如何在不断变化的威胁形势下确保工作负载安全无虞

如果说互联网行业从 Log4j 攻击中吸取什么教训的话，那就是分层安全防护至关重要，因为任何互联网从业人员都无法预测下一个漏洞将从何而来。在2020年底，Log4j漏洞无疑成为全球CTO与CIO们关注的焦点之一。然而在本次事件之前，即便经验丰富的技术人员也很难想象无关痛痒且广泛使用的开源日志工具 Log4j 可以用于远程代码执行。基于对本次漏洞的研究与用户的反馈，Check Point的安全专家指出：主动式、前瞻性分层安全防护将成为保护用户核心数据资产的最优解决方案。

近期经历Log4j漏洞的Check Point CloudGuard 的用户已经深有体会，在预防模式下运行 AppSec 的用户能够通过预防手段抵御任何 Log4Shell 攻击和后续变体攻击。这源于CloudGuar Work Load （工作负载）采用分层设计，为工作负载提供了两个关键安全层 — 漏洞管理和主动保护。

漏洞管理
CloudGuard 工作负载包含一个 ShiftLeft 工具，可确保安全防护始终在线。ShiftLeft 工具能够扫描源代码、容器及无服务器函数，从而快速寻找漏洞，包括 Log4j 工具相关漏洞。如果在预构建阶段检测到任何漏洞，该工具会向安全和 DevOps 团队发出告警，确保不会部署易受攻击的代码。

ShiftLeft 支持用户在生成代码时对识别到的威胁进行扫描。同时，为抵御未来可能存在的未知威胁CloudGuard同时支持运行时扫描，以检测任何有漏洞的运行工作负载。随着威胁形势不断演变，使用 CloudGuard 的运行时扫描功能可对 Log4Shell 漏洞等新威胁进行轻松扫描，并且能够在仓库 (registry) 中和运行时扫描工作负载。 

主动保护
CloudGuard 包含包括主动保护在内的许多核心功能。 AppSec 是 CloudGuard 的自动化 WAF，它由 Contextual AI 提供支持，能够在发现漏洞前主动保护运行 Log4j 工具的应用免遭攻击。该解决方案之所以能够提供这种级别的安全性，是因为 AI 可根据复杂的风险评分机制确定行为基线并阻止异常攻击。

同样，CloudGuard Network 也能够识别异常通信并阻止恶意活动，因为它由 Check Point 屡获殊荣的 IPS 解决方案提供支持。

通过上述分析可以看出，在整个行业才开始了解 Log4j 相关漏洞的影响时，Check Point的解决方案已经可以给予用户最为全面的保障。Check Point CloudGuard 不仅为用户提供了前瞻性安全防护，并立即更新了额外的保护层。这意味着用户可以免受所有 Log4j 漏洞变体的攻击以及可能即将发起的其他任何攻击。未雨绸缪、全面守护用户的数据资产正是Check Point可以长期引领互联网安全技术潮流的核心理念之一。