DHS 首份網絡安全審查委員會報告認為 Log4j 已成為待續性威脅

負責調查全球計算機網絡安全事件的獨立機構周四表示，去年年底被廣泛利用的Apache Log4j Java庫中發現的漏洞在未來許多年里仍將是一個威脅。美國國土安全部網絡安全審查委員會的首份報告發現，盡管聯邦和私營部門的組織努力保護他們的網絡，但Log4j已經成為一個”區域性漏洞”–這意味著這個無處不在的軟件庫的未打補丁版本將在未來十年，甚至更長時間內留在系統中。

“這個事件還沒有結束。風險仍然存在。網絡防御者必須保持警惕，”美國國土安全部負責政策的副部長兼小組主席Rob Silvers在周三的電話會議上告訴記者。

該報告是該委員會大約五個月的工作成果，該委員會是去年作為喬·拜登總統的全面行政命令的一部分而成立的，旨在改革聯邦政府的網絡安全應對方法。

這個由15人組成的小組–松散地仿照國家運輸安全委員會（NTSB），由來自公共和私營部門的官員組成–在2月份受命調查Log4j的弱點是如何發生的，并提出數字安全界可以從全球反應中吸取的教訓。

西爾弗斯說，董事會成員對大約80個組織進行了訪談，并與行業、外國政府和安全專家接觸，以獲取信息。

總的來說，委員會提出了19項建議，供各實體在對Log4j保持警惕時采納。Google安全工程副總裁、小組副主席希瑟-阿德金斯（Heather Adkins）告訴記者，委員會的結論還鼓勵提高網絡社區的安全標準，特別是軟件開發人員”資源稀缺”和基于志愿者的開源部門。她說：”我們希望我們的發現對社區來說既是鼓舞人心的，但也不是令人驚訝或無法實現的。”

國土安全部部長亞歷杭德羅-馬約爾卡斯在一份聲明中說，審查為政府和行業提供了”明確的、可操作的建議，國土安全部將幫助實施這些建議，以加強我們的網絡復原力，推進對我們的集體安全至關重要的公私伙伴關系”。