网络安全面板的就职报告概述了突击安全缺陷所表现出的优势和劣势
开源库中的“ log4shell”漏洞log4j根据具有里程碑意义的美国政府报告,已经达到了“流行”的比例,余震可能会回荡“十年或更长时间”。
网络安全审查委员会(CSRB)的就职报告提供了19条建议组织政府机构可以加强其网络和应用程序,以防止威胁。
CSRB由国土安全部(DHS)于2022年2月成立,该部由一年前由拜登总统签署的以网络安全为重点的行政命令。
公私倡议的任务是审查严重的网络安全事件,并向政府,行业和信息安全界。
“变革制度”
log4shell漏洞,它浮出水面2021年12月,提供了超临界性的有效组合 - 鉴于CVSS的最大严重程度得分为10-以及巨大的攻击表面,鉴于Log4J在为众多应用程序提供基于Java的日志记录方面的近距离表面。
国土安全部秘书亚历杭德罗·梅卡斯(Alejandro Mayorkas)说CSRB是“转型机构,将以前所未有的方式提高我们的网络韧性”,其报告将有助于“增强我们的网络韧性,并促进对我们集体安全至关重要的公私合作伙伴关系”。
Synopsys网络安全研究中心的首席安全策略师蒂姆·麦基(Tim Mackey)表示,该报告在“如此迅速地对网络事件的影响和根本原因进行全面审查”方面是不寻常的。
不要忘记阅读Blitz.js中的原型污染导致远程代码执行
CSRB报告(PDF)于7月14日发表,他说:“ Log4J的脆弱实例将在未来的系统中保留很多年,也许十年或更长时间。仍然存在重大风险。”
维持Log4J的Apache软件基金会因其“完善的软件开发生命周期”和“识别问题的关键性”而受到赞誉。
该报告还赞扬了供应商和政府的有效指导,工具和威胁信息的迅速生产。
再下去供应链但是,“组织仍在努力应对活动,升级脆弱软件的艰苦工作远非许多组织的完整”。
此外,该活动强调了“安全风险开源社区”,CSRB表示,这需要公共和私营部门利益相关者的更多支持。
'难以置信'
该报告说,CSRB“不知道对关键基础架构系统的任何基于Log4J的任何重大攻击”,并且敌对剥削似乎“发生在比许多专家预测的较低水平上”。
但是,安全供应商Cerby的首席信托官Matt Chiodi发现这些主张“非常难以置信”,并指出 - 正如CSRB本身所承认的那样,组织没有义务报告对严重脆弱性的剥削。
Chiodi还说,这些建议包括缓解正在进行的Log4J风险并迁移到积极主动的脆弱性管理模型的建议,“太不透明了公司以其当前形式实施”。
他建议组织“致命地认真对待您的资产并朝着零信托建筑迈进”,并指出“大多数组织具有可怕的资产管理实践”,尤其是与“在“本土应用程序”中的申请云”。
同时,麦基警告说:“依赖商业供应商以提醒消费者问题,假设供应商正在正确管理其开源用法,并且他们能够识别和提醒所有用户受影响的软件 - 即使支持支持该软件已经结束。”
考虑到这一点,“软件消费者应实施一个信任和验证的模型,以验证他们是否包含未包含未捕获的漏洞的软件”。
