2021年末,Log4j2漏洞爆發,引發了一場供應鏈安全危機,其影響範圍極為廣泛,同時也伴隨著巨大的危害性。透過仔細分析此次供應鏈安全事件的特點不難看出,這是一起典型的由開源軟體所導致的供應鏈安全事件,上游軟體提供商的漏洞殃及了下游產業的產品提供者,錯綜複雜的依賴關係使影響範圍擴大,最終遍及整個網路空間。Log4j2事件為安全廠商與網路安全從業者敲響了警鐘,必須警惕開源軟體供應鏈中暗藏的危機,並採取有效行動。
Log4j2作為一個堪比標準庫的基礎日誌庫,無數開源 Java 元件都直接或間接依賴於Log4j2。作為軟體供應鏈中的核心原始元件,Log4j2的自身漏洞帶給整個軟體供應鏈的影響最為直接、隱秘,影響也最為深遠,它猶如一個埋藏在命門處的定時炸彈,一旦引爆,便是致命打擊。然而,當我們需要探查這個深埋在系統內部的缺陷,並梳理其影響範圍或判斷其他元件是否存在同樣的安全隱患時,這又給管理者帶來了一項極為複雜的工作。
由於Log4j2被引用的廣泛性,其可能存在於系統元件的各個角落。在元件的整合構建階段,當 Log4j2 作為基礎元件整合到一些核心業務元件時,漏洞也在有意無意間滲透到了更為上層的核心業務中,使產品的核心業務暴露出一個附加的攻擊面。在該階段,由於元件之間的依賴關係相對較為清晰,所以當漏洞被引入時,受到的影響面也較為容易排查。我們往往只需要將程式碼倉庫中受影響的元件版本更換為安全的補丁版本或直接移除更換掉即可。
在元件的依賴使用階段,隨著當前軟體系統架構複雜性的提升,元件之間的依賴深度也逐漸增加。當Log4j2這類核心元件受到漏洞影響時,軟體系統自身的複雜性就會掩蓋影響,導致整個軟體系統的攻擊面被隱藏起來,從而容易被人忽略。所以在該階段排查漏洞影響最為艱難,往往需要安全工程師們進行大規模的分析排查、抽絲剝繭,將軟體系統的各種依賴關係梳理清楚。站在攻擊、防禦的視角觀察同樣如此,攻擊者及防禦者往往需要透過hook、fuzz等方式測試元件的呼叫深度,從而找出被隱藏的漏洞觸發點。
在下游使用者使用階段,受到的影響則更為被動。因為複雜的軟體系統對於身處下游的使用者來說是一個黑盒,普通使用者對於其包含的元件風險一無所知,此時只能靠有責任心的軟體提供商來提供運維支援服務。如果遇到不負責任或者漏洞應急不及時的供應商,則只能依靠社群建議及旁路的安全裝置來進行臨時舒緩。
隨著開源軟體應用的不斷普及,軟體開發過程也越來越依賴於元件間的相互呼叫與組合,以適應不斷變化的市場環境。但開發者在關注敏捷高效的同時,也會為系統引入新的安全風險,開源軟體的引入減少了開發時間,也增加了軟體供應鏈安全的複雜度,尤其是此次Log4j2這樣應用廣泛的基礎元件,在供應鏈的各階段均存在深遠的影響。大型專案中依賴關係數量與依賴層級數量的複雜度提升直接增加了廠商對漏洞的排查難度。對漏洞元件產生間接依賴的開源元件及框架也有安全隱患,因為原始元件被大量引用所造成的二級傳播極大的擴充了Log4j2漏洞的影響範圍。在上游軟體供應鏈產品中累積的漏洞影響,最終會在下游應用場景中浮現,下游產品服務提供商應當採取有效手段,對涉及的漏洞資產進行排查。
此次暴露的安全問題僅僅是供應鏈安全領域的冰山一角,SolarWinds事件、Mimecast事件或類似針對供應鏈的APT攻擊等一系列安全事件也都在為我們敲響著警鐘。綠盟科技《網路安全2022:守望高質量》報告對供應鏈安全進行了梳理,針對安全事件、政策標準進行了分析,並展望2022年供應鏈安全發展趨勢。同時,報告也整理了其他網路安全領域的發展趨勢並將其劃分為態勢篇、威脅篇、數字基礎設施篇,篩選匯聚了綠盟科技2021年在網路安全攻防相關領域的核心研究成果。其中,態勢篇重點梳理了我國網路安全發展區域的威脅態勢;威脅篇重點分析了網路安全面臨的漏洞、惡意軟體和高階可持續威脅等主要風險因素;數字基礎設施篇對網路安全基礎設施相關的熱點事件、市場發展和領域趨勢進行整理。
希望此份報告能引發大家對網路安全發展趨勢的思考,為讀者帶來價值。綠盟科技將依託技術產品和服務,秉承“專攻術業,成就所託”的宗旨,盡心為使用者的安全體系賦能,盡力加強使用者資訊化安全體系建設,全力服務於構築國家高質量發展的網路安全屏障,為全面加強國家網路安全保障體系持續貢獻力量。