网络大流感ApacheLog4j2漏洞来袭云上企业如何应对？

　　每经记者：朱成祥 每经编辑：梁枭
　　对于大部分互联网用户而言，Apache（阿帕奇）Log4j2是个陌生的词汇。但在很多程序员眼中，它却是陪伴自己的好伙伴，每天用于记录日志。然而，恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大，甚至可能超过＂永恒之蓝＂。
　　安恒信息高级应急响应总监季靖评价称：＂（Apache Log4j2）降低了黑客攻击的成本，堪称网络安全领域20年以来史诗级的漏洞。＂有业内人士还认为，这是＂现代计算机历史上最大的漏洞＂。
　　工信部于2021年12月17日发文提示风险：＂阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。＂
　　就连国家政府部门也中招了。2021年12月下旬，比利时国防部承认他们遭受了严重的网络攻击，该攻击基于Apache Log4j2相关漏洞，网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。
　　此漏洞＂威力＂之大，连国家信息安全也受到波及。那么普通企业，特别是采用云服务的企业应该如何应对呢？疫情发生以来，大量企业、机构加速数字化进程，成为＂云上企业＂。传统环境下，企业对自身的安全体系建设拥有更多掌控权，完成云迁移后，这些企业的云安全防护是否到位？
　　二十年一遇安全漏洞来袭：将成＂网络大流感＂
　　2021年12月9日深夜，Apache Log4j2远程代码执行漏洞攻击爆发，一时间各大互联网公司＂风声鹤唳＂，许多网络安全工程师半夜醒来，忙着修补漏洞。＂听说各大厂程序员半夜被叫起来改，不改完不让下班。＂相关论坛也对此事议论纷纷。
　　为何一个安全漏洞的影响力如此之大？安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为：＂影响广泛、威胁程度高、攻击难度低，使得此次Apache Log4j2漏洞危机备受瞩目，造成了全球范围的影响。＂
　　＂Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发＂，季靖表示，＂据不完全统计，漏洞爆发后72小时之内，受影响的主流开发框架都超过70个。而这些框架，又被广泛使用在各个行业的数字化信息系统建设之中，比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架，因此阿帕奇Log4j2漏洞影响范围极大。＂
　　除了应用广泛之外，Apache Log4j2漏洞被利用的成本相对而言也较低，攻击者可以在不需要认证登录这种强交互的前提下，构造出恶意的数据，通过远程代码对有漏洞的系统执行攻击。并且，它还可以获得服务器的最高权限，最终导致设备远程受控，进一步造成数据泄露，设备服务中断等危害。
　　不仅仅攻击成本低，而且技术门槛也不高。不像2017年爆发的＂永恒之蓝＂，攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者，可以利用很多现成的工具，稍微懂点技术便可以构造更新出一种恶意代码。
　　利用难度低、攻击成本低，意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间，这将是一场＂网络安全大流感＂。
　　＂云上企业＂如何防护？
　　传统模式下，安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式，＂云上企业＂使用的是云计算、云存储服务等，没有自己的机房和服务器。进入云环境，安全防护的＂边界＂不复存在，对底层主机的控制权限也没有本地那么多，同时还多一层虚拟化方面的攻击方式。
　　特别是疫情影响下，大量企业、机构开启数字化转型，从本地服务器迁徙到云服务器。短时间内完成云迁移，企业很可能缺乏对应的云安全管理能力成熟度；同时，往往也面临着安全能力不足、专业人手紧缺等情况。
　　面对这场史诗级的漏洞危机，＂云上企业＂应该如何应对呢？
　　在安恒信息高级产品专家盖文轩看来：＂企业上云之后，传统的网络安全风险依然存在，此外，还会面临新的安全风险，比如用户与云平台之间安全责任边界划分等问题。另外，传统的硬件设备可能不适用于云环境，因此需要针对特殊情况部署相关安全服务。＂
　　而在安永大中华区科技风险咨询服务合伙人赵剑澐看来：＂面对快速上云，企业急需搭建满足自身业务发展与管理要求的安全保障体系。＂
　　那么，对于这些＂云上企业＂，究竟是选择云服务商提供的原生安全服务，还是另寻第三方专业的安全服务商呢？
　　事实上，目前即使是高度自动化的云原生安全方案，也无法做到完全自主自治，仍然需要合格的云安全服务专业团队参与。高轶峰强调，对于中小型企业，选择满足资质的第三方专业安全机构，能够保证服务的独立性，保障工作顺利开展及服务质量。
　　每日经济新闻