Log4Shell：OT 社群應立即採取的 5 個步驟

操作技術 (OT) 環境同樣也面臨 Apache Log4j 缺陷帶來的風險。下面是我們現在就可以採取的行動。

相信您已經知道，網際網路正處於水深火熱之中。CVE-2021-44228：Log4j 遠端程式碼執行弱點 (Log4Shell) 正被歸類為最普遍且有可能是史上影響範圍最廣的弱點。Log4j 是一個廣受開發人員採用的開放原始碼 Java 記錄程式庫。在核心功能中使用第三方程式庫不只是 IT 的問題，Log4j 也內嵌於操作技術 (OT) 環境中。事實上，OT 廠商已發布有關他們的產品如何受到影響的公告。

在接下來的幾個月，我們會開始瞭解這個特定弱點在 OT 基礎設施中的普遍性與影響範圍，不過，它最有可能用於執行重要的 OT 記錄功能，讓系統容易受到輕微的遠端程式碼執行攻擊。不過，就算您的 OT 基礎設施中沒有使用它，您仍舊有可能處於風險之中。

由於企業的 IT 與 OT 作業已融合在一起，因此攻擊會在 IT 與 OT 之間移轉也不是頭一遭。即使您的設施實體上完全隔離，還是有一半以上的可能性您的環境已「意外融合」。 若沒有採取明確的步驟來保護 OT 基礎設施，您的作業很可能會有風險。

常見問題：CVE-2021-45046、CVE-2021-4104：有關 Log4Shell 和相關弱點的常見問題。

以下是您可以用來保護 OT 環境避免 Log4j 攻擊的 5 個步驟：

1. 遵循官方指導方針。 諸如美國網路安全暨基礎架構安全局 (CISA) 等機構都已頒布特定的指導方針。持續熟悉並遵循此指導方針是非常重要的事。遵循與仰賴來自 MITRE、美國國家標準暨技術研究院 (NIST)、英國網路與資訊系統 (NIS) 及北美電力穩定性​公司 (NERC) 的框架，可協助貴公司建立最佳做法，在不斷變動的威脅情況下保持警覺。
2. 瞭解您所擁有的資產。 資產盤點是任何一種安全方案的基石，並且能提供深入的情況認知。這牽涉到的不只是擷取您環境中每一項資產的製造商與機型，還需要盤點最新的韌體版本、修補程式層級、通訊路徑、存取等等。光靠網路監控只能提供部份細節；為了取得特定資訊，還需要主動和特定裝置查詢功能。
3. 對 IT 資產執行目標式掃描。 一旦擁有良好的資產盤點能力，您就能執行弱點掃描，查看您有可能受到影響的其他地方。Tenable 研究團隊已找到且推出偵測 Log4J 或 Log4Shell 惡意刺探的特徵。我們持續發布的 plugin 可以在此找到。 建議您利用最新發布的 plugin 執行目標式掃描，以找出有風險的元素。
4. 瞭解您更廣泛的 OT 曝險。 最佳做法是擁有優異的掃描解決方案，例如 Nessus，以便對您的 IT 資產執行弱點掃描，然後利用像是特別適合您 OT 資產的 Tenable.ot 執行 OT 資產掃描。事實上，Tenable.ot 其中就包含了 Nessus，可同時針對 IT 和 OT 資產執行弱點檢查。為確保 Nessus 只掃描 IT 資產、而 Tenable.ot 負責應對 OT 資產，Tenable 也採用了特定的防護措施。
5. 主動降低風險。 如果您只依靠入侵偵測警示來警告您入侵事件或受到惡意刺探的系統，事情就太遲了。持續的威脅評估必須包含最新的情報與來源。在大多數的環境中，IT 與 OT 網路已互連，而威脅行動者正在利用這種融合的情形。如果您擔心 Log4j 在您的環境中可能已遭利用，Tenable 可以提供協助。

更長遠來說整個製造與重大基礎設施社群都必須更瞭解系統中使用了哪些元素，以便在新的威脅受到大肆利用時，能夠獲得解決這些最新威脅所需的深入情況認知。2021 年 5 月頒布的行政命令已規範了軟體物料清單 (SBOM) 措施。SBOM 可提供終端使用者瞭解他們的產品中是否使用了有弱點的軟體程式庫的透明度。

毫無疑問，未來數年我們都將應對 Log4j 弱點帶來的問題，不幸的是，未來也一定會有其他弱點出現。只要有適當的人員、流程與技術，世界各地的企業就能快速且整體使用基於風險的決策，將像是 Log4Shell 的弱點帶來的負面後果減至最低，並且保護全球重大的基礎設施。

Michael Rothschild 是 Tenable 的 OT 解決方案資深總監，同時也是這篇部落格貼文的撰文者。

深入瞭解

• 歡迎造訪 Tenable Log4j 解決方案中心：https://www.tenable.com/log4j
• 閱讀 SRT 警示：CVE-2021-44228：Apache Log4j 遠端程式碼執行重大弱點 (Log4Shell) 概念驗證已可供使用
• 閱讀常見問題：CVE-2021-44228、CVE-2021-45046、CVE-2021-4104：有關 Log4Shell 和相關弱點的常見問答集
• 閱讀資安長觀點：Apache Log4j 缺陷讓第三方軟體成為目光焦點
• 造訪我們的使用者社群，深入瞭解 Tenable 如何提供協助：https://community.tenable.com/s/