在應(yīng)對Log4Shell問題上 企業(yè)哪些安全實踐起了作用?

現(xiàn)在，讓我們一起來回顧一下Log4j漏洞 (CVE-2021-44228) 事情是如何發(fā)展的。在面對過去10年最顯著的弱點之一時，哪些策略起了作用?

Log4j是一種Java日志記錄實用程序，幾乎被Internet上所有基于Java的產(chǎn)品、工具和服務(wù)所使用。如果您曾經(jīng)在網(wǎng)站上看到錯誤頁面或輸入錯誤的憑據(jù)，那么您很可能在某個時候生成了由 Log4j 處理的事件。將特制的字符串注入到 Log4j 處理的事件中會導(dǎo)致 Log4j 查詢?nèi)我馔獠?URL 并將其作為 Java 對象加載。然后，攻擊者可以使用這個漏洞(稱為 Log4Shell)來強制受害者相對容易地下載、安裝和執(zhí)行外部托管的惡意負載。

有以下安全實踐的組織可能為Log4Shell做好了準備或做出了有效的響應(yīng)。

良好的資產(chǎn)管理

擁有全面和最新的資產(chǎn)管理系統(tǒng)的組織，在快速識別易受攻擊的系統(tǒng)、評估成功開發(fā)的潛在“爆炸半徑”和量化其整體風(fēng)險更容易。他們還發(fā)現(xiàn)，對脆弱的主機應(yīng)用緊急補丁、隔離或監(jiān)控措施更容易。

了解軟件供應(yīng)鏈

通過對軟件供應(yīng)鏈所包含的庫、依賴項及代碼安全進行很好的了解，組織可以迅速識別出脆弱的第三方代碼。在軟件開發(fā)周期進行靜態(tài)應(yīng)用安全測試或動態(tài)應(yīng)用安全測試，不但可以增強對代碼的安全可見性，也有利于向上游代碼維護者報告漏洞。

集中記錄

但總的來說，擁有一個中心位置來存儲和查看所有潛在受影響設(shè)備的日志，大大提高了事件響應(yīng)的速度和易用性，使得增加的攻擊面值得冒險。

對于Log4Shell，集中式日志記錄無疑是一把雙刃劍。一方面，將事件日志發(fā)送到主機之外可以保證狡猾的攻擊者無法在SOC分析人員看到它們之前消除成功利用的跡象。另一方面，集中式日志不可避免地為基于日志的攻擊(如Log4Shell)提供了更廣闊的攻擊面。

可靠的威脅情報

利用Log4Shell的嘗試(至少在最初)很容易被自動機和分析人員檢測到。在漏洞公布后的幾天里，快速獲取和分發(fā)危害指標(ioc)的能力至關(guān)重要。隨著攻擊者變得越來越復(fù)雜，部署了各種各樣的代碼混淆方法，新的IOCs的快速共享變得更加關(guān)鍵。

搜索和警報

如果沒有正確的工具和培訓(xùn)來利用它們，集中式日志記錄和良好的威脅情報將一無是處。部署了EDR/NDR/SIEM解決方案的組織，以及訓(xùn)練有素的工作人員，都能夠很好地檢測并自動檢測利用Log4Shell的嘗試。

出口網(wǎng)絡(luò)過濾

盡管Log4Shell的影響深遠，但對于那些準備充分的人來說，緩解漏洞并不是很難。確保攻擊者無法利用該漏洞的最直接的技術(shù)是阻止HTTPS或LDAP流量離開網(wǎng)絡(luò)。

阻止出站請求并不能解決問題的根本原因，但可以防止攻擊者在脆弱的主機上安裝惡意負載。正確配置后，出站網(wǎng)絡(luò)過濾可以記錄被阻止的利用嘗試，幫助引導(dǎo)SOC分析師和事件響應(yīng)人員應(yīng)對受影響的系統(tǒng)。

嚴格的DNS策略

聯(lián)系惡意外部主機是成功進行 Log4Shell 攻擊的先決條件。通過將網(wǎng)絡(luò)名稱解析僅限于內(nèi)部資源，組織可以阻止一些(但不是全部)下載惡意負載的嘗試。

雖然這種防御技術(shù)并不完美——攻擊者可能會利用IP地址或在已經(jīng)被破壞的內(nèi)部資源上托管惡意Java對象，從而破壞這種防御技術(shù)——這是一種廉價而有效的方法，可以讓攻擊者更加難以對付。

結(jié)論

Log4Shell 在“縱深防御”的價值方面是一個優(yōu)秀的研究案例。在整個網(wǎng)絡(luò)中，多個不完整的安全檢測和緩解策略構(gòu)成了一個整體，而不是每個部分的總和。

那些花時間和精力進行安全檢測、資產(chǎn)管理和集中日志記錄來了解他們的基礎(chǔ)設(shè)施安全性的組織，能夠更好地和全面地對一個新的和以前未見過的漏洞快速做出反應(yīng)。

不是每個問題都需要新的解決方案。及時的安全檢測、良好的“眼力”加上對現(xiàn)有系統(tǒng)(如防火墻和名稱服務(wù)器)相結(jié)合，通常會給SOC團隊提供所需的修補時間。

Log4Shell在一定程度上影響了我們所有人，但是在漏洞宣布之前已經(jīng)做好了安全防御準備和響應(yīng)機制的組織更可以快速、全面、有條不紊地解決。

文章來源：

https://www.helpnetsecurity.com/2022/02/15/log4j-vulnerability/