二十年一遇安全漏洞來襲，工信部發文提示風險 “云上企業”如何應對這場“網絡大流感”

每經記者 朱成祥    每經編輯 梁梟    

Apache（阿帕奇）Log4j2，對于大部分互聯網用戶而言是個陌生的詞匯。但在很多程序員眼中，它卻是陪伴自己的好伙伴，每天用于記錄日志。然而，恰恰是這個被無數程序員每天使用的組件出現漏洞了。這個漏洞危害之大，甚至可能超過“永恒之藍”。

安恒信息高級應急響應總監季靖評價稱：“（Apache Log4j2）降低了黑客攻擊的成本，堪稱網絡安全領域20年以來史詩級的漏洞。”有業內人士還認為，這是“現代計算機歷史上最大的漏洞”。

工信部于2021年12月17日發文提示風險：“阿帕奇Log4j2組件存在嚴重安全漏洞……該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。”

就連國家政府部門也中招了。2021年12月下旬，比利時國防部承認他們遭受了嚴重的網絡攻擊，該攻擊基于Apache Log4j2相關漏洞，網絡攻擊導致比利時國防部包括郵件系統在內的一些業務癱瘓。

此漏洞“威力”之大，連國家信息安全也受到波及。那么普通企業，特別是采用云服務的企業應該如何應對呢？疫情發生以來，大量企業、機構加速數字化進程，成為“云上企業”。傳統環境下，企業對自身的安全體系建設擁有更多掌控權，完成云遷移后，這些企業的云安全防護是否到位？

二十年一遇安全漏洞來襲：將成“網絡大流感”

2021年12月9日深夜，Apache Log4j2遠程代碼執行漏洞攻擊爆發，一時間各大互聯網公司“風聲鶴唳”，許多網絡安全工程師半夜醒來，忙著修補漏洞。“聽說各大廠程序員半夜被叫起來改，不改完不讓下班。”相關論壇也對此事議論紛紛。

為何一個安全漏洞的影響力如此之大？安永大中華區網絡安全與隱私保護咨詢服務主管合伙人高軼峰認為：“影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機備受矚目，造成了全球范圍的影響。”

“Log4j2是開源社區阿帕奇（Apache）旗下的開源日志組件，被全世界企業和組織廣泛應用于各種業務系統開發”，季靖表示，“據不完全統計，漏洞爆發后72小時之內，受影響的主流開發框架都超過70個。而這些框架，又被廣泛使用在各個行業的數字化信息系統建設之中，比如金融、醫療、互聯網等等。由于許多耳熟能詳的互聯網公司都在使用該框架，因此阿帕奇Log4j2漏洞影響范圍極大。”

除了應用廣泛之外，Apache Log4j2漏洞被利用的成本相對而言也較低，攻擊者可以在不需要認證登錄這種強交互的前提下，構造出惡意的數據，通過遠程代碼對有漏洞的系統執行攻擊。并且，它還可以獲得服務器的最高權限，最終導致設備遠程受控，進一步造成數據泄露，設備服務中斷等危害。

不僅僅攻擊成本低，而且技術門檻也不高。不像2017年爆發的“永恒之藍”，攻擊工具利用上相對復雜。基于Apache Log4j2漏洞的攻擊者，可以利用很多現成的工具，稍微懂點技術便可以構造更新出一種惡意代碼。

利用難度低、攻擊成本低，意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續一段時間，這將是一場“網絡安全大流感”。

互聯網也要“防疫”：企業不聞不問或將帶來嚴重后果

與“流感病毒”的相似之處在于，Apache Log4j2漏洞已經產生“變種”。除了先期公布的漏洞CVE-2021-44228，在12月29日，又發現新的漏洞CVE-2021-44832。而在漏洞曝光和初期修復后，又衍生出大量針對性的攻擊變種，實在是防不勝防。

一方面，漏洞在出現不同的“變種”；另一方面，攻擊者也在尋找新的漏洞利用模式。因此，業內人士普遍預計，Apache Log4j2漏洞帶來的影響長期存在，甚至有專家預計將持續十年以上。

攻擊者的攻擊方式，也是多種多樣的。比如攻擊者獲取服務器最高權限后，可能在系統代碼里留“后門”，將其變為傀儡機，用來從事挖礦或者發動DDoS攻擊等黑產活動。

企業可以對這個漏洞“不聞不問”嗎？答案顯然是否定的。高軼峰警示稱：“沒有及時認真應對此次Log4j2漏洞危機的企業，或將面臨著網站篡改、服務中斷、數據泄漏等風險。尤其是數據泄漏事件，其危害對企業來說可能是‘毀滅性’的，其中必然涉及直接銷售損失、合規罰款、對員工生產力影響和長期的商譽損害。數據泄漏事件一旦發生，監管部門必然會罰款并提出整改要求，嚴重的會導致失去業務資質以及刑事指控。”

“云上企業”怎么防護？搭建安全保障體系是關鍵

傳統模式下，安全人員可以在本地檢測、打補丁、修復漏洞。相對于傳統模式，“云上企業”使用的是云計算、云存儲服務等，沒有自己的機房和服務器。進入云環境，安全防護的“邊界”不復存在，對底層主機的控制權限也沒有本地那么多，同時還多一層虛擬化方面的攻擊方式。

特別是疫情影響下，大量企業、機構開啟數字化轉型，從本地服務器遷徙到云服務器。短時間內完成云遷移，企業很可能缺乏對應的云安全管理能力成熟度；同時，往往也面臨著安全能力不足、專業人手緊缺等情況。

面對這場史詩級的漏洞危機，“云上企業”應該如何應對呢？

在安恒信息高級產品專家蓋文軒看來：“企業上云之后，傳統的網絡安全風險依然存在，此外，還會面臨新的安全風險，比如用戶與云平臺之間安全責任邊界劃分等問題。另外，傳統的硬件設備可能不適用于云環境，因此需要針對特殊情況部署相關安全服務。”

而在安永大中華區科技風險咨詢服務合伙人趙劍澐看來：“面對快速上云，企業急需搭建滿足自身業務發展與管理要求的安全保障體系。”

那么，對于這些“云上企業”，究竟是選擇云服務商提供的原生安全服務，還是另尋第三方專業的安全服務商呢？

蓋文軒認為：“網絡安全服務的時效性是非常關鍵的，如果安全事件發生后，一個小時快速響應，還是幾個小時甚至一兩天響應，差距是很大的，客戶承擔的風險和損失是持續的。選擇第三方安全機構專業性更強，云服務商兼容性更好。”

事實上，目前即使是高度自動化的云原生安全方案，也無法做到完全自主自治，仍然需要合格的云安全服務專業團隊參與。高軼峰強調，對于中小型企業，選擇滿足資質的第三方專業安全機構，能夠保證服務的獨立性，保障工作順利開展及服務質量。

云服務商原生安全服務與第三方安全服務并非二選一。趙劍澐認為：“在企業安全防護體系的構建中，企業應結合自身安全管理經驗，從計算層、網絡層、數據層以及安全管理層，考量安全實踐，量體裁衣，選擇適合企業的安全服務，以構筑全棧安全。”

網絡安全專家談安全實踐：“宜未雨而綢繆”

網站風險的發現和網站安全防護是一個對專業性要求較高的工作，很多單位缺乏專業安全設備和技術人員，業務系統遭受攻擊后不能及時響應，造成內容被篡改、植入暗鏈、黑頁、業務宕機癱瘓等，引發負面影響，甚至給網站管理單位帶來嚴重的經濟損失。因此，對暴露在互聯網上的業務系統開展常態化安全防護與監測尤為必要。

趙劍澐總結稱：“優秀的安全實踐‘宜未雨而綢繆，毋臨渴而掘井’。”

對于“云上企業”而言，安恒玄武盾SaaS服務便是典型的云防護和云監測一體化解決方案，幫助用戶在Nday漏洞應急響應場景下，可以有效實現漏洞的安全監測、攻擊防護以及7x24小時安全專家值守服務保障，協助用戶掌握重要信息系統和重點網站的安全態勢，實現網站和相關業務系統的防篡改、防入侵、防數據泄漏，避免網站安全事件發生。

行業數據概覽

11月和12月境內計算機惡意程序傳播次數超過19000萬，但是較10月的21000萬有明顯減少。其中11月的惡意計算機程序傳播次數在第2周達到巔峰，為5367.2萬，12月的在第3周達到高峰，達到6374.1萬。11月總計19294.9萬；12月總計19541.6萬。

在境內感染計算機惡意程序主機數量上，11月每周呈上升趨勢，11月總計397.6萬；12月得到控制，每周呈下降趨勢總計423.7萬。

境內被篡改網站總數上，11月有4767個，12月有6708個，兩個月較10月均有明顯減少；其中政府網站數量上，12月有36個，較11月34個相差不多，政府網站面對的攻擊依舊不容忽視，要保持警惕；

12月境內被植入后門網站總數累計2062個，較11月的3551個下降41.9%；針對境內網站的仿冒網頁數量，12月有1365個，11月668個，上漲104.3%。由此可見，越到年末，越要重視境內的網絡安全。

12月的信息安全漏洞數量2419個，較11月的2239個上漲8.04%；其中高危漏洞數量上，12月較11月上漲31.2%。每月都有漏洞利用的事件發生，針對安全漏洞問題，一定要在正規途徑下載應用，并及時更新。

上云之后，企業云安全面臨哪些威脅？

數據來源：CSA

發生在我國云平臺上的各類網絡安全事件數量占比仍然較高，其中云平臺上遭受大流量DDoS攻擊的事件數量占境內目標遭受大流量DDoS攻擊事件數的71.2%、被植入后門網站數量占境內全部被植入后門網站數量的87.1%、被篡改網站數量占境內全部被篡改網站數量的89.1%。

同時，攻擊者經常利用我國云平臺發起網絡攻擊，其中云平臺作為控制端發起DDoS攻擊的事件數量占境內控制發起DDoS攻擊的事件數量的51.7%、作為攻擊跳板對外植入后門鏈接數量占境內攻擊跳板對外植入后門鏈接數量的79.3%；作為木馬和僵尸網絡惡意程序控制端控制的IP地址數量占境內全部數量的65.1%、承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的89.5%。

上述餅狀圖數據來源：CNCERT/CC

圖片來源：艾瑞咨詢報告截圖

云安全技術未來5年發展趨勢

Gartner《2021年中國ICT技術成熟度曲線報告》（Hype Cycle for ICT in China，2021）橫向維度按照技術成熟度分為從新興到成熟的5個階段，縱向維度表現該技術的期望值。此次ICT成熟度曲線對AIOps平臺、數據中臺、5G、低代碼、容器即服務、多云、云安全、邊緣計算等20多項新型有重大發展價值的技術進行分析。

圖片來源：Gartner報告截圖

中國云安全市場空間廣闊。根據中國信通院數據，2019年我國云計算整體市場規模達1334.5億元，增速38.6%。預計2020年～2022年仍將處于快速增長階段，到2023年市場規模將超過3754.2億元。中性假設下，安全投入占云計算市場規模的3%～5%，那么2023年中國云安全市場規模有望達到112.6億元～187.7億元。

掃描二維碼或點擊「閱讀原文」開啟安全IT運維之路：

封面圖片來源：攝圖網-500530363