图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践

近期,安全圈被漏洞刷屏。一个广泛使用的 Java 日志框架已暴露于远程代码执行漏洞。该漏洞的利用条件非常低,攻击者可以利用该漏洞远程执行恶意代码以获取服务器的最高权限。相关的 POC 和 EXP 也已经公开,并且已经出现了利用此漏洞的攻击。目前该漏洞已被收录在CVE漏洞库中,编号为CVE-2021-44228。

因为它是一个高度使用和广泛使用的基于 Java 的日志记录工具,所以它被广泛用于中间件、各种框架和应用程序。例如:、Solr、Druid、Dubbo、、Kafka等。根据Maven仓库,使用了近7000个组件。这些使用日志输出的组件或应用程序可能会受到此漏洞的影响。

图片[1]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

漏洞爆发的严重性和影响是史诗般的。甚至有人称该漏洞为“核弹级”漏洞,其威胁性可见一斑。

02

开源软件安全危机分析

图片[2]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

在现有的开发模式和实际生产场景中利用apache web服务器日志分析辨认攻击,应用软件的开发几乎都需要开发者使用各种开源软件进行软件开发,无法独立完成。根据 White 发布的 The State of Open ,只有极少数开发者因公司政策要求不使用开源软件,96.8% 的开发者依赖开源软件。此外,根据调查,99% 的组织在其信息系统中使用开源软件。该公司对3000家企业的开源软件使用情况进行了调查,结果显示,每家企业平均每年下载5000多个开源软件。

但在开源软件中,长期存在软件漏洞风险、开源许可风险等大量安全风险。下图是近年来开源软件漏洞的统计数据。

图片[3]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

事实上,在大型软件开发的过程中,开源软件的比例正在增加。软件开发者往往更注重业务功能的实现,而忽视所使用的开源软件的安全质量,最终导致软件安全问题不断积累,进而导致安全威胁点演变为恶性循环。攻击面的情况。

图片[4]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

其次,应用中使用的开源软件没有很好的识别,软件用户往往不知道产品中使用的开源软件的类型和数量。面对海量的开源软件,即便是软件开发者也无法做出完整准确的统计。

从这次安全事件来看,再次体现了开源软件安全的重要性。作为应用开发中不可或缺的一环,开源软件的安全性已经在国家层面上提出来,开源软件的安全性建设也成为重中之重。

03

软件供应链安全风险分析

图片[5]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

从上述对开源软件安全现状的批判性分析可以看出,开源软件安全问题已经爆发,亟待解决。全球软件供应链是基于开源软件技术的使用,因此软件供应链安全的建设迫在眉睫。

软件供应链安全危机分析可以从积累、依赖和脆弱性三个明显特征进行。

1. 软件供应链安全的累积性:大量软件或系统产品包含大量第三方代码源或插件,而这些构成最终产品的“部分”更多或安全风险较小。众所周知且多年来未修补的漏洞。这些漏洞的积累将导致软件供应链安全威胁的叠加和爆发。

2. 软件供应链安全依赖:软件供应链是连接网络空间不同企业和业务的技术产品路径。软件供应链由各种生产节点组成。无论哪个节点受到攻击,或者技术产品存在漏洞威胁,整个软件供应链都可能崩溃。

图片[6]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

3. 软件供应链安全漏洞:在实际生产中,真正的网络生态是由大量相互交织、复杂的生产链形成的生态网络。这意味着网络中的每个节点都可能被攻击和破坏,无数节点形成风险面利用apache web服务器日志分析辨认攻击,从无数维度表现出脆弱性。

并且由于软件供应链大致分为开发、交付、使用三个环节,这三个环节存在不同阶段、不同类型的安全威胁。

04

实践

图片[7]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

面对上述日益严重的开源软件安全问题和软件供应链安全问题,我们一致认为概念的实现是解决这些问题的首选,也是应对软件供应链安全的三大特征。

安全玻璃盒【小道科技】一直专注于开源软件安全和软件供应链安全,此前已推出该领域的安全解决方案。安全解决方案是集开发、安全、运营为一体的集成解决方案,从最初的项目启动、设计、集成、测试、部署到软件交付、运营和监控,能够在软件开发生命周期的各个阶段自动集成安全循环,实现多维度的系统化安全赋能。

在整个安全解决方案中,安全风险与软件开发生命周期的各个阶段不断融合,直至最终形成闭环解决问题。实施起来,工具链的构建是最重要的环节,需要在整个开发过程中集成各种安全工具。安全玻璃盒子自主研发的一系列安全产品,可以帮助构建安全工具链,解决开源安全风险、软件漏洞风险等安全问题。

图片[8]-利用apache web服务器日志分析辨认攻击-Log4j2危机分析开源软件安全、软件供应链安全与DevSecOps实践-稻子网

02

安全玻璃盒新闻

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片