现在，让我们一起来回顾一下Log4j漏洞 (CVE-2021-44228) 事情是如何发展的。在面对过去10年最显著的弱点之一时，哪些策略起了作用?

Log4j是一种Java日志记录实用程序，几乎被Internet上所有基于Java的产品、工具和服务所使用。如果您曾经在网站上看到错误页面或输入错误的凭据，那么您很可能在某个时候生成了由 Log4j 处理的事件。将特制的字符串注入到 Log4j 处理的事件中会导致 Log4j 查询任意外部 URL 并将其作为 Java 对象加载。然后，攻击者可以使用这个漏洞(称为 Log4Shell)来强制受害者相对容易地下载、安装和执行外部托管的恶意负载。

有以下安全实践的组织可能为Log4Shell做好了准备或做出了有效的响应。

良好的资产管理

拥有全面和最新的资产管理系统的组织，在快速识别易受攻击的系统、评估成功开发的潜在“爆炸半径”和量化其整体风险更容易。他们还发现，对脆弱的主机应用紧急补丁、隔离或监控措施更容易。

了解软件供应链

通过对软件供应链所包含的库、依赖项及代码安全进行很好的了解，组织可以迅速识别出脆弱的第三方代码。在软件开发周期进行静态应用安全测试或动态应用安全测试，不但可以增强对代码的安全可见性，也有利于向上游代码维护者报告漏洞。

集中记录

但总的来说，拥有一个中心位置来存储和查看所有潜在受影响设备的日志，大大提高了事件响应的速度和易用性，使得增加的攻击面值得冒险。

对于Log4Shell，集中式日志记录无疑是一把双刃剑。一方面，将事件日志发送到主机之外可以保证狡猾的攻击者无法在SOC分析人员看到它们之前消除成功利用的迹象。另一方面，集中式日志不可避免地为基于日志的攻击(如Log4Shell)提供了更广阔的攻击面。

可靠的威胁情报

利用Log4Shell的尝试(至少在最初)很容易被自动机和分析人员检测到。在漏洞公布后的几天里，快速获取和分发危害指标(ioc)的能力至关重要。随着攻击者变得越来越复杂，部署了各种各样的代码混淆方法，新的IOCs的快速共享变得更加关键。

搜索和警报

如果没有正确的工具和培训来利用它们，集中式日志记录和良好的威胁情报将一无是处。部署了EDR/NDR/SIEM解决方案的组织，以及训练有素的工作人员，都能够很好地检测并自动检测利用Log4Shell的尝试。

出口网络过滤

尽管Log4Shell的影响深远，但对于那些准备充分的人来说，缓解漏洞并不是很难。确保攻击者无法利用该漏洞的最直接的技术是阻止HTTPS或LDAP流量离开网络。

阻止出站请求并不能解决问题的根本原因，但可以防止攻击者在脆弱的主机上安装恶意负载。正确配置后，出站网络过滤可以记录被阻止的利用尝试，帮助引导SOC分析师和事件响应人员应对受影响的系统。

严格的DNS策略

联系恶意外部主机是成功进行 Log4Shell 攻击的先决条件。通过将网络名称解析仅限于内部资源，组织可以阻止一些(但不是全部)下载恶意负载的尝试。

虽然这种防御技术并不完美——攻击者可能会利用IP地址或在已经被破坏的内部资源上托管恶意Java对象，从而破坏这种防御技术——这是一种廉价而有效的方法，可以让攻击者更加难以对付。

结论

Log4Shell 在“纵深防御”的价值方面是一个优秀的研究案例。在整个网络中，多个不完整的安全检测和缓解策略构成了一个整体，而不是每个部分的总和。

那些花时间和精力进行安全检测、资产管理和集中日志记录来了解他们的基础设施安全性的组织，能够更好地和全面地对一个新的和以前未见过的漏洞快速做出反应。

不是每个问题都需要新的解决方案。及时的安全检测、良好的“眼力”加上对现有系统(如防火墙和名称服务器)相结合，通常会给SOC团队提供所需的修补时间。

Log4Shell在一定程度上影响了我们所有人，但是在漏洞宣布之前已经做好了安全防御准备和响应机制的组织更可以快速、全面、有条不紊地解决。

文章来源：

https://www.helpnetsecurity.com/2022/02/15/log4j-vulnerability/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课