Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

Apache Log4j 缺陷讓第三方軟體成為目光焦點

何以 Apache Log4j 缺陷讓第三方軟體成為目光焦點

當全球各地的企業爭相解決名為 Log4Shell 的 Log4j 重大弱點時,浮現在每一位安全主管心中的第一個問題都是:我怎麼知道我們的環境中有沒有這個弱點?

12 月 17 日更新: Apache 已更新第二個 Log4j 弱點CVE-2021-45046 的嚴重性,將其由低度調高至重大 (9.0 CVSSv3),說明在特定設定下可能的遠端程式碼執行 (RCE)。如需更多資訊,請參閱 Tenable Community 上的此篇貼文

開放原始碼記錄架構 Apache Log4j 的無所不在,是讓這個問題難以回答的原因。

許多企業不只在他們本身的原始程式碼中會使用 Log4j,這些企業從第三方購買的許多產品中也有使用。已採用「shift left」方式來保護軟體開發生命週期 (SSDL) 的企業可分析本身的原始程式碼,以找出與修復他們本身系統中的軟體缺陷。

您需要採用包含了靜態應用程式安全測試 (SAST)、動態應用程式安全測式 (DAST)、第三方獨立檢查、容器安全掃描、弱點管理和基礎架構即程式碼 (IaC) 的 SSDL 方式。不過,即使採用了上述所有做法,企業還是難以掌握軟體開發管線中左手邊的一切。在談到您的第三方軟體時,弱點管理與 Web 應用程式掃描也很重要。不只要能發現有沒有軟體缺陷,您也必須瞭解這些缺陷在貴公司混合了應用程式、資產與業務流程的背景下所代表的風險等級。

雖然近期拜登政府的行政命令要求企業製作一份軟體物料清單 (SBOM),大多數的廠商還是沒有提供他們軟體的 SBOM。甚至即使他們做了,大多數企業距離具備流程及善用此清單的能力,還天差地遠。因此,當像是 log4j 的資安事端發生時,網路安全主管只有一個選擇,那就是把他們的第三方廠商叫來詢問。這項工作十分艱鉅、繁複且耗時,讓企業在攻擊者突然惡意刺探此缺陷時措手不及。

常見問題:CVE-2021-45046、CVE-2021-4104:有關 Log4Shell 和相關弱點的常見問題

即使在最成熟的企業裡,SSDL 做法和 SBOM 都已根深蒂固於流程中,還是會有未發現的缺口讓資安部門難以回答以下 5 個重要的問題:

  1. 我們的環境中有嗎?
  2. 我們的基礎架構呢?
  3. 在我們的組建管線中又是如何?
  4. 我們的基礎架構供應商呢?(如果您正在使用雲端服務供應商的服務,這一點尤其與您相關)
  5. 由於軟體組成分析 (SCA) 不會搜尋 Log4J 的所有執行個體,我們是否執行了其他控管機制,例如基礎架構即程式碼 (Infrastructure as Code,簡稱 IaC)、弱點管理以及 Web 應用程式掃描,以找出程式碼的所有元件?

結論是:要修復 Log4j 問題並沒有速成法。最佳選擇就是建置一個 Web 應用程式防火牆,如上所示,這是相對簡單的避免方式。負責任的企業必須更新其核心軟體,並瞭解此軟體缺陷對整體風險會造成怎樣的影響。企業目前的應變都是在危急時刻下做出的決定,一旦度過初步危機,這個考驗就會被宣布「任務完成」,然後不再被理會。從我們的觀點來看,這是毀滅性的錯誤。我們已經錯過企業修復其基礎架構,並且以安全優先的方式維護系統的時機。

Tenable 對 SSDL 信守承諾,我們將採取以下行動來應變 Log4j:

  • 我們有防堵方法,在這個案例中,我們會阻止使用任何有弱點的軟體執行個體,以包含 Log4j。
  • 我們正在所有的基礎架構以及在產品出貨給客戶前的預先發行版本程式碼中,積極且持續執行弱點管理掃描和 Web 應用程式掃描。
  • 此外,我們也已對所有入侵指標和攻擊採取行動,在網路和主機層級建置了控管措施。

我們將持續監控威脅情報,以追蹤威脅態勢並在需要時隨時調整。要回應任何資安事端,最終都是得瞭解您的環境中有什麼?並且要清楚您的攻擊破綻,包括所有第三方產品與服務,才能快速降低風險。時間是關鍵。 攻擊方隨時準備好利用最新的弱點,並且針對自己的使用情境找到它們的新用途。企業必須盡一切所能仔細檢討他們目前的做法,此資安事端引發的連鎖反應在未來數年仍會困擾企業軟體。

深入瞭解

相關文章

您可以使用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練