公司

首頁 > 關于我們 > 安恒動態 > 2022 > 正文

史詩級安全漏洞面前，“云上企業”須嚴陣以待

閱讀量：次

據了解，Log4j2 是開源社區阿帕奇（Apache）旗下的開源日志組件，被全世界企業和組織廣泛應用于各種業務系統開發。北京時間2021年12月9日深夜，Apache Log4j2 遠程代碼執行漏洞攻擊代碼爆發。其危害之大，被認為超過“永恒之藍”，甚至有業內人士認為，這是“現代計算機歷史上最大的漏洞”。

史詩級漏洞襲來

安恒信息高級應急響應總監季靖評價稱：“ Apache Log4j2 降低了黑客攻擊的成本，堪稱網絡安全領域20年以來史詩級的漏洞。”?

季靖表示：“Apache Log4j2是一個Java的日志記錄工具，但日志框架被大量運用在各種業務系統開發中，比如用來做日志記錄、搜集信息。也就是說，Apache?Log4j2可以記錄用戶一些錯誤信息導致程序崩潰。”

此漏洞“威力”之大，連國家信息安全也受到波及，比利時國防部中招。2021年12月下旬，比利時國防部承認他們遭受了嚴重的網絡攻擊，該攻擊基于Apache Log4j2相關漏洞，強烈的網絡攻擊導致比利時國防部的一些活動癱瘓，如郵件系統停機數日。

國防部門如此，普通企業則何如？尤其采用云服務的企業要作何應對？疫情以來大量企業、機構加速數字化進程，成為“云上企業”。傳統環境下，企業對自身的安全體系建設擁有更多掌控權，完成云遷移后，這些企業的云安全防護真的到位嗎？

工信部2021年12月17日發文提示風險：“Apache?Log4j2組件存在嚴重安全漏洞。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。”

為何一個安全漏洞的影響力如此之大？安永大中華區網絡安全與隱私保護咨詢服務主管合伙人高軼峰認為：“影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機備受矚目，造成了全球范圍的影響?！?/span>

一場“網絡大流感”

漏洞特征：難度低、攻擊成本低，意味著Apache Log4j2漏洞將迎來源源不斷的攻擊者，而應用廣泛，則意味著攻擊對象眾多。

據不完全統計，截至漏洞爆發后72小時之內，受影響的主流開發框架都超過70個。而這些框架，又被廣泛使用在各個行業的數字化信息系統建設之中，比如金融、醫療、互聯網等等。由于許多耳熟能詳的互聯網公司都在使用該框架，因此Apache?Log4j2漏洞影響范圍極大。

除了應用廣泛之外，Apache Log4j2漏洞被利用的成本相對而言也較低，攻擊者可以在不需要認證登錄這種強交互的前提下，可以構造出惡意的數據，對有漏洞的系統，通過遠程代碼執行攻擊。并且，它還可以獲得服務器的最高權限，最終導致設備遠程受控，進一步造成數據泄露，設備服務中斷等危害。

不僅攻擊成本低，且技術難度也不高?；贏pache Log4j2漏洞的攻擊者，可以利用很多現成的工具，稍微懂點便可以構造更新出一種惡意代碼。簡而言之，攻擊者的門檻低、學習成本低。

互聯網也要“防疫”

對于這個漏洞，安永大中華區網絡安全與隱私保護咨詢服務主管合伙人高軼峰警示稱：“沒有及時認真應對此次Log4j2漏洞危機的企業，或將面臨著網站篡改、服務中斷、數據泄漏等風險。尤其是數據泄漏事件，其成本對企業來說可能是毀滅性的，其中必然涉及直接銷售損失、合規罰款、對員工生產力影響和長期的商譽損害。數據泄漏事件一旦發生，監管部門必然會進行罰款并提出整改要求，嚴重的會導致失去業務資質以及刑事指控?！?/span>

與“大流感”相似之處在于，Apache Log4j2漏洞已經產生“變種”。除了先期公布的漏洞CVE-2021-44228，在2021年12月29日，又發現新的漏洞CVE-2021-44832。而在漏洞曝光和初期修復后，又衍生出大量針對性的攻擊變種，實在是應接不暇。

一方面，漏洞在出現不同的“變種”；另一方面，攻擊者也在尋找新的漏洞利用模式。因此，業內人士普遍預計Apache Log4j2漏洞帶來的影響長期存在，甚至有專家預計將持續十年。

攻擊者的攻擊方式，多種多樣。比如攻擊者獲取服務器最高權限后，可以將其變為傀儡機，進行免費挖礦的礦機，從而通過獲取區塊鏈貨幣獲利。

另外，攻擊者也可能在系統代碼里留“后門”（即指繞過安全控制而獲取對程序或系統訪問權）。舉個例子，一家IT供應鏈企業，為企業、機構做軟件開發，若沒有及時修復漏洞，其整個IT供應鏈都有可能被污染掉，若是核心涉密機構IT系統被留“后門”，后果可謂不敢設想。

“云上企業”怎么防護？

傳統模式下，安全人員可以在本地進行檢測、打補丁、修復漏洞。相對于傳統模式，“云上企業”使用的是云計算、云存儲服務等，沒有自己的機房和服務器。進入云環境，安全防護的“邊界”不復存在，對底層主機的控制權限也沒有本地那么多，同時還多一層虛擬化方面的攻擊方式。面對這場史詩級的漏洞危機，“云上企業”怎么應對呢？

特別是受疫情影響下，大量企業、機構開啟數字化轉型，從本地服務器遷徙到云服務器。短時間內完成云遷移，企業很可能缺乏對應的云安全管理能力成熟度；同時，往往也面臨著安全能力不足、專業人手緊缺等情況。

在安恒信息高級產品專家蓋文軒看來：“企業上云之后，傳統的網絡安全風險依然存在，此外，還會面臨新的安全風險，比如用戶與云平臺之間安全責任邊界劃分等問題。另外，傳統的硬件設備可能不適用于云環境，因此需要針對特殊情況部署相關安全服務?！?/span>

而在安永大中華區科技風險咨詢服務合伙人趙劍澐看來：“面對快速上云，企業急需搭建滿足自身業務發展與管理要求的安全保障體系?！?/span>

對于“云上企業”，究竟是選擇云服務商提供的原生安全服務，還是另尋第三方專業的安全服務商呢？

目前，即使是高度自動化的云原生安全方案，也無法做到完全自主自治，仍然需要合格的云安全服務的專業團隊參與。高軼峰強調，對于中小型企業，選擇滿足資質的第三方專業安全機構，能夠保證服務的獨立性，保障工作順利開展及服務質量。

蓋文軒認為：“網絡安全服務的時效性是非常關鍵的，如果安全事件發生后，能夠一個小時快速響應，還是幾個小時甚至一兩天響應，差距是很大的，客戶承擔的風險和損失是持續的。選擇第三方安全機構專業性更強，云服務商兼容性更好?！?/span>

云服務商原生安全服務與第三方安全服務并非二選一。

趙劍澐認為：“在企業安全防護體系的構建中，企業應結合自身安全管理經驗，從計算層、網絡層、數據層以及安全管理層，考量安全實踐，量體裁衣，選擇適合企業的安全服務，以構筑全棧安全。”

DDoS攻擊

目前，最常見的攻擊就是分布式拒絕服務攻擊DDoS，這種攻擊使目標電腦的網絡或系統資源耗盡，使服務暫時中斷或停止，導致其正常用戶無法訪問。一般情況下，遭遇DDoS攻擊，可以在評估攻擊訪問量、帶寬、嚴重等級后，聯系云供應商或者互聯網服務提供商，購買對應的防護服務，進行緊急緩解。運營商及云供應商，通過增加服務實例，擴充帶寬，識別并丟棄惡意流量等方式應對DDoS攻擊。

其他攻擊

若是遭遇其他類型更有針對性的攻擊，譬如賬號爆破、網站內容爬取、薅羊毛、網站篡改等等，則需要安全專業人員、第三方安全服務商等共同應對。

對于“云上企業”而言，安恒玄武盾便是典型的云防護平臺，其幫助用戶在傳統網絡邊界消失的云環境或大規模數據中心的高并發海量業務流量環境下，抵御網絡層至應用層攻擊。比如最為普遍的DDoS攻擊，玄武盾可依靠DSLB引擎進行防護，單引擎最大可防護80G攻擊。

趙劍澐總結稱：“優秀的安全實踐‘宜未雨而綢繆，毋臨渴而掘井’。”

數據部分

云安全面臨的主要威脅

資料來源：CSA

上云之后的網站威脅數據

發生在我國云平臺上的各類網絡安全事件數量占比仍然較高，其中云平臺上遭受大流量 DDoS 攻擊的事件數量占境內目標遭受大流量 DDoS 攻擊事件數的 71.2%，

被植入后門網站數量占境內全部被植入后門網站數量的 87.1%，被篡改網站數量占境內全部被篡改網站數量的 89.1%。

同時，攻擊者經常利用我國云平臺發起網絡攻擊，其中云平臺作為控制端發起DDoS攻擊的事件數量占境內控制發起DDoS攻擊的事件數量的 51.7%、作為攻擊跳板對外植入后門鏈接數量占境內攻擊跳板對外植入后門鏈接數量的 79.3%；

作為木馬和僵尸網絡惡意程序控制端控制的 IP 地址數量占境內全部數量的65.1%、承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的 89.5%。

數據來源：CNCERT/CC

云安全技術未來5年發展趨勢

Gartner 《2021年中國ICT技術成熟度曲線報告》（Hype Cycle for ICT in China，2021 ）橫向維度按照技術成熟度分為從新興到成熟的5個階段，縱向維度表現該技術的期望值。此次ICT成熟度曲線對AIOps平臺、數據中臺、5G、低代碼、容器即服務、多云、云安全、邊緣計算等20多項新型有重大發展價值的技術進行分析。

中國云安全市場空間廣闊。根據中國信通院數據，2019 年我國云計算整體市場規模達 1334.5 億元，增速 38.6%。預計 2020-2022 年仍將處于快速增長階段，到 2023年市場規模將超過 3754.2 億元。中性假設下，安全投入占云計算市場規模的 3%-5%，那么 2023 年中國云安全市場規模有望達到 112.6 億-187.7 億元。