您好,欢迎来到链接目录 - 您的网站目录之家!

当前位置:链接目录 » 站长资讯 » 产品资讯 » 文章详细 订阅RssFeed

《网络安全2022:守望高质量》报告解读 | 回顾供应链安全事件,展望2022网络安全风向

来源:网络转载 浏览:27903次 时间:2022-09-05

2021年末,Log4j2漏洞爆发,引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。通过仔细分析此次供应链安全事件的特点不难看出,这是一起典型的由开源软件所导致的供应链安全事件,上游软件提供商的漏洞殃及了下游产业的产品提供者,错综复杂的依赖关系使影响范围扩大,最终遍及整个网络空间。Log4j2事件为安全厂商与网络安全从业者敲响了警钟,必须警惕开源软件供应链中暗藏的危机,并采取有效行动。

Log4j2作为一个堪比标准库的基础日志库,无数开源 Java 组件都直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远,它犹如一个埋藏在命门处的定时炸弹,一旦引爆,便是致命打击。然而,当我们需要探查这个深埋在系统内部的缺陷,并梳理其影响范围或判断其他组件是否存在同样的安全隐患时,这又给管理者带来了一项极为复杂的工作。

由于Log4j2被引用的广泛性,其可能存在于系统组件的各个角落。在组件的集成构建阶段,当 Log4j2 作为基础组件集成到一些核心业务组件时,漏洞也在有意无意间渗透到了更为上层的核心业务中,使产品的核心业务暴露出一个附加的攻击面。在该阶段,由于组件之间的依赖关系相对较为清晰,所以当漏洞被引入时,受到的影响面也较为容易排查。我们往往只需要将代码仓库中受影响的组件版本更换为安全的补丁版本或直接移除更换掉即可。

在组件的依赖使用阶段,随着当前软件系统架构复杂性的提升,组件之间的依赖深度也逐渐增加。当Log4j2这类核心组件受到漏洞影响时,软件系统自身的复杂性就会掩盖影响,导致整个软件系统的攻击面被隐藏起来,从而容易被人忽略。所以在该阶段排查漏洞影响最为艰难,往往需要安全工程师们进行大规模的分析排查、抽丝剥茧,将软件系统的各种依赖关系梳理清楚。站在攻击、防御的视角观察同样如此,攻击者及防御者往往需要通过hook、fuzz等方式测试组件的调用深度,从而找出被隐藏的漏洞触发点。

在下游用户使用阶段,受到的影响则更为被动。因为复杂的软件系统对于身处下游的用户来说是一个黑盒,普通用户对于其包含的组件风险一无所知,此时只能靠有责任心的软件提供商来提供运维支持服务。如果遇到不负责任或者漏洞应急不及时的供应商,则只能依靠社区建议及旁路的安全设备来进行临时舒缓。

随着开源软件应用的不断普及,软件开发过程也越来越依赖于组件间的相互调用与组合,以适应不断变化的市场环境。但开发者在关注敏捷高效的同时,也会为系统引入新的安全风险,开源软件的引入减少了开发时间,也增加了软件供应链安全的复杂度,尤其是此次Log4j2这样应用广泛的基础组件,在供应链的各阶段均存在深远的影响。大型项目中依赖关系数量与依赖层级数量的复杂度提升直接增加了厂商对漏洞的排查难度。对漏洞组件产生间接依赖的开源组件及框架也有安全隐患,因为原始组件被大量引用所造成的二级传播极大的扩充了Log4j2漏洞的影响范围。在上游软件供应链产品中累积的漏洞影响,最终会在下游应用场景中浮现,下游产品服务提供商应当采取有效手段,对涉及的漏洞资产进行排查。

此次暴露的安全问题仅仅是供应链安全领域的冰山一角,SolarWinds事件、Mimecast事件或类似针对供应链的APT攻击等一系列安全事件也都在为我们敲响着警钟。绿盟科技《网络安全2022:守望高质量》报告对供应链安全进行了梳理,针对安全事件、政策标准进行了分析,并展望2022年供应链安全发展趋势。同时,报告也整理了其他网络安全领域的发展趋势并将其划分为态势篇、威胁篇、数字基础设施篇,筛选汇聚了绿盟科技2021年在网络安全攻防相关领域的核心研究成果。其中,态势篇重点梳理了我国网络安全发展区域的威胁态势;威胁篇重点分析了网络安全面临的漏洞、恶意软件和高级可持续威胁等主要风险因素;数字基础设施篇对网络安全基础设施相关的热点事件、市场发展和领域趋势进行整理。

希望此份报告能引发大家对网络安全发展趋势的思考,为读者带来价值。绿盟科技将依托技术产品和服务,秉承“专攻术业,成就所托”的宗旨,尽心为用户的安全体系赋能,尽力加强用户信息化安全体系建设,全力服务于构筑国家高质量发展的网络安全屏障,为全面加强国家网络安全保障体系持续贡献力量。

在绿盟科技公众号后台回复“网络安全2022”获取下载链接,在绿盟科技官方公众号中点击【绿盟精选】-【绿盟书橱】可直接阅读。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

推荐站点

  • 站长资源平台站长资源平台

    2898站长资源平台作为最全面的站长资源服务平台,致力于为广大站长和网站运营人员提供包含了友链交换、站长资讯、友情链接、网站交易、免费流量交换、站长工具、网站资源交换、软文投稿、软文推广等各个领域,是站长最好的选择

    www.2898.com
  • 落伍者落伍者

    落伍者创办于2001年,系国内历史最悠久的互联网创业者交流平台。

    https://www.im286.net
  • 域名交易平台域名交易平台

    域名交易平台立足于打造一个以域名交易为核心,域名拍卖、域名竞价、域名经纪中介交易为主要交易方式的域名买卖平台,并提供域名抢注、域名展示页等辅助工具及应用,并成功为CCTV、苏宁、微软、百度Baidu、新浪SINA、QIHU 360、腾讯QQ等多家企业买回域名。

    https://www.ename.com
  • 爱名网爱名网

    爱名网22.CN为顶级域名、商标、SSL证书、云计算的注册与中介交易服务提供商,提供域名注册、商标查询、https申请;商标域名中介交易与拍卖、云主机与SSL服务器证书申请的企业互联网+云计算服务门户。

    https://www.22.cn
  • A5创业网A5创业网

    A5创业网是面向互联网创业者的创业创新服务平台,提供全方位的创业资讯以及创业实战经验,推荐前沿创业项目。A5创业网全力支持创业者实现创业梦想。

    www.admin5.com