Log4j安全漏洞事件引发安全行业的几点分析

发布时间：2021-12-28 09:38 所属栏目：53 来源：互联网

导读：临近元旦，本来大家应该沉浸在一个安静祥和的节日氛围中，但由于有史以来最严重的漏洞CVE-2021-44228(Log4Shell)的出现，整个安全行业立即进入全年无休模式。是什么让这个漏洞变得如此特别和可怕?有多大规模的灾难正在等待着我们?我们如何才能避免发生最坏的

临近元旦，本来大家应该沉浸在一个安静祥和的节日氛围中，但由于有史以来最严重的漏洞CVE-2021-44228(Log4Shell)的出现，整个安全行业立即进入“全年无休模式”。是什么让这个漏洞变得如此特别和可怕?有多大规模的灾难正在等待着我们?我们如何才能避免发生最坏的情况?

笔者希望通过本文带大家简单了解一下这个Log4Shell漏洞，但本文并不是一篇技术性文章。因为目前很多业内专家和技术高手已经对该漏洞进行了详细的剖析并制定了应对措施，笔者在这里就不班门弄斧了。但是，笔者想从安全行业从业者的角度来简单说明一下为什么这个漏洞会引起如此大的恐慌，以及整个事件背后暴露了哪些值得我们思考的问题。

外因：行业 “内卷”现象严重以及盲目的“安全信心”
修补Log4shell漏洞本身就是件很困难的事情，但在安全行业内部还出现了相互伤害的行为。例如，假设第三方添加了关于Log4j漏洞的新规则。当然，这种应对方式是非常积极的。然而，这样做使得很难相信外部的漏洞扫描结果。随着攻击者的攻击行为变得更加困难，安全行业的检测也将变得更加困难。如此以来就增加了虽然处于危险状态但在没有意识到危险的情况下通过检测的可能性。

打个比方，我们制造了一台扫描仪。这是一款能够遍历客户网站并查找漏洞的扫描仪。但是，由于客户更改了某种设置并添加了新的规则，导致扫描无法正常进行。当然，我们可以对每个站点进行额外的定制扫描，但我们制造扫描仪的初衷并不是仔细检查每个站点，而是快速找到所有站点的脆弱因素和漏洞。

并且，仅根据扫描结果就认为“我们是安全的”也是致命的错误。有人可能会问，谁会相信匆忙制造的扫描仪得出的结果呢?但是，如果市场上的其它扫描解决方案也存在类似的问题呢?为了暂时防止Log4Shell漏洞被利用而更改的设置正在向用户提交“看起来不错”的安全检测结果，这一事实现在对于任何扫描仪都不例外。

（编辑：ASP站长网）