，那麼您很可能在某個時候生成了由 Log4j 處理的事件。將特製的字串注入到 Log4j 處理的事件中會導致 Log4j 查詢任意外部 URL 並將其作為 Java 物件載入。然後，攻擊者可以使用這個漏洞(稱為 Log4Shell)來強制受害者相對容易地下載、安裝和執行外部託管的惡意負載。

有以下安全實踐的組織可能為Log4Shell做好了準備或做出了有效的響應。

良好的資產管理

擁有全面和最新的資產管理系統的組織，在快速識別易受攻擊的系統、評估成功開發的潛在“爆炸半徑”和量化其整體風險更容易。他們還發現，對脆弱的主機應用緊急補丁、隔離或監控措施更容易。

瞭解軟體供應鏈

透過對軟體供應鏈所包含的庫、依賴項及程式碼安全進行很好的瞭解，組織可以迅速識別出脆弱的第三方程式碼。在軟體開發週期進行 靜態應用安全測試或動態應用安全測試，不但可以增強對程式碼的安全可見性，也有利於向上遊程式碼維護者報告漏洞。

集中記錄

但總的來說，擁有一箇中心位置來儲存和檢視所有潛在受影響裝置的日誌，大大提高了事件響應的速度和易用性，使得增加的攻擊面值得冒險。

對於Log4Shell，集中式日誌記錄無疑是一把雙刃劍。一方面，將事件日誌傳送到主機之外可以保證狡猾的攻擊者無法在SOC分析人員看到它們之前消除成功利用的跡象。另一方面，集中式日誌不可避免地為基於日誌的攻擊(如Log4Shell)提供了更廣闊的攻擊面。

可靠的威脅情報

利用Log4Shell的嘗試(至少在最初)很容易被自動機和分析人員檢測到。在漏洞公佈後的幾天裡，快速獲取和分發危害指標(ioc)的能力至關重要。隨著攻擊者變得越來越複雜，部署了各種各樣的程式碼混淆方法，新的IOCs的快速共享變得更加關鍵。

搜尋和警報

如果沒有正確的工具和培訓來利用它們，集中式日誌記錄和良好的威脅情報將一無是處。部署了EDR/NDR/SIEM解決方案的組織，以及訓練有素的工作人員，都能夠很好地檢測並自動檢測利用Log4Shell的嘗試。

出口網路過濾

儘管Log4Shell的影響深遠，但對於那些準備充分的人來說，緩解漏洞並不是很難。確保攻擊者無法利用該漏洞的最直接的技術是阻止HTTPS或LDAP流量離開網路。

阻止出站請求並不能解決問題的根本原因，但可以防止攻擊者在脆弱的主機上安裝惡意負載。正確配置後，出站網路過濾可以記錄被阻止的利用嘗試，幫助引導SOC分析師和事件響應人員應對受影響的系統。

嚴格的DNS策略

聯絡惡意外部主機是成功進行 Log4Shell 攻擊的先決條件。透過將網路名稱解析僅限於內部資源，組織可以阻止一些(但不是全部)下載惡意負載的嘗試。

雖然這種防禦技術並不完美——攻擊者可能會利用IP地址或在已經被破壞的內部資源上託管惡意Java物件，從而破壞這種防禦技術——這是一種廉價而有效的方法，可以讓攻擊者更加難以對付。

結論

Log4Shell 在“縱深防禦”的價值方面是一個優秀的研究案例。在整個網路中，多個不完整的安全檢測和緩解策略構成了一個整體，而不是每個部分的總和。

那些花時間和精力進行安全檢測、資產管理和集中日誌記錄來了解他們的基礎設施安全性的組織，能夠更好地和全面地對一個新的和以前未見過的漏洞快速做出反應。

不是每個問題都需要新的解決方案。及時的安全檢測、良好的“眼力”加上對現有系統(如防火牆和名稱伺服器)相結合，通常會給SOC團隊提供所需的修補時間。

Log4Shell在一定程度上影響了我們所有人，但是在漏洞宣佈之前已經做好了安全防禦準備和響應機制的組織更可以快速、全面、有條不紊地解決。

文章來源：

https://www.helpnetsecurity.com/2022/02/15/log4j-vulnerability/