网络成瘾症

首页 » 常识 » 问答 » 回顾供应链安全事件,展望2022网络安全
TUhjnbcbe - 2023/3/12 9:46:00
北京看白癜风最好专科 https://wapyyk.39.net/bj/zhuanke/89ac7.html

年末,Log4j2漏洞爆发,引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。通过仔细分析此次供应链安全事件的特点不难看出,这是一起典型的由开源软件所导致的供应链安全事件,上游软件提供商的漏洞殃及了下游产业的产品提供者,错综复杂的依赖关系使影响范围扩大,最终遍及整个网络空间。Log4j2事件为安全厂商与网络安全从业者敲响了警钟,必须警惕开源软件供应链中暗藏的危机,并采取有效行动。

Log4j2作为一个堪比标准库的基础日志库,无数开源Java组件都直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远,它犹如一个埋藏在命门处的定时炸弹,一旦引爆,便是致命打击。然而,当我们需要探查这个深埋在系统内部的缺陷,并梳理其影响范围或判断其他组件是否存在同样的安全隐患时,这又给管理者带来了一项极为复杂的工作。

由于Log4j2被引用的广泛性,其可能存在于系统组件的各个角落。在组件的集成构建阶段,当Log4j2作为基础组件集成到一些核心业务组件时,漏洞也在有意无意间渗透到了更为上层的核心业务中,使产品的核心业务暴露出一个附加的攻击面。在该阶段,由于组件之间的依赖关系相对较为清晰,所以当漏洞被引入时,受到的影响面也较为容易排查。我们往往只需要将代码仓库中受影响的组件版本更换为安全的补丁版本或直接移除更换掉即可。

在组件的依赖使用阶段,随着当前软件系统架构复杂性的提升,组件之间的依赖深度也逐渐增加。当Log4j2这类核心组件受到漏洞影响时,软件系统自身的复杂性就会掩盖影响,导致整个软件系统的攻击面被隐藏起来,从而容易被人忽略。所以在该阶段排查漏洞影响最为艰难,往往需要安全工程师们进行大规模的分析排查、抽丝剥茧,将软件系统的各种依赖关系梳理清楚。站在攻击、防御的视角观察同样如此,攻击者及防御者往往需要通过hook、fuzz等方式测试组件的调用深度,从而找出被隐藏的漏洞触发点。

在下游用户使用阶段,受到的影响则更为被动。因为复杂的软件系统对于身处下游的用户来说是一个黑盒,普通用户对于其包含的组件风险一无所知,此时只能靠有责任心的软件提供商来提供运维支持服务。如果遇到不负责任或者漏洞应急不及时的供应商,则只能依靠社区建议及旁路的安全设备来进行临时舒缓。

随着开源软件应用的不断普及,软件开发过程也越来越依赖于组件间的相互调用与组合,以适应不断变化的市场环境。但开发者在

1
查看完整版本: 回顾供应链安全事件,展望2022网络安全