2021年末,Log4j2漏洞爆发,引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。通过仔细分析此次供应链安全事件的特点不难看出,这是一起典型的由开源软件所导致的供应链安全事件,上游软件提供商的漏洞殃及了下游产业的产品提供者,错综复杂的依赖关系使影响范围扩大,最终遍及整个网络空间。Log4j2事件为安全厂商与网络安全从业者敲响了警钟,必须警惕开源软件供应链中暗藏的危机,并采取有效行动。
Log4j2作为一个堪比标准库的基础日志库,无数开源Java组件都直接或间接依赖于Log4j2.作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远,它犹如一个埋藏在命门处的定时,一旦引爆,便是致命打击。然而,当我们需要探查这个深埋在系统内部的缺陷,并梳理其影响范围或判断其他组件是否存在同样的安全隐患时,这又给管理者带来了一项极为复杂的工作。
由于Log4j2被引用的广泛性,其可能存在于系统组件的各个角落。在组件的集成构建阶段,当Log4j2作为基础组件集成到一些核心业务组件时,漏洞也在有意无意间渗透到了更为上层的核心业务中,使产品的核心业务暴露出一个附加的攻击面。在该阶段,由于组件之间的依赖关系相对较为清晰,所以当漏洞被引入时,受到的影响面也较为容易排查。我们往往只需要将代码仓库中受影响的组件版本更换为安全的补丁版本或直接移除更换掉即可。
在组件的依赖使用阶段,随着当前软件系统架构复杂性的提升,组件之间的依赖深度也逐渐增加。当Log4j2这类核心组件受到漏洞影响时,软件系统自身的复杂性就会掩盖影响,导致整个软件系统的攻击面被隐藏起来,从而容易被人忽略。所以在该阶段排查漏洞影响最为艰难,往往需要安全工程师们进行大规模的分析排查、抽丝剥茧,将软件系统的各种依赖关系梳理清楚。站在攻击、防御的视角观察同样如此,攻击者及防御者往往需要通过hook、fuzz等方式测试组件的调用深度,从而找出被隐藏的漏洞触发点。
在下游用户使用阶段,受到的影响则更为被动。因为复杂的软件系统对于身处下游的用户来说是一个黑盒,普通用户对于其包含的组件风险一无所知,此时只能靠有责任心的软件提供商来提供运维支持服务。如果遇到不负责任或者漏洞应急不及时的供应商,则只能依靠社区建议及旁路的安全设备来进行临时舒缓。
随着开源软件应用的不断普及,软件开发过程也越来越依赖于组件间的相互调用与组合,以适应不断变化的市场环境。但,在关注敏捷高效的同时,也会为系统引入新的安全风险,开源软件的引入减少了开发时间,也增加了软件供应链安全的复杂度,尤其是此次Log4j2这样应用广泛的基础组件,在供应链的各阶段均存在深远的影响。大型项目中依赖关系数量与依赖层级数量的复杂度提升直接增加了厂商对漏洞的排查难度。对漏洞组件产生间接依赖的开源组件及框架也有安全隐患,因为原始组件被大量引用所造成的二级传播极大的扩充了Log4j2漏洞的影响范围。在上游软件供应链产品中累积的漏洞影响,最终会在下游应用场景中浮现,下游产品服务提供商应当采取有效手段,对涉及的漏洞资产进行排查。
此次暴露的安全问题仅仅是供应链安全领域的冰山一角,SolarWinds事件、Mimecast事件或类似针对供应链的APT攻击等一系列安全事件也都在为我们敲响着警钟。绿盟科技《网络安全2022:守望高质量》报告对供应链安全进行了梳理,针对安全事件、政策标准进行了分析,并展望2022年供应链安全发展趋势。同时,报告也整理了其他网络安全领域的发展趋势并将其划分为态势篇、威胁篇、数字基础设施篇,筛选汇聚了绿盟科技2021年在网络安全攻防相关领域的核心研究成果。其中,态势篇,梳理了我国网络安全发展区域的威胁态势;威胁篇,分析了网络安全面临的漏洞、恶意软件和,可持续威胁等主要风险因素;数字基础设施篇对网络安全基础设施相关的热点事件、市场发展和领域趋势进行整理。
希望此份报告能引发大家对网络安全发展趋势的思考,为读者带来价值。绿盟科技将依托技术产品和服务,秉承"专攻术业,成就所托"的宗旨,尽心为用户的安全体系赋能,尽力加强用户信息化安全体系建设,全力服务于构筑国家高质量发展的网络安全屏障,为全面加强国家网络安全保障体系持续贡献力量。
在绿盟科技公众号后台回复"网络安全2022"获取下载链接,在绿盟科技官方公众号中点击【绿盟精选】-【绿盟书橱】可直接阅读。