Log4j引起了网络安全专业人士的关注,但它也应该为改善其组织的整体云安全状况敲响警钟。
到目前为止,我们都在忙于解决利用 Apache Log4j 库中发现的漏洞的威胁,这是一个开源软件,用于将诊断消息传达给系统管理员和网络用户。这些漏洞可能包括从提供无所不在的 404 错误消息到记录例行事件的所有内容。
使这个漏洞如此令人震惊的原因是 Log4j 在各种应用程序中的广泛使用。它存在于 Minecraft 等流行游戏以及云服务器的基础设施中,包括 Amazon Web Services (AWS) 和 Apple iCloud。
据一些监测情况的捍卫者称,自 2021 年 12 月该漏洞被发现以来,每分钟都有数百次使用它来攻击系统的尝试被记录下来。政府网络安全和基础设施安全局局长 Jen Easterly称这是她职业生涯中见过的最严重的安全漏洞,并表示可能需要数年时间才能完全解决。
自首次发现以来,Apache 已经发布了几个补丁来解决该问题,但除了更新和补丁之外,Log4j 还暴露了与云共享责任模型相关的风险和责任。
我们需要接受几乎可以肯定有类似的未知漏洞潜伏在那里,并学会忍受这种不确定性。通过更加关注安全地配置我们的云环境,我们可以让不良行为者更难利用这些漏洞。
改进云防御的最佳实践
任何试图针对 Log4j 攻击加强云防御的企业都需要实施以下最佳实践:
逐步淘汰永久证书
静态凭证已被确立为攻击者想要破坏云环境的关键访问媒介。没过多久,不良行为者就利用 Log4j 漏洞抓取云凭据以供自己使用。当系统依赖IAM(身份和访问管理)用户访问密钥等永久凭证时,使用受损凭证的基于身份的攻击尤其危险。
这就是为什么发现此漏洞是重新考虑这些永久凭证有什么好处的好机会——这并不多。它们很方便,替换它们会很头疼,因此组织只看到不便之处,但这与重大入侵的痛苦相比,这算不了什么。
有很多好的解决方案;例如,在 AWS 中,命令行界面 (CLI) 的访问密钥可以替换为 AWS 单点登录 (SSO)或saml2aws,这是一种允许用户登录和检索临时凭证的工具。在紧要关头,系统可以使用保险库 在操作系统的钥匙串中安全地存储和访问 AWS 凭证。
摆脱整个环境中的永久凭据需要付出努力,但如果攻击者获取这些凭据的可能性很小,正如最新事件中所见,那么值得付出努力。展望未来,尽可能避免使用任何类型的静态凭据应该成为最佳实践。
跟踪第三方访问和合规性
供应链攻击之所以成为热门话题是有原因的:它们代表着严重的威胁,但经常被忽视。
第三方访问通常有一个轻量级的控制层,尽管它是越来越有吸引力的违规攻击媒介。正如 Log4j 所展示的,当第三方访问没有得到正确管理时,后果可能是毁灭性的。
为了保持控制,首先要跟踪有关 Log4j 漏洞的供应商发布通知。联系供应商并直接询问他们是否被暴露以及他们如何解决这种暴露。这应该提醒所有企业密切关注其供应商的安全性并监控用于访问其环境及其权利的第三方身份。
您还应该查看环境的配置、权限和日志,以深入了解可能出现的威胁。并通过分析日志来查找异常行为,以检测恶意活动并在损害增加之前阻止攻击。例如,超出用户角色的权限升级应被标记为异常并向防御者发出警报。
限制过多的权限
重新考虑第三方是否需要对您组织的环境和资源的永久用户访问密钥。虽然这可能很方便,但不建议这样做。更安全的做法是将这些用户切换到使用第三方角色和外部 ID 授予他们访问权限的服务,然后禁用这些永久访问密钥。
此外,适当的权限。这可以减少使用受损凭证的攻击者的横向移动并限制损害。监控每个身份的权限和活动日志将有助于生成最低权限策略建议,因此它们仅限于执行他们需要的功能而不会损害生产力。
加强防御
评估和修复对 Log4j 漏洞的暴露是组织加强全面防御的机会。使用它来重新评估控制并衡量组织云环境的安全性,以在下一个漏洞被防御者或更重要的是攻击者知道之前改善您的状态。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!