关于Log4j漏洞，安全领导者需要知道和做什么

12月9日，Apache软件基金会发布了一份安全咨询解决影响Log4j基于java的日志实用程序的远程代码执行漏洞(CVE-2021-44228)。MITRE将该漏洞评级为严重级别并给它的CVSS评分为10/10。此后不久，攻击者开始利用Log4j漏洞，促使世界各地的政府网络安全机构，包括美国网络安全和基础设施安全局而且奥地利的证书该系统发布警告，敦促各机构立即打补丁。

为了更好地理解Log4j漏洞对安全和企业的影响，我们进行了交谈乔纳森保健， Gartner的高级总监分析师，关于该漏洞给组织带来的风险，以及安全领导者必须采取的措施，以确保他们的企业系统免受潜在的相关威胁。

立即下载:安全与风险管理的三大战略优先事项

Log4j漏洞的传播范围有多广，哪些类型的系统受到影响?

Log4j漏洞非常普遍，可以影响企业应用程序、嵌入式系统及其子组件。基于java的应用程序包括Cisco Webex, Minecraft和FileZilla FTP都是受影响程序的例子，但这绝不是一个详尽的列表。该漏洞甚至影响了“火星2020”直升机任务“匠心”，该任务使用Apache Log4j进行事件记录。

了解更多:网络安全是什么?

安全部门已经创建资源系统编目脆弱。但是，必须注意的是，这些列表是不断变化的，所以如果没有包含某个特定的应用程序或系统，不要认为它就一定不会受到影响。暴露于此漏洞的可能性很高，即使某个特定技术栈不使用Java，安全领导者也应该预料到关键的供应商系统——SaaS供应商、云托管提供商和web服务器提供商——会使用Java。

假设漏洞被利用了，这会对企业应用程序和系统构成什么威胁?

如果不打补丁，攻击者可以利用这个漏洞接管计算机服务器、应用程序和设备，并渗透到企业网络中。我们已经看到了恶意软件的报告，ransomware以及其他主动利用该漏洞的自动威胁。

该漏洞的攻击障碍非常低——它只需要攻击者在聊天窗口中输入一个简单的字符串。该漏洞是“预认证”，这意味着攻击者不需要登录到易受攻击的系统就可以克服它。换句话说，你的web服务器是脆弱的。

网络安全领导者应该采取什么措施来保护他们的企业?

网络安全领导者需要将识别和修复这一漏洞作为绝对和立即的优先事项。在你负责的领域内，对每一个联网或面向公众的应用程序、网站和系统进行详细审计。这包括供应商产品和基于云的服务的自托管安装。特别注意包含敏感操作数据的系统，例如客户详细信息和访问凭证。

一旦审计完成，将注意力转向远程雇员，并确保他们更新自己的个人设备和路由器，这是安全链中至关重要的一环。这可能需要一种主动的、参与的方法，因为简单地发布一个指令列表是不够的，因为脆弱的路由器提供了进入关键企业应用程序和数据存储库的潜在入口。您将需要更广泛的IT团队的支持和合作。

总的来说，这是根据组织事件响应计划调用正式严重事件响应措施的时候了。这一事件值得组织的所有级别的参与，包括首席执行官，首席信息官而且董事会．确保你已经向高层领导汇报了情况，并且他们已经准备好公开回答问题。这个漏洞和利用它的攻击模式在一段时间内不太可能消失，因此至少在未来12个月，积极的警惕将是重要的。