Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

1/10 受評估的資產都容易遭到 Log4Shell 攻擊

Amit Yoran
2021 年 12 月 22 日 • 2 分鐘快讀
作者: Amit Yoran 
部落格首頁 / 新聞與觀點

現在如果不解決,這個問題將會改寫 2022 年的運算環境。

Tenable 從每個弱點集結了大量的資料,包括最近十分引人矚目的 Log4Shell。我們發現的情況相當令人吃驚,但也不意外,所有已評估過的資產中,有 10% 容易受到 Log4Shell 攻擊。同時,令人感到不安的是,有 30% 的企業甚至還沒開始搜尋此錯誤,這樣延誤的疏失也給了威脅行動者積極搜尋與利用此錯誤的時機。

在已評估過的資產中,大約有 10% 的資產發現到 Log4Shell,包括各種伺服器、Web 應用程式、容器和 IoT 裝置。在所有產業和地理區域中,Log4Shell 可說是無所不在 10 台企業伺服器中,就有一台曝露在風險之中。10 個 Web 應用程式中,就有一個曝露在風險之中,諸如此類。在我們數位基礎架構的所有層面中,將近的十分之一都有受到透過 Log4Shell 惡意刺探利用的可能性。

因此,受影響的企業數不勝數。我們的遙測顯示,截至 2021 年 12 月 21 日,只有 70% 的企業已針對該弱點進行掃描!Log4Shell 已被認定為我們有史以來遇過最重要的網路安全風險之一,然而卻有許多企業還沒開始採取行動:30% 的企業還沒開始針對 Log4Shell 評估他們的環境,更別說開始更新修補程式了。

資安專業人員分身乏術,在此歡度佳節的期間尤其辛苦,但這個風險十分獨特。廣泛的刺探利用已經開始,我們預期在一個月的時間內,就會看到在此刺探利用上的好幾波攻擊,造成更具侵略性的損害,而且到時候的攻勢很可能無法抵檔。

舉例來說,EternalBlue 雖然精心打造了重大攻擊,像是 WannaCry,但由於 Log4j 在基礎架構和應用程式中無所不在,因此它所造成的可能影響會更大。史上還沒有任何一個弱點如此明目張膽,急需修復。據我們所知,Log4Shell 將會改寫運算環境,將那些積極保護自己的企業和那些安逸輕忽此事的企業區分開來。

深入瞭解:

Amit Yoran

Amit Yoran

董事長暨執行長 Amit Yoran 負責監督帶領 Tenable 實現願景,致力於使企業組織有能力瞭解並降低網路安全風險。Amit 在 Tenable 公私部門中發揮著不凡的領導風格。之前,他曾出任 RSA 總裁,帶領該公司轉型成為全球安全企業的成功典範。Amit 一手創辦帶領網路鑑識公司 NetWitness 並出任執行長,在其收購機緣加入 RSA。在成立 NetWitness 公司之前,Amit 曾是美國國土安全部電腦緊急應變小組 (US-CERT) 計畫的創始董事。。他也是安全管理服務供應商 (MSSP) 先驅企業 Riptech 的創辦人暨執行長,該公司於 2002 年由 Symantec 收購。Amit 在 BlackLine, Inc. (Nasdaq:BL) 和 Center for Internet Security (CIS) 擔任董事會成員。他在資安領域也是公認的思維領袖與影響者,經常出席業界活動,並在媒體上提供對網路安全前景的專家意見。

相關文章

How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture

July 11, 2024

Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.

Tori Burinskiy

Tori Burinskiy

Cybersecurity Snapshot: FTC Believes TikTok Broke U.S. Law, Asks Justice Dept. To Intervene, while French Cyber Agency Warns About Nobelium / Midnight Blizzard

June 21, 2024

TikTok’s legal troubles in the U.S. could get thornier after the FTC refers complaint to the DOJ. Meanwhile, France says Russia-backed Nobelium / Midnight Blizzard is a major cyber espionage threat to European governments. Plus, check out a Tenable poll about dealing with vulnerabilities without patches. And did LockBit 3.0 make a comeback in May? Maybe – or maybe not. And much more!

Juan Perez

Juan Perez

How to Perform Efficient Vulnerability Assessments with Tenable

September 12, 2023

Policy configuration choices in vulnerability assessment tools like Tenable Nessus, Tenable Security Center and Tenable Vulnerability Management enable security professionals to effectively gather data that can be analyzed to aid in prioritizing remediation.

Seth Matheson

Seth Matheson

How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture

July 11, 2024

Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.

Tori Burinskiy

Tori Burinskiy

Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)

July 9, 2024

Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.

Tenable Security Response Team

Tenable Security Response Team

How the regreSSHion Vulnerability Could Impact Your Cloud Environment

July 5, 2024

With growing concern over the recently disclosed regreSSHion vulnerability, we’re explaining here what it is, why it’s so significant, what it could mean for your cloud environment and how Tenable Cloud Security can help.

Lior Zatlavi

Lior Zatlavi

  • Vulnerability Scanning

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 立即購買

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商
免費試用 立即購買

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商