美国网络安全审查委员会首份报告： Log4j漏洞要十余年才能修完

安全内参编译安全内参 2022-08-22

关注我们

带你读懂网络安全

美国网络安全审查委员会发布首份报告指出，去年年底曝光的Log4j漏洞已成为“流行病”，将在未来十年甚至更长时间持续引发风险；

这份报告耗时约五个月，调研了约80个组织，并与行业、外国政府及安全专家开展交流，还包括漏洞发现者所在国家中国政府；

该委员会提出了19条建议，以供各实体在Log4j漏洞威胁下采用。

前情回顾

安全内参7月15日消息，美国网络安全审查委员会昨日表示，去年年底曝光的Log4j漏洞已成“流行病”，将在未来多年引发持续风险。

美国总统拜登在2021年创建网络安全审查委员会（类似于国家运输安全委员会），由国土安全部负责。其目的是对网络事件进行审查，检查根本原因，并在必要时提出建议，改革联邦政府内的网络安全方法。

网络安全审查委员会在首份报告中发现，尽管联邦政府及各私营组织一直在努力保护自身网络，但Log4j已经成为一大“持续性流行漏洞”。换言之，这种无所不在的软件库的未经修复版本，将在未来十年或更长时间内继续留存在各类系统当中。

国土安全部负责政策的副部长兼审查委员会主席罗布·西尔弗斯（Rob Silvers）在7月13日的电话会议上告诉记者，“此次事件并未平息，风险依然存在。网络防御者必须继续保持警惕。”

网络安全审查委员会的这份报告耗时约五个月。审查委员会共有15名成员，大致仿照美国国家运输安全委员会的形式，由来自公共和私营部门的官员组成。今年2月，他们受命深入研究Log4j缺陷的来龙去脉，并结合世界各地的反应为数字安全社区总结出可资借鉴的经验教训。

西尔弗斯表示，委员会成员共采访了约80个组织，并与行业、外国政府及安全专家开展了信息交流。

该委员会还与中国政府的代表进行了沟通，因为最初发现并上报这个开源软件工具漏洞的，正是阿里巴巴的工程师。

报告的最后部分，审查委员会提出了19条建议，以供各实体在Log4j漏洞威胁下采用。

图：精简版建议

谷歌安全工程副总裁兼委员会副主席希瑟·阿德金斯（Heather Adkins）表示，他们还鼓励提高网络社区的安全标准，特别是开发者“资源匮乏”且主要是志愿者的开源领域。

她提到，“我们希望此次研究结果能够给社区带来启发，其中的结论并不让人意外，也具有实践指导意义。”

在一份声明当中，国土安全部长亚历杭德罗·马约卡斯（Alejandro Mayorkas）表示，此项检查为政府和行业提供了“明确且可操作的建议。国土安全部将实施这些建议以加强我们的网络弹性，并推进对于集体安全至关重要的公私合作伙伴关系。”

参考资料：therecord.media

推荐阅读

点击下方卡片关注我们，

带你一起读懂网络安全 ↓