在爆炸性的Apache Log4j 漏洞席卷全球之后,白宫在当地时间1月13日如期举行的峰会上与来自科技界的领导人和联邦机构的负责人,共同讨论提高开源软件安全性的方法。本次会议由美国国家安全顾问杰克沙利文于2021年12月向主要科技公司发出邀请,由负责网络和新兴技术的国家安全副顾问安妮纽伯格主持。会后谷歌、RedHat、GitHub等科技巨头均高调表示对白宫峰会的支持及后续所采取的积极举措。截止北京时间14日6点30分,白宫尚未对峰会的成果发布任何消息和评论。
会议背景
白宫不具名的高级官员在活动前的一份声明中称,这次会议的目的是促进围绕开源软件的重要讨论,开源软件被广泛使用,开发人员可以检查、修改和增强。白宫还表示,会议的重点是集思广益,探讨新的合作如何快速推动改进。
Log4Shell漏洞惊动白宫国安委--拟议中的开源软件网络安全会议将在明年元月召开
受邀出席的组织包括:Akamai、亚马逊、Apache Software Foundation、Apple、Cloudflare、Facebook/Meta、GitHub、谷歌、IBM、Linux 开源基金会、微软、甲骨文、RedHat和VMWare等头部企业。
参会的美国政府机构和部门包括:商务部、国土安全部、能源部和国防部;美国网络安全和基础设施安全局;国家网络总监办公室;美国国家标准与技术研究院;科技政策办公室;国家科学基金会。
本次会议也是落实拜登总统网络EO的举措之一。白宫官员表示,此次会议延续了乔·拜登总统于 2021年5月发布的关于网络安全的行政命令的工作,该命令将重点放在软件安全上,并推动了美国政府和私营部门的一系列努力。该命令要求只有使用安全软件开发生命周期实践并符合特定联邦安全指南的公司才能向联邦政府出售产品。
该行政命令还规定联邦供应商可以使用软件材料清单(SBOM)。SBOM是特定软件组件的综合列表,它们可以减少破坏性漏洞披露后的手动识别过程。
这位官员表示,开源软件被志愿者广泛使用和维护的事实是......这是关键的国家安全问题,因为全球正在经历Log4j漏洞。软件安全对美国的国家和经济安全至关重要。类似SolarWinds供应链攻击事件已在警示,战略对手积极利用漏洞进行恶意攻击。其实这个问题并不新鲜。在这次会议上,大家将一起讨论解决这个问题的现有努力,哪些行之有效,以及可以做些什么来保护我们所有人都依赖的开源软件。
业界反响
在会后与ISMG(信息安全媒体集团)分享的一份声明中,谷歌和Alphabet全球事务总裁兼首席法律官Kent Walker谈到峰会时表示,开源软件是网络世界的大部分连接组织。它值得对这种道路和桥梁给予同样的关注和资金投入。今天在白宫举行的会议既是对挑战的认可,也是应对挑战的重要第一步。
GitHub的CSO和峰会参与者Mike Hanley在一份声明中告诉ISMG,仅仅一两行易受攻击的”开源“ 代码就可以对依赖它的数十亿开发人员和服务产生全球连锁反应。因为作为全球最大的开发者平台,GitHub认真对待这些风险,并理解其支持其平台上数百万开发者保护开源的责任。...解决软件供应链安全问题是一项团队运动。...今天的讨论是共同保护世界密码的重要一步。
谷歌的沃克(Walker)说,在会议期间,这家科技巨头分享了几项提案,主题包括确定关键的开源项目;建立安全、维护和测试基线;并增加公共和私人支持。他说,后者包括成立一个新组织,作为开源维护的市场,将志愿者与关键项目相匹配。
IBM的企业安全主管Jamie Thomas回应了Walker的评论,并表示白宫会议明确表明政府和行业可以共同努力改进开源的安全实践。IBM可以从鼓励广泛采用开放和合理的安全标准开始,确定应该满足最严格的安全要求的关键开源资产,并促进全国范围内的合作,以扩大开源安全方面的技能培训和教育,并奖励开发人员在该领域取得了重要进展。
工业网络安全公司Claroty的CISO和CPO的Geyer(格兰特·盖尔)在评论峰会时表示,严重的开源软件漏洞不会消失,因为管理员并不总是知道这些开源组件在商业或本土软件中的位置应用程序。
Geyer说,在工业环境中,遗留软件继续占据主导地位,放大了相关风险,因为停机时间“不可接受”并且“关键服务不能轻易关闭”。表示志愿者运行的项目是一个令人担忧的重要原因,许多开源项目资源不足且资金不足;除非出现严重的漏洞,否则这些挑战通常不会暴露出来。
Claroty的Geyer还表示,尽管对Log4j漏洞有反向推动作用,但白宫会议应该更加推动对运行在关键关键基础设施系统上的软件的可见性以及遵守最低安全开发标准的要求。
aDolus Technology的技术研究和集成副总裁Ron Brash表示,该公司专注于关键基础设施的软件智能以及与CISA和更广泛的DHS的合作伙伴,本次峰会的最大影响将是政府公共部门和私营企业领导人认识到重点的转变面向供应链——因为当今软件使用的影响现在已经超出了资产所有者和解决方案提供商。
RedHat产品和技术执行副总裁Matt Hicks、高级副总裁兼首席技术官(CTO)Chris Wright和全球公共政策部负责人副总裁Mark Bohannon以及其他技术行业领导者的代表今天参加了由白宫国家安全委员会主办的会议,会议重点关注网络安全和推进开源安全的努力。会后,RedHat发表了这样的声明:
RedHat感谢今天关于软件安全的宝贵讨论,并有机会传达我们关于如何共同建立更大的信任和弹性的观点和经验。
RedHat对政府在软件供应链安全方面采取的综合方法表示赞赏,正如2021年5月总统关于网络安全的行政命令所体现的那样。持续、专注地关注其实施以及开放和透明的目标至关重要。
Cyber EO的核心原则仍然是改善所有软件(包括专有软件和开源软件)安全状况的基础,包括确保各种供应商对其软件保持更高的可见性、对其生命周期负责并制作安全数据公开可用。
会议的一个关键主题是认识到开源软件加速了技术创新的步伐,提供了巨大的社会和经济效益,并且可以极大地促进信任和网络安全。
我们期待与政府和广泛的利益相关者在任何后续步骤上合作,并将继续专注于支持我们的客户和加强开源生态系统。
未来挑战
McAfee Enterprise高级威胁研究负责人Steve Povolny告诉ZDNet,Log4j漏洞已经出现了三个不同的迭代,这引发了人们对类似工具的更广泛问题的担忧。虽然他预计不会再出现 Log4j漏洞,但他引用了最近关于JNDI问题的研究作为示例,说明对Log4j的广泛关注如何导致其他问题被发现。你在这里看到的是一种可以追溯到20年前的模式,称之为救护车追逐,它实际上是一种非常有效的清除类似漏洞的方法。它经常发生在主要的关键漏洞上,但事实证明,这是在相同或相近的项目和产品中清除类似类型漏洞的好方法。
虽然Log4j持续关注SBOM的采用,但这个概念已经酝酿了一段时间。根据拜登2021年5月的行政命令,国家电信和信息管理局概述了 SBOM的最低要素。CISA网络安全执行助理局长Eric Goldstein本周告诉记者,CISA现在处于促进联邦网络采用SBOM 的“运营阶段”。
峰会前夕,媒体报道攻击者正在使用Night Sky勒索软件来利用广泛使用的Apache软件中的漏洞。就在Apache于2021年12月10日发布第一个公共警报几周后,2.15.0之前的Log4j日志记录实用程序版本中的Java 命名和目录接口API中的一个严重缺陷可能被利用来控制易受攻击的系统。
CISA局长Jen Easterly本周表示,修补或缓解Log4j的联邦活动一直是“特殊的”,并且正在通过与行业、研究界和国际合作伙伴进行前所未有的运营合作来应对挑战。
Easterly还表示,在过去的几周里,犯罪分子广泛利用了Log4j。Easterly知悉有关Log4j 相关攻击袭击比利时国防部的报道,但无法独立证实。然而,她确实警告说,一旦网络防御者处于“低警戒状态”,对手可能已经入侵了系统,并且可能正在等待利用他们的访问权限。
白宫关于开源软件安全的高层会议前,Apache软件基金会 (ASF)公开呼吁上下游供应商协同解决开源软件供应链安全问题
参考资源
1、https://www.bankinfosecurity.com/white-house-hosts-open-source-security-summit-big-tech-a-18304
2、https://www.zdnet.com/article/after-log4j-white-house-worries-about-the-next-big-open-source-flaw/
3、https://www.zdnet.com/article/log4j-after-white-house-meeting-google-calls-for-list-of-critical-open-source-projects/#ftag=RSSbaffb68
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
