如何從網(wǎng)絡(luò)安全事件中恢復(fù):企業(yè)必須吸取的教訓(xùn)

責(zé)任編輯:cres

作者:Tony Hadfield

2022-05-18 14:20:15

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在Log4Shell和Spring4Shell網(wǎng)絡(luò)攻擊事件之后,企業(yè)必須吸取三個(gè)關(guān)鍵教訓(xùn),以便在使用開(kāi)源軟件時(shí)保持安全。

人們之前也遭遇過(guò)供應(yīng)鏈攻擊,2021年是供應(yīng)鏈攻擊快速增長(zhǎng)的一年。與Spring4Shell和Log4j攻擊一樣,使用開(kāi)源解決方案增加了風(fēng)險(xiǎn)。它們幾乎存在于所有的軟件開(kāi)發(fā)中,并且經(jīng)??焖匍_(kāi)發(fā),從而在安全性方面留下空白。這意味著,如果開(kāi)源組件中存在任何漏洞,其影響將是巨大的。
 
在Log4Shell和Spring4Shell網(wǎng)絡(luò)攻擊事件之后,企業(yè)必須吸取三個(gè)關(guān)鍵教訓(xùn),以便在使用開(kāi)源軟件時(shí)保持安全:
 
1.發(fā)現(xiàn)風(fēng)險(xiǎn)
 
為了安全地開(kāi)發(fā)、管理和維護(hù)軟件供應(yīng)鏈,企業(yè)必須了解所有環(huán)節(jié)。
 
為了確保安全,企業(yè)需要一個(gè)清晰的清單并真正了解所有正在使用的開(kāi)源組件。不能盲目相信開(kāi)源軟件組件的出處和安全性。如果像Log4Shell、Spring4Shell和SolarWinds這樣的事件教會(huì)了人們什么的話,那就是需要更多地了解企業(yè)內(nèi)使用的所有不同軟件。
 
這包括它們的開(kāi)發(fā)方式和位置,以及它們?cè)谄髽I(yè)中的使用位置,以便在發(fā)現(xiàn)漏洞時(shí)可以迅速解決問(wèn)題以限制損害。
 
2.不要過(guò)于復(fù)雜
 
第二個(gè)問(wèn)題是需要企業(yè)自己防護(hù)。在開(kāi)發(fā)框架或庫(kù)時(shí),做好這一點(diǎn)很重要。采取更簡(jiǎn)單的方法也很重要,這樣就不會(huì)在不知不覺(jué)中引入漏洞。
 
專(zhuān)注于做好幾件事比糟糕地引入很多特性要好。功能越多,出現(xiàn)嚴(yán)重漏洞的可能性就越大。因此,在查看想為產(chǎn)品和服務(wù)添加哪些新功能時(shí),仔細(xì)考慮是否需要它們,并且只使用一些必不可少的功能。
 
盡管需要快速發(fā)展,但企業(yè)需要確保他們花費(fèi)時(shí)間真正考慮他們需要哪些功能以及為什么需要,因?yàn)槿魏纬鲆蟮墓δ芏伎赡転槁┒闯ㄩ_(kāi)大門(mén)。
 
3.外部化處理
 
第三,企業(yè)在設(shè)計(jì)和開(kāi)發(fā)不同的應(yīng)用程序時(shí)需要意識(shí)到橫切關(guān)注點(diǎn)。無(wú)論是用于日志記錄、指標(biāo)、加密通信還是緩存,重要的是要考慮這些持續(xù)存在的問(wèn)題是否需要在應(yīng)用程序中處理,或者是否可以將它們?cè)趹?yīng)用程序之外處理。
 
例如使用日志記錄,許多框架可以將日志發(fā)送到各種位置,包括稱(chēng)為標(biāo)準(zhǔn)輸出的輸出文件和由企業(yè)的應(yīng)用程序負(fù)責(zé)的警報(bào)服務(wù)??梢圆扇「?、更安全的方法。與其相反,需要考慮讓其應(yīng)用程序?qū)⑷罩景l(fā)送到標(biāo)準(zhǔn)輸出,然后利用日志收集器服務(wù)將日志發(fā)送到所有需要的終端位置。通過(guò)將這些問(wèn)題進(jìn)行外部化處理,開(kāi)發(fā)人員需要擔(dān)心的代碼和配置就更少了,因此可以減少可能出現(xiàn)的漏洞。
 
采取積極措施
 
Log4Shell和Spring4Shell漏洞只是強(qiáng)調(diào)了企業(yè)需要采取積極措施來(lái)保護(hù)他們的環(huán)境。然而,隨著創(chuàng)新的加速,這只會(huì)變得更加困難,為企業(yè)創(chuàng)造越來(lái)越多的機(jī)器身份以供關(guān)注。
 
試圖監(jiān)控和管理所有這些機(jī)器身份,同時(shí)保留所有軟件組件的庫(kù)存并確保開(kāi)發(fā)保持簡(jiǎn)單并非易事?,F(xiàn)在的企業(yè)可能缺乏技能和資源。他們應(yīng)該利用自動(dòng)化和安全工具來(lái)確保減少漏洞數(shù)量,這樣就不會(huì)像遭遇Log4j網(wǎng)絡(luò)攻擊那樣受到廣泛的影響。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)