在應對Log4Shell問題上 企業哪些安全實踐起了作用?
現在,讓我們一起來回顧一下Log4j漏洞 (CVE-2021-44228) 事情是如何發展的。在面對過去10年最顯著的弱點之一時,哪些策略起了作用?
Log4j是一種Java日誌記錄實用程式,幾乎被Internet上所有基於Java的產品、工具和服務所使用。如果您曾經在網站上看到錯誤頁面或輸入錯誤的憑據,那麼您很可能在某個時候生成了由 Log4j 處理的事件。將特製的字串注入到 Log4j 處理的事件中會導致 Log4j 查詢任意外部 URL 並將其作為 Java 物件載入。然後,攻擊者可以使用這個漏洞(稱為 Log4Shell)來強制受害者相對容易地下載、安裝和執行外部託管的惡意負載。
有以下安全實踐的組織可能為Log4Shell做好了準備或做出了有效的響應。
良好的資產管理
擁有全面和最新的資產管理系統的組織,在快速識別易受攻擊的系統、評估成功開發的潛在“爆炸半徑”和量化其整體風險更容易。他們還發現,對脆弱的主機應用緊急補丁、隔離或監控措施更容易。
瞭解軟體供應鏈
透過對軟體供應鏈所包含的庫、依賴項及程式碼安全進行很好的瞭解,組織可以迅速識別出脆弱的第三方程式碼。在軟體開發週期進行 靜態應用安全測試或動態應用安全測試,不但可以增強對程式碼的安全可見性,也有利於向上遊程式碼維護者報告漏洞。
集中記錄
但總的來說,擁有一箇中心位置來儲存和檢視所有潛在受影響裝置的日誌,大大提高了事件響應的速度和易用性,使得增加的攻擊面值得冒險。
對於Log4Shell,集中式日誌記錄無疑是一把雙刃劍。一方面,將事件日誌傳送到主機之外可以保證狡猾的攻擊者無法在SOC分析人員看到它們之前消除成功利用的跡象。另一方面,集中式日誌不可避免地為基於日誌的攻擊(如Log4Shell)提供了更廣闊的攻擊面。
可靠的威脅情報
利用Log4Shell的嘗試(至少在最初)很容易被自動機和分析人員檢測到。在漏洞公佈後的幾天裡,快速獲取和分發危害指標(ioc)的能力至關重要。隨著攻擊者變得越來越複雜,部署了各種各樣的程式碼混淆方法,新的IOCs的快速共享變得更加關鍵。
搜尋和警報
如果沒有正確的工具和培訓來利用它們,集中式日誌記錄和良好的威脅情報將一無是處。部署了EDR/NDR/SIEM解決方案的組織,以及訓練有素的工作人員,都能夠很好地檢測並自動檢測利用Log4Shell的嘗試。
出口網路過濾
儘管Log4Shell的影響深遠,但對於那些準備充分的人來說,緩解漏洞並不是很難。確保攻擊者無法利用該漏洞的最直接的技術是阻止HTTPS或LDAP流量離開網路。
阻止出站請求並不能解決問題的根本原因,但可以防止攻擊者在脆弱的主機上安裝惡意負載。正確配置後,出站網路過濾可以記錄被阻止的利用嘗試,幫助引導SOC分析師和事件響應人員應對受影響的系統。
嚴格的DNS策略
聯絡惡意外部主機是成功進行 Log4Shell 攻擊的先決條件。透過將網路名稱解析僅限於內部資源,組織可以阻止一些(但不是全部)下載惡意負載的嘗試。
雖然這種防禦技術並不完美——攻擊者可能會利用IP地址或在已經被破壞的內部資源上託管惡意Java物件,從而破壞這種防禦技術——這是一種廉價而有效的方法,可以讓攻擊者更加難以對付。
結論
Log4Shell 在“縱深防禦”的價值方面是一個優秀的研究案例。在整個網路中,多個不完整的安全檢測和緩解策略構成了一個整體,而不是每個部分的總和。
那些花時間和精力進行安全檢測、資產管理和集中日誌記錄來了解他們的基礎設施安全性的組織,能夠更好地和全面地對一個新的和以前未見過的漏洞快速做出反應。
不是每個問題都需要新的解決方案。及時的安全檢測、良好的“眼力”加上對現有系統(如防火牆和名稱伺服器)相結合,通常會給SOC團隊提供所需的修補時間。
Log4Shell在一定程度上影響了我們所有人,但是在漏洞宣佈之前已經做好了安全防禦準備和響應機制的組織更可以快速、全面、有條不紊地解決。
文章來源:
https://www.helpnetsecurity.com/2022/02/15/log4j-vulnerability/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2855889/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 企業該如何應對雲端計算中安全問題
- CRM系統對企業的作用有哪些?
- 企業在實施採購管理時需要注意哪些問題?
- cms企業建站內容應避免哪些問題?
- 大資料對企業來說都有哪些作用大資料
- 電商企業在實施ERP專案時的應對策略有哪些?
- 行業分析| 智慧頭盔在快對講上的應用與實踐行業
- 企業安全實踐經驗分享
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- 上雲安全攻略 | 零售企業如何應對雲上安全新挑戰?
- CRM能解決哪些企業管理問題?
- 企業管理系統上線後可能會面臨哪些問題?
- 企業搭建直播平臺的實際作用有哪些
- 移動OA系統對企業有哪些幫助和作用?
- 企業原始碼管理的安全問題原始碼
- 分析CRM能解決哪些企業管理問題?
- 能解決哪些企業管理問題的CRM?
- 使用代理IP抓取社交媒體資料對企業有哪些作用?
- 行業實踐專欄上線|互娛領域專家解讀 Flink 企業應用實踐行業
- 大資料應用需注意哪些安全問題大資料
- 工業網際網路供應鏈的安全問題及應對思路
- 在企業 CRM 中應收集哪些有用資料?
- 解決軟體供應鏈安全問題需要關注哪些問題
- CRM解決企業面臨的哪些問題?
- 線上FullGC問題排查實踐——手把手教你排查線上問題GC
- 大資料BI系統搭建對企業經營的作用有哪些大資料
- 企業落地Kubernetes的問題與對策
- 人工智慧企業實施精益生產能解決哪些問題?人工智慧
- 企業戰略的具體作用有哪些?
- IP地址在網路安全行業有哪些應用?行業
- 容器技術在企業落地的最佳實踐
- DevOps 在企業專案中的實踐落地dev
- 雲安全企業有哪些?哪些比較知名?
- 《個人資訊保護法》今天透過,企業應該注意哪些問題?
- 2022 SDC 議題 | 面向業務守護的移動安全對抗實踐
- 企業實施定製鞋廠ERP軟體需要注意哪些問題?
- 大資料在製造業中有哪些作用大資料
- Android APP安全問題應對辦法的探討AndroidAPP