高科技社会的长期影响仍在试图找出严重的漏洞发现去年年底在开源的Apache Log4j软件,所以美国参议院。
问题不在于“开源”,赫尔博士特雷,网络治国倡议与大西洋委员会主任思想库在美国参议院国土安全及政府事务委员会听证会这个星期。“软件供应链安全问题多年来一直困扰网络政策社会。”
专家们预测长期难以补救Log4j缺陷及其影响。例如安全研究人员在思科塔洛斯表示,将广泛利用Log4j前进,和用户应该补丁影响产品和尽快实现缓解解决方案。
流行的java日志软件广泛应用于企业和消费者服务,网站和应用程序作为一个易于使用的通用工具来支持客户机/服务器应用程序开发。如果利用,Log4j的弱点可以让一个未经身份验证的远程演员影响服务器的控制系统和获取公司信息或释放一个拒绝服务攻击。
参议院呼吁专家小组为了了解行业反应和防止未来的软件风险的方法。
由于Logj4开源软件中发现,专家们花了很多时间维护使用开源软件的重要平台。
“Log4j的弱点,可以利用只在12个字符输入,只是一个例子如何广泛的软件漏洞,包括那些在开源的代码,或者是免费的,由个人开发的代码,可以将严重威胁国家和经济安全,”委员会主席参议员加里彼得斯(D-MI)。
”的在线服务,网站,和设备,这个软件脆弱性的潜在影响是不可估量的,它让一切从我们的关键基础设施,比如银行和电网、政府机构、开放的网络漏洞。”
但思科安全首席推迟。“我认为开源软件没有失败,正如一些人的建议,这是错误的认为Log4j脆弱的证据是一个独特的缺陷或与开源软件风险增加,”布拉德•阿金思科的高级副总裁兼首席安全官告诉委员会。“事实是,所有的软件包含漏洞由于人类判断设计的固有缺陷,整合,并编写软件。”
“思科是一个重要的和积极的贡献者开源用户安全项目。这些都是重要的努力需要维护的完整性代码块之间共享IT基础设施的基本元素,”阿金说。“然而,我认为,仅仅关注开源软件带来的风险可能会分散我们的注意力从其他重要领域我们可以解决所有软件的内在安全风险。”
大西洋理事会的赫尔说类似的漏洞肯定会在未来出现。“Log4j是异常广泛使用的日志记录程序,”赫尔大西洋理事会说,“和解决缺陷需要极大的努力和公众的注意,但不会是最后一次这样的事件发生。”
“关键的身体,和联邦的口号努力改善开源的安全,是基金mundane-providing资源行业不可能,或者公众的注意力减退,驱动结构的改进软件供应链安全的所有开发人员和维护人员。更好的保护软件供应链和开源代码是一个基础设施问题,和相同的长期投资模型适用。”
副主任Jen Miller-Osborn威胁情报单位42在帕洛阿尔托网络安全研究人员建议降低风险应对Log4Shell和未来的漏洞,包括:
- 自动遵守脆弱性管理政策:“我们欢迎(国土网络安全和基础设施机构)建立和维护一个目录已知的漏洞,但手工报告100多联邦文职机构不太可能领先对手。”
- 驱动行业致力于开发安全行动:“在这个舞台上令人印象深刻的工作已经被做,但是社区服务可以通过增加采用现有开发工具来控制对开源组件的访问。这些工具可以扫描所有的开源包的完整性和安全之前批准和允许在产品工程团队使用。”
思科的阿金说,实施安全架构创建必要的内部分离系统的关键限制漏洞并且能够迅速恢复和弹性的影响。
“适当的细分,例如,让攻击者很难通过网络横向移动,即使他们可以获得初始访问利用漏洞,”阿金。“实现一个zero-trust环境进一步保护关键数据和系统免受入侵和剥削,确保每一个试图连接到网络并访问重要数据和系统检查。”
阿金和其他人说安全软件开发和zero-trust发行的网络需求总统命令去年是重要的步骤,不管他们是否会阻止Log4Shell脆弱性。
不完美的代码的问题不太可能消失,说大卫说Nalley, Apache软件基金会的主席。“事实是,人类编写软件,因此将继续有bug,尽管尽了最大努力的将包括安全漏洞。随着我们继续变得越来越连接和数字,漏洞和潜在后果的数量可能增长,”他说。
“没有简单的软件安全解决方案;它需要防御depth-incorporating上游开发开源项目,供应商将这些项目,开发人员使用该软件的自定义应用程序,甚至到组织部署这些应用程序对用户提供服务重要,”Nalley表示。