Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

Log4Shell:OT 社群應立即採取的 5 個步驟

Marty Edwards
Marty Edwards | 新聞與觀點
2021 年 12 月 14 日 | 5 分鐘快讀

操作技術 (OT) 環境同樣也面臨 Apache Log4j 缺陷帶來的風險。下面是我們現在就可以採取的行動。

12 月 17 日更新: Apache 已更新第二個 Log4j 弱點CVE-2021-45046 的嚴重性,將其由低度調高至重大 (9.0 CVSSv3),說明在特定設定下可能的遠端程式碼執行 (RCE)。如需更多資訊,請參閱 Tenable Community 上的此篇貼文

相信您已經知道,網際網路正處於水深火熱之中CVE-2021-44228:Log4j 遠端程式碼執行弱點 (Log4Shell) 正被歸類為最普遍且有可能是史上影響範圍最廣的弱點。Log4j 是一個廣受開發人員採用的開放原始碼 Java 記錄程式庫。在核心功能中使用第三方程式庫不只是 IT 的問題,Log4j 也內嵌於操作技術 (OT) 環境中。事實上,OT 廠商已發布有關他們的產品如何受到影響的公告。

在接下來的幾個月,我們會開始瞭解這個特定弱點在 OT 基礎設施中的普遍性與影響範圍,不過,它最有可能用於執行重要的 OT 記錄功能,讓系統容易受到輕微的遠端程式碼執行攻擊。不過,就算您的 OT 基礎設施中沒有使用它,您仍舊有可能處於風險之中。

由於企業的 IT 與 OT 作業已融合在一起,因此攻擊會在 IT 與 OT 之間移轉也不是頭一遭。即使您的設施實體上完全隔離,還是有一半以上的可能性您的環境已「意外融合」。 若沒有採取明確的步驟來保護 OT 基礎設施,您的作業很可能會有風險。

常見問題:CVE-2021-45046、CVE-2021-4104:有關 Log4Shell 和相關弱點的常見問題

以下是您可以用來保護 OT 環境避免 Log4j 攻擊的 5 個步驟:

  1. 遵循官方指導方針。 諸如美國網路安全暨基礎架構安全局 (CISA) 等機構都已頒布特定的指導方針。持續熟悉並遵循此指導方針是非常重要的事。遵循與仰賴來自 MITRE、美國國家標準暨技術研究院 (NIST)、英國網路與資訊系統 (NIS) 及北美電力穩定性​公司 (NERC) 的框架,可協助貴公司建立最佳做法,在不斷變動的威脅情況下保持警覺。
  2. 瞭解您所擁有的資產。 資產盤點是任何一種安全方案的基石,並且能提供深入的情況認知。這牽涉到的不只是擷取您環境中每一項資產的製造商與機型,還需要盤點最新的韌體版本、修補程式層級、通訊路徑、存取等等。光靠網路監控只能提供部份細節;為了取得特定資訊,還需要主動和特定裝置查詢功能。
  3. 對 IT 資產執行目標式掃描。 一旦擁有良好的資產盤點能力,您就能執行弱點掃描,查看您有可能受到影響的其他地方。Tenable 研究團隊已找到且推出偵測 Log4J 或 Log4Shell 惡意刺探的特徵。我們持續發布的 plugin 可以在此找到。 建議您利用最新發布的 plugin 執行目標式掃描,以找出有風險的元素。
  4. 瞭解您更廣泛的 OT 曝險。 最佳做法是擁有優異的掃描解決方案,例如 Nessus,以便對您的 IT 資產執行弱點掃描,然後利用像是特別適合您 OT 資產的 Tenable.ot 執行 OT 資產掃描。事實上,Tenable.ot 其中就包含了 Nessus,可同時針對 IT 和 OT 資產執行弱點檢查。為確保 Nessus 只掃描 IT 資產、而 Tenable.ot 負責應對 OT 資產,Tenable 也採用了特定的防護措施。
  5. 主動降低風險。 如果您只依靠入侵偵測警示來警告您入侵事件或受到惡意刺探的系統,事情就太遲了。持續的威脅評估必須包含最新的情報與來源。在大多數的環境中,IT 與 OT 網路已互連,而威脅行動者正在利用這種融合的情形。如果您擔心 Log4j 在您的環境中可能已遭利用,Tenable 可以提供協助。

更長遠來說整個製造與重大基礎設施社群都必須更瞭解系統中使用了哪些元素,以便在新的威脅受到大肆利用時,能夠獲得解決這些最新威脅所需的深入情況認知。2021 年 5 月頒布的行政命令已規範了軟體物料清單 (SBOM) 措施。SBOM 可提供終端使用者瞭解他們的產品中是否使用了有弱點的軟體程式庫的透明度。

毫無疑問,未來數年我們都將應對 Log4j 弱點帶來的問題,不幸的是,未來也一定會有其他弱點出現。只要有適當的人員、流程與技術,世界各地的企業就能快速且整體使用基於風險的決策,將像是 Log4Shell 的弱點帶來的負面後果減至最低,並且保護全球重大的基礎設施。

Michael Rothschild 是 Tenable 的 OT 解決方案資深總監,同時也是這篇部落格貼文的撰文者。

深入瞭解

Marty Edwards

Marty Edwards

Marty Edwards 是一名廣受全球肯定的操作技術 (OT) 和工業控制系統 (ICS) 網路安全專家,與產業界、政府和學術界合作,致力於提高公眾對與日俱增的資安風險的意識,這些風險會影響重大的基礎設施,因此必須設法加以緩解。Edwards 擔任 Tenable 的 OT 安全部副總裁,與政府和全球各地的產業主流大廠攜手合作,推廣企業對於處理流程和技術解決方案的認知與建置,藉此降低其整體網路風險。身為有 30 年資歷的產業尖兵,Edwards 曾榮獲多項表揚其成就的大獎。在進入 Tenable 工作前,Edwards 曾擔任國際自動化學會 (ISA) 的全球教育訓練總監,同時也是美國國土安全部 (Department of Homeland Security) 工業控制系統網路緊急情況應變團隊 (ICS‐CERT) 任期最久的總監。

相關文章

Protecting Local Government Agencies with a Whole-of-State Cybersecurity Approach

May 2, 2023

Facing frequent and aggressive cyberattacks, local governments often struggle to defend themselves due to a lack of tools and resources. But it doesn’t have to be this way. With a whole-of-state approach, local governments can pool resources and boost their defenses, reducing cyber risk via improved threat visibility, cyber hygiene and incident response. Read on to learn more about the benefits of a whole-of-state approach.

Lindsay Schwartz

Lindsay Schwartz

ETHOS: Bringing the OT Security Community Together for Threat Information Sharing

April 24, 2023

Tenable participates in a first-of-its-kind initiative that will aggregate information from several operational technology (OT) security vendors to share emerging threat intelligence with critical infrastructure service providers.

Jamie Brown

Jamie Brown

Cybersecurity Snapshot: The Latest on Supply Chain Security – SBOM Distribution, Open Source Flaws and a New Security Framework

April 21, 2023

Check out what CISA says about the sharing of software bills of materials. Plus, why you should tread carefully with open source components. Also, the SLSA supply chain security framework is ready. In addition, security worries hold back enterprise IoT adoption. And much more!

Juan Perez

Juan Perez

Tenable Cyber Watch: White House Unveils $140M Investment for Responsible AI, Top 5 Malware in Q1 2023, and more

May 15, 2023

This week’s edition of the Tenable Cyber Watch unpacks the White House’s $140 million dollar investment into AI research and development and explores the security implications of ChatGPT. Also covered: The top 5 malware strains for Q1 2023.

Jirah Mickle

Jirah Mickle

Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services

May 12, 2023

Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!

Juan Perez

Juan Perez

The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable

May 11, 2023

Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.

Christina DePinto

Christina DePinto

  • OT 安全性

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

免費試用 立即購買
tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。

最新 - Nessus Expert 現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Professional 試用。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商 | 索取報價
免費試用 立即購買
Tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

Tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

試用 Tenable.io Web Application Scanning

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web Application Scanning 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.cs Cloud Security。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable Lumin

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

您的 Tenable Lumin 試用版也包含 Tenable.io Vulnerability Management、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

免費試用 聯絡業務人員

試用 Tenable.cs

享受完全存取偵測與修復雲端基礎架構錯誤設定及檢視執行階段弱點的功能。立即註冊取得您的免費試用軟體。如需深入瞭解試用流程,請點擊此處。

您的 Tenable.cs Cloud Security 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.io Web Application Scanning。

聯絡業務代表購買 Tenable.cs

聯絡業務代表,以深入瞭解 Tenable.cs Cloud Security 如何輕鬆讓您的雲端帳戶上線,以及如何在數分鐘內輕鬆取得雲端錯誤設定與弱點的能見度。

免費試用 立即購買

免費試用 Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已擁有 Nessus Professional 嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商 | 索取報價