美国网络安全审查委员会发布首份报告指出,去年年底曝光的Log4j漏洞已成为“流行病”,将在未来十年甚至更长时间持续引发风险;
这份报告耗时约五个月,调研了约80个组织,并与行业、外国政府及安全专家开展交流,还包括漏洞发现者所在国家中国政府;
该委员会提出了19条建议,以供各实体在Log4j漏洞威胁下采用。
前情回顾
安全内参7月15日消息,美国网络安全审查委员会昨日表示,去年年底曝光的Log4j漏洞已成“流行病”,将在未来多年引发持续风险。
美国总统拜登在2021年创建网络安全审查委员会(类似于国家运输安全委员会),由国土安全部负责。其目的是对网络事件进行审查,检查根本原因,并在必要时提出建议,改革联邦政府内的网络安全方法。
网络安全审查委员会在首份报告中发现,尽管联邦政府及各私营组织一直在努力保护自身网络,但Log4j已经成为一大“持续性流行漏洞”。换言之,这种无所不在的软件库的未经修复版本,将在未来十年或更长时间内继续留存在各类系统当中。
国土安全部负责政策的副部长兼审查委员会主席罗布·西尔弗斯(Rob Silvers)在7月13日的电话会议上告诉记者,“此次事件并未平息,风险依然存在。网络防御者必须继续保持警惕。”
网络安全审查委员会的这份报告耗时约五个月。审查委员会共有15名成员,大致仿照美国国家运输安全委员会的形式,由来自公共和私营部门的官员组成。今年2月,他们受命深入研究Log4j缺陷的来龙去脉,并结合世界各地的反应为数字安全社区总结出可资借鉴的经验教训。
西尔弗斯表示,委员会成员共采访了约80个组织,并与行业、外国政府及安全专家开展了信息交流。
该委员会还与中国政府的代表进行了沟通,因为最初发现并上报这个开源软件工具漏洞的,正是阿里巴巴的工程师。
报告的最后部分,审查委员会提出了19条建议,以供各实体在Log4j漏洞威胁下采用。
图:精简版建议
谷歌安全工程副总裁兼委员会副主席希瑟·阿德金斯(Heather Adkins)表示,他们还鼓励提高网络社区的安全标准,特别是开发者“资源匮乏”且主要是志愿者的开源领域。
她提到,“我们希望此次研究结果能够给社区带来启发,其中的结论并不让人意外,也具有实践指导意义。”
在一份声明当中,国土安全部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)表示,此项检查为政府和行业提供了“明确且可操作的建议。国土安全部将实施这些建议以加强我们的网络弹性,并推进对于集体安全至关重要的公私合作伙伴关系。”
参考资料:https://therecord.media/first-cyber-safety-review-board-report-finds-log4j-has-become-an-endemic-vulnerability/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
