據(jù)了解，Log4j2 是開(kāi)源社區(qū)阿帕奇（Apache）旗下的開(kāi)源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開(kāi)發(fā)。北京時(shí)間2021年12月9日深夜，Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊代碼爆發(fā)。其危害之大，被認(rèn)為超過(guò)“永恒之藍(lán)”，甚至有業(yè)內(nèi)人士認(rèn)為，這是“現(xiàn)代計(jì)算機(jī)歷史上最大的漏洞”。

01

史詩(shī)級(jí)漏洞襲來(lái)

安恒信息高級(jí)應(yīng)急響應(yīng)總監(jiān)季靖評(píng)價(jià)稱(chēng)：“ Apache Log4j2 降低了黑客攻擊的成本，堪稱(chēng)網(wǎng)絡(luò)安全領(lǐng)域20年以來(lái)史詩(shī)級(jí)的漏洞?！?

季靖表示：“Apache Log4j2是一個(gè)Java的日志記錄工具，但日志框架被大量運(yùn)用在各種業(yè)務(wù)系統(tǒng)開(kāi)發(fā)中，比如用來(lái)做日志記錄、搜集信息。也就是說(shuō)，Apache?Log4j2可以記錄用戶(hù)一些錯(cuò)誤信息導(dǎo)致程序崩潰?！?/span>

此漏洞“威力”之大，連國(guó)家信息安全也受到波及，比利時(shí)國(guó)防部中招。2021年12月下旬，比利時(shí)國(guó)防部承認(rèn)他們?cè)馐芰藝?yán)重的網(wǎng)絡(luò)攻擊，該攻擊基于Apache Log4j2相關(guān)漏洞，強(qiáng)烈的網(wǎng)絡(luò)攻擊導(dǎo)致比利時(shí)國(guó)防部的一些活動(dòng)癱瘓，如郵件系統(tǒng)停機(jī)數(shù)日。

國(guó)防部門(mén)如此，普通企業(yè)則何如？尤其采用云服務(wù)的企業(yè)要作何應(yīng)對(duì)？疫情以來(lái)大量企業(yè)、機(jī)構(gòu)加速數(shù)字化進(jìn)程，成為“云上企業(yè)”。傳統(tǒng)環(huán)境下，企業(yè)對(duì)自身的安全體系建設(shè)擁有更多掌控權(quán)，完成云遷移后，這些企業(yè)的云安全防護(hù)真的到位嗎？

工信部2021年12月17日發(fā)文提示風(fēng)險(xiǎn)：“Apache?Log4j2組件存在嚴(yán)重安全漏洞。該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。”

為何一個(gè)安全漏洞的影響力如此之大？安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢(xún)服務(wù)主管合伙人高軼峰認(rèn)為：“影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機(jī)備受矚目，造成了全球范圍的影響?！?/span>

02

一場(chǎng)“網(wǎng)絡(luò)大流感”

漏洞特征：難度低、攻擊成本低，意味著Apache Log4j2漏洞將迎來(lái)源源不斷的攻擊者，而應(yīng)用廣泛，則意味著攻擊對(duì)象眾多。

據(jù)不完全統(tǒng)計(jì)，截至漏洞爆發(fā)后72小時(shí)之內(nèi)，受影響的主流開(kāi)發(fā)框架都超過(guò)70個(gè)。而這些框架，又被廣泛使用在各個(gè)行業(yè)的數(shù)字化信息系統(tǒng)建設(shè)之中，比如金融、醫(yī)療、互聯(lián)網(wǎng)等等。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架，因此Apache?Log4j2漏洞影響范圍極大。

除了應(yīng)用廣泛之外，Apache Log4j2漏洞被利用的成本相對(duì)而言也較低，攻擊者可以在不需要認(rèn)證登錄這種強(qiáng)交互的前提下，可以構(gòu)造出惡意的數(shù)據(jù)，對(duì)有漏洞的系統(tǒng)，通過(guò)遠(yuǎn)程代碼執(zhí)行攻擊。并且，它還可以獲得服務(wù)器的最高權(quán)限，最終導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)一步造成數(shù)據(jù)泄露，設(shè)備服務(wù)中斷等危害。

不僅攻擊成本低，且技術(shù)難度也不高?；贏pache Log4j2漏洞的攻擊者，可以利用很多現(xiàn)成的工具，稍微懂點(diǎn)便可以構(gòu)造更新出一種惡意代碼。簡(jiǎn)而言之，攻擊者的門(mén)檻低、學(xué)習(xí)成本低。

03

互聯(lián)網(wǎng)也要“防疫”

對(duì)于這個(gè)漏洞，安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢(xún)服務(wù)主管合伙人高軼峰警示稱(chēng)：“沒(méi)有及時(shí)認(rèn)真應(yīng)對(duì)此次Log4j2漏洞危機(jī)的企業(yè)，或?qū)⒚媾R著網(wǎng)站篡改、服務(wù)中斷、數(shù)據(jù)泄漏等風(fēng)險(xiǎn)。尤其是數(shù)據(jù)泄漏事件，其成本對(duì)企業(yè)來(lái)說(shuō)可能是毀滅性的，其中必然涉及直接銷(xiāo)售損失、合規(guī)罰款、對(duì)員工生產(chǎn)力影響和長(zhǎng)期的商譽(yù)損害。數(shù)據(jù)泄漏事件一旦發(fā)生，監(jiān)管部門(mén)必然會(huì)進(jìn)行罰款并提出整改要求，嚴(yán)重的會(huì)導(dǎo)致失去業(yè)務(wù)資質(zhì)以及刑事指控?！?/span>

與“大流感”相似之處在于，Apache Log4j2漏洞已經(jīng)產(chǎn)生“變種”。除了先期公布的漏洞CVE-2021-44228，在2021年12月29日，又發(fā)現(xiàn)新的漏洞CVE-2021-44832。而在漏洞曝光和初期修復(fù)后，又衍生出大量針對(duì)性的攻擊變種，實(shí)在是應(yīng)接不暇。

一方面，漏洞在出現(xiàn)不同的“變種”；另一方面，攻擊者也在尋找新的漏洞利用模式。因此，業(yè)內(nèi)人士普遍預(yù)計(jì)Apache Log4j2漏洞帶來(lái)的影響長(zhǎng)期存在，甚至有專(zhuān)家預(yù)計(jì)將持續(xù)十年。

攻擊者的攻擊方式，多種多樣。比如攻擊者獲取服務(wù)器最高權(quán)限后，可以將其變?yōu)榭軝C(jī)，進(jìn)行免費(fèi)挖礦的礦機(jī)，從而通過(guò)獲取區(qū)塊鏈貨幣獲利。

另外，攻擊者也可能在系統(tǒng)代碼里留“后門(mén)”（即指繞過(guò)安全控制而獲取對(duì)程序或系統(tǒng)訪(fǎng)問(wèn)權(quán)）。舉個(gè)例子，一家IT供應(yīng)鏈企業(yè)，為企業(yè)、機(jī)構(gòu)做軟件開(kāi)發(fā)，若沒(méi)有及時(shí)修復(fù)漏洞，其整個(gè)IT供應(yīng)鏈都有可能被污染掉，若是核心涉密機(jī)構(gòu)IT系統(tǒng)被留“后門(mén)”，后果可謂不敢設(shè)想。

04

“云上企業(yè)”怎么防護(hù)？

傳統(tǒng)模式下，安全人員可以在本地進(jìn)行檢測(cè)、打補(bǔ)丁、修復(fù)漏洞。相對(duì)于傳統(tǒng)模式，“云上企業(yè)”使用的是云計(jì)算、云存儲(chǔ)服務(wù)等，沒(méi)有自己的機(jī)房和服務(wù)器。進(jìn)入云環(huán)境，安全防護(hù)的“邊界”不復(fù)存在，對(duì)底層主機(jī)的控制權(quán)限也沒(méi)有本地那么多，同時(shí)還多一層虛擬化方面的攻擊方式。面對(duì)這場(chǎng)史詩(shī)級(jí)的漏洞危機(jī)，“云上企業(yè)”怎么應(yīng)對(duì)呢？

特別是受疫情影響下，大量企業(yè)、機(jī)構(gòu)開(kāi)啟數(shù)字化轉(zhuǎn)型，從本地服務(wù)器遷徙到云服務(wù)器。短時(shí)間內(nèi)完成云遷移，企業(yè)很可能缺乏對(duì)應(yīng)的云安全管理能力成熟度；同時(shí)，往往也面臨著安全能力不足、專(zhuān)業(yè)人手緊缺等情況。

在安恒信息高級(jí)產(chǎn)品專(zhuān)家蓋文軒看來(lái)：“企業(yè)上云之后，傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)依然存在，此外，還會(huì)面臨新的安全風(fēng)險(xiǎn)，比如用戶(hù)與云平臺(tái)之間安全責(zé)任邊界劃分等問(wèn)題。另外，傳統(tǒng)的硬件設(shè)備可能不適用于云環(huán)境，因此需要針對(duì)特殊情況部署相關(guān)安全服務(wù)?！?/span>

而在安永大中華區(qū)科技風(fēng)險(xiǎn)咨詢(xún)服務(wù)合伙人趙劍澐看來(lái)：“面對(duì)快速上云，企業(yè)急需搭建滿(mǎn)足自身業(yè)務(wù)發(fā)展與管理要求的安全保障體系?！?/span>

對(duì)于“云上企業(yè)”，究竟是選擇云服務(wù)商提供的原生安全服務(wù)，還是另尋第三方專(zhuān)業(yè)的安全服務(wù)商呢？

目前，即使是高度自動(dòng)化的云原生安全方案，也無(wú)法做到完全自主自治，仍然需要合格的云安全服務(wù)的專(zhuān)業(yè)團(tuán)隊(duì)參與。高軼峰強(qiáng)調(diào)，對(duì)于中小型企業(yè)，選擇滿(mǎn)足資質(zhì)的第三方專(zhuān)業(yè)安全機(jī)構(gòu)，能夠保證服務(wù)的獨(dú)立性，保障工作順利開(kāi)展及服務(wù)質(zhì)量。

蓋文軒認(rèn)為：“網(wǎng)絡(luò)安全服務(wù)的時(shí)效性是非常關(guān)鍵的，如果安全事件發(fā)生后，能夠一個(gè)小時(shí)快速響應(yīng)，還是幾個(gè)小時(shí)甚至一兩天響應(yīng)，差距是很大的，客戶(hù)承擔(dān)的風(fēng)險(xiǎn)和損失是持續(xù)的。選擇第三方安全機(jī)構(gòu)專(zhuān)業(yè)性更強(qiáng)，云服務(wù)商兼容性更好。”

云服務(wù)商原生安全服務(wù)與第三方安全服務(wù)并非二選一。

趙劍澐認(rèn)為：“在企業(yè)安全防護(hù)體系的構(gòu)建中，企業(yè)應(yīng)結(jié)合自身安全管理經(jīng)驗(yàn)，從計(jì)算層、網(wǎng)絡(luò)層、數(shù)據(jù)層以及安全管理層，考量安全實(shí)踐，量體裁衣，選擇適合企業(yè)的安全服務(wù)，以構(gòu)筑全棧安全。”

DDoS攻擊

目前，最常見(jiàn)的攻擊就是分布式拒絕服務(wù)攻擊DDoS，這種攻擊使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶(hù)無(wú)法訪(fǎng)問(wèn)。一般情況下，遭遇DDoS攻擊，可以在評(píng)估攻擊訪(fǎng)問(wèn)量、帶寬、嚴(yán)重等級(jí)后，聯(lián)系云供應(yīng)商或者互聯(lián)網(wǎng)服務(wù)提供商，購(gòu)買(mǎi)對(duì)應(yīng)的防護(hù)服務(wù)，進(jìn)行緊急緩解。運(yùn)營(yíng)商及云供應(yīng)商，通過(guò)增加服務(wù)實(shí)例，擴(kuò)充帶寬，識(shí)別并丟棄惡意流量等方式應(yīng)對(duì)DDoS攻擊。

其他攻擊

若是遭遇其他類(lèi)型更有針對(duì)性的攻擊，譬如賬號(hào)爆破、網(wǎng)站內(nèi)容爬取、薅羊毛、網(wǎng)站篡改等等，則需要安全專(zhuān)業(yè)人員、第三方安全服務(wù)商等共同應(yīng)對(duì)。

對(duì)于“云上企業(yè)”而言，安恒玄武盾便是典型的云防護(hù)平臺(tái)，其幫助用戶(hù)在傳統(tǒng)網(wǎng)絡(luò)邊界消失的云環(huán)境或大規(guī)模數(shù)據(jù)中心的高并發(fā)海量業(yè)務(wù)流量環(huán)境下，抵御網(wǎng)絡(luò)層至應(yīng)用層攻擊。比如最為普遍的DDoS攻擊，玄武盾可依靠DSLB引擎進(jìn)行防護(hù)，單引擎最大可防護(hù)80G攻擊。

趙劍澐總結(jié)稱(chēng)：“優(yōu)秀的安全實(shí)踐‘宜未雨而綢繆，毋臨渴而掘井’。”

數(shù)據(jù)部分

云安全面臨的主要威脅

資料來(lái)源：CSA

上云之后的網(wǎng)站威脅數(shù)據(jù)

發(fā)生在我國(guó)云平臺(tái)上的各類(lèi)網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高，其中云平臺(tái)上遭受大流量 DDoS 攻擊的事件數(shù)量占境內(nèi)目標(biāo)遭受大流量 DDoS 攻擊事件數(shù)的 71.2%，

?

被植入后門(mén)網(wǎng)站數(shù)量占境內(nèi)全部被植入后門(mén)網(wǎng)站數(shù)量的 87.1%，被篡改網(wǎng)站數(shù)量占境內(nèi)全部被篡改網(wǎng)站數(shù)量的 89.1%。

同時(shí)，攻擊者經(jīng)常利用我國(guó)云平臺(tái)發(fā)起網(wǎng)絡(luò)攻擊，其中云平臺(tái)作為控制端發(fā)起DDoS攻擊的事件數(shù)量占境內(nèi)控制發(fā)起DDoS攻擊的事件數(shù)量的 51.7%、作為攻擊跳板對(duì)外植入后門(mén)鏈接數(shù)量占境內(nèi)攻擊跳板對(duì)外植入后門(mén)鏈接數(shù)量的 79.3%；

作為木馬和僵尸網(wǎng)絡(luò)惡意程序控制端控制的 IP 地址數(shù)量占境內(nèi)全部數(shù)量的65.1%、承載的惡意程序種類(lèi)數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類(lèi)數(shù)量的 89.5%。

數(shù)據(jù)來(lái)源：CNCERT/CC

?

云安全技術(shù)未來(lái)5年發(fā)展趨勢(shì)

Gartner 《2021年中國(guó)ICT技術(shù)成熟度曲線(xiàn)報(bào)告》（Hype Cycle for ICT in China，2021 ）橫向維度按照技術(shù)成熟度分為從新興到成熟的5個(gè)階段，縱向維度表現(xiàn)該技術(shù)的期望值。此次ICT成熟度曲線(xiàn)對(duì)AIOps平臺(tái)、數(shù)據(jù)中臺(tái)、5G、低代碼、容器即服務(wù)、多云、云安全、邊緣計(jì)算等20多項(xiàng)新型有重大發(fā)展價(jià)值的技術(shù)進(jìn)行分析。

?

中國(guó)云安全市場(chǎng)空間廣闊。根據(jù)中國(guó)信通院數(shù)據(jù)，2019 年我國(guó)云計(jì)算整體市場(chǎng)規(guī)模達(dá) 1334.5 億元，增速 38.6%。預(yù)計(jì) 2020-2022 年仍將處于快速增長(zhǎng)階段，到 2023年市場(chǎng)規(guī)模將超過(guò) 3754.2 億元。中性假設(shè)下，安全投入占云計(jì)算市場(chǎng)規(guī)模的 3%-5%，那么 2023 年中國(guó)云安全市場(chǎng)規(guī)模有望達(dá)到 112.6 億-187.7 億元。

?

---

彩蛋時(shí)刻

碼上開(kāi)啟云上安全之路