美國網絡安全審查委員會首份報告: Log4j漏洞要十余年才能修完
美國網絡安全審查委員會發布首份報告指出,去年年底曝光的Log4j漏洞已成為“流行病”,將在未來十年甚至更長時間持續引發風險;
這份報告耗時約五個月,調研了約80個組織,并與行業、外國政府及安全專家開展交流,還包括漏洞發現者所在國家中國政府;
該委員會提出了19條建議,以供各實體在Log4j漏洞威脅下采用。
安全內參7月15日消息,美國網絡安全審查委員會昨日表示,去年年底曝光的Log4j漏洞已成“流行病”,將在未來多年引發持續風險。
美國總統拜登在2021年創建 網絡安全審查委員會(類似于國家運輸安全委員會),由國土安全部負責。其目的是 對網絡事件進行審查,檢查根本原因,并在必要時提出建議,改革聯邦政府內的網絡安全方法。
網絡安全審查委員會在首份報告中發現,盡管聯邦政府及各私營組織一直在努力保護自身網絡,但Log4j已經成為一大“ 持續性流行漏洞”。換言之, 這種無所不在的軟件庫的未經修復版本,將在未來十年或更長時間內繼續留存在各類系統當中。
國土安全部負責政策的副部長兼審查委員會主席羅布·西爾弗斯(Rob Silvers)在7月13日的電話會議上告訴記者,“此次事件并未平息,風險依然存在。網絡防御者必須繼續保持警惕。”
網絡安全審查委員會的 這份報告耗時約五個月。審查委員會共有15名成員,大致仿照美國國家運輸安全委員會的形式,由來自公共和私營部門的官員組成。今年2月,他們受命深入研究Log4j缺陷的來龍去脈,并結合世界各地的反應為數字安全社區總結出可資借鑒的經驗教訓。
西爾弗斯表示,委員會成員 共采訪了約80個組織,并與行業、外國政府及安全專家開展了信息交流。
該委員會還與中國政府的代表進行了溝通,因為最初發現并上報這個開源軟件工具漏洞的,正是阿里巴巴的工程師。
報告的最后部分, 審查委員會提出了19條建議,以供各實體在Log4j漏洞威脅下采用。
圖:精簡版建議
谷歌安全工程副總裁兼委員會副主席希瑟·阿德金斯(Heather Adkins)表示,他們還鼓勵提高網絡社區的安全標準,特別是開發者“資源匱乏”且主要是志愿者的開源領域。
她提到,“我們希望此次研究結果能夠給社區帶來啟發,其中的結論并不讓人意外,也具有實踐指導意義。”
在一份聲明當中,國土安全部長亞歷杭德羅·馬約卡斯(Alejandro Mayorkas)表示,此項檢查為政府和行業提供了“明確且可操作的建議。國土安全部將實施這些建議以加強我們的網絡彈性,并推進對于集體安全至關重要的公私合作伙伴關系。”
參考資料:therecord.media
