每經記者 朱成祥    每經編輯 梁梟    

　　相信對于大部分互聯網用戶而言，Apache（阿帕奇）Log4j2是個陌生的詞匯。

　　不過，在很多程序員眼中，它是陪伴自己的好伙伴，每天用于記錄日志。然而恰恰是這個被無數程序員每天使用的組件出現漏洞了。這個漏洞危害之大，甚至可能超過“永恒之藍”。

　　安恒信息高級應急響應總監季靖對此評價稱：“（Apache Log4j2）降低了黑客攻擊的成本，堪稱網絡安全領域20年以來史詩級的漏洞?！庇袠I內人士還認為，這是“現代計算機歷史上最大的漏洞”。

　　工信部于2021年12月17日發文提示風險：“阿帕奇Log4j2組件存在嚴重安全漏洞……該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。”

　　就連國家政府部門也中招了。2021年12月下旬，比利時國防部承認他們遭受了嚴重的網絡攻擊，該攻擊基于Apache Log4j2相關漏洞，網絡攻擊導致比利時國防部包括郵件系統在內的一些業務癱瘓。

　　此漏洞“威力”之大，連國家信息安全也受到波及。那么普通企業，特別是采用云服務的企業應該如何應對呢？疫情發生以來，大量企業、機構加速數字化進程，成為“云上企業”。傳統環境下，企業對自身的安全體系建設擁有更多掌控權，完成云遷移后，這些企業的云安全防護是否到位？

　　20年一遇安全漏洞來襲：將成“網絡大流感”

　　2021年12月9日深夜，Apache Log4j2遠程代碼執行漏洞攻擊爆發，一時間各大互聯網公司“風聲鶴唳”，許多網絡安全工程師半夜醒來，忙著修補漏洞?！奥犝f各大廠程序員半夜被叫起來改，不改完不讓下班?！毕嚓P論壇也對此事議論紛紛。

　　為何一個安全漏洞的影響力如此之大？安永大中華區網絡安全與隱私保護咨詢服務主管合伙人高軼峰認為：“影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機備受矚目，造成了全球范圍的影響?！?/p>

　　“Log4j2 是 開 源 社 區 阿 帕 奇（Apache）旗下的開源日志組件，被全世界企業和組織廣泛應用于各種業務系統開發?！奔揪副硎荆皳煌耆y計，漏洞爆發后72小時之內，受影響的主流開發框架都超過70個。而這些框架，又被廣泛使用在各個行業的數字化信息系統建設之中，比如金融、醫療、互聯網等。由于許多耳熟能詳的互聯網公司都在使用該框架，因此阿帕奇Log4j2漏洞影響范圍極大。”

　　除了應用廣泛之外，Apache Log4j2漏洞被利用的成本相對而言也較低，攻擊者可以在不需要認證登錄這種強交互的前提下，構造出惡意的數據，通過遠程代碼對有漏洞的系統執行攻擊。并且，它還可以獲得服務器的最高權限，最終導致設備遠程受控，進一步造成數據泄露，設備服務中斷等危害。

　　不僅僅攻擊成本低，而且技術門檻也不高。不像2017年爆發的“永恒之藍”，攻擊工具利用上相對復雜?；贏pache Log4j2漏洞的攻擊者，可以利用很多現成的工具，稍微懂點技術便可以構造更新出一種惡意代碼。

　　利用難度低、攻擊成本低，意味著近期針對Apache Log4j2漏洞的攻擊行為，還將會持續一段時間，這將是一場“網絡安全大流感”。

　　應對漏洞危機：“云上企業”如何防護？

　　傳統模式下，安全人員可以在本地檢測、打補丁、修復漏洞。相對于傳統模式，“云上企業”使用的是云計算、云存儲服務等，沒有自己的機房和服務器。進入云環境，安全防護的“邊界”不復存在，對底層主機的控制權限也沒有本地那么多，同時還多一層虛擬化方面的攻擊方式。

　　特別是疫情影響下，大量企業、機構開啟數字化轉型，從本地服務器遷徙到云服務器。短時間內完成云遷移，企業很可能缺乏對應的云安全管理能力成熟度；同時，往往也面臨著安全能力不足、專業人手緊缺等情況。

　　面對這場史詩級的漏洞危機，“云上企業”應該如何應對呢？

　　在安恒信息高級產品專家蓋文軒看來：“企業上云之后，傳統的網絡安全風險依然存在，此外，還會面臨新的安全風險，比如用戶與云平臺之間安全責任邊界劃分等問題。另外，傳統的硬件設備可能不適用于云環境，因此需要針對特殊情況部署相關安全服務。”

　　而在安永大中華區科技風險咨詢服務合伙人趙劍澐看來：“面對快速上云，企業急需搭建滿足自身業務發展與管理要求的安全保障體系?！?/p>

　　那么，對于這些“云上企業”，究竟是選擇云服務商提供的原生安全服務，還是另尋第三方專業的安全服務商呢？

　　事實上，目前即使是高度自動化的云原生安全方案，也無法做到完全自主自治，仍然需要合格的云安全服務專業團隊參與。高軼峰強調，對于中小型企業，選擇滿足資質的第三方專業安全機構，能夠保證服務的獨立性，保障工作順利開展及服務質量。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：陳程