李昇,Akamai区域副总裁暨大中华区总经理
不是所有黑客都以最新的物联网设备或网联汽车为目标。2020年的SolarWinds黑客事件赤裸裸地告诉人们,支撑现代文明的技术不但“乏善可陈”,而且还存在着漏洞。也许正是这起事件启发了那些在圣诞假期前创建Log4Shell的攻击者。
Log4Shell 是针对 Log4j 的漏洞利用,Log4j 是 Java 社区开发人员常用的开源日志库,为错误消息、诊断信息等的日志记录提供框架。 Log4j 存在于世界各地公司使用的产品中,也包括许多中国的组织。
该漏洞最终能够导致个人信息泄露和远程代码执行(RCE),给企业机构和他们的客户造成各种不同的问题。由于Log4j库的功能非常全面(包括查找、嵌套和JNDI等),因此开发者很喜欢使用它。目前已有大量利用该漏洞的尝试,而且这一数量的增速非常惊人。
全世界的个人、大型企业机构和政府机构都将继续讨论该漏洞,而我们已经深入了解该漏洞的运作方式和发展方向以及在未来减轻该漏洞影响时所需要考虑的独特因素。
数据窃取和远程代码执行漏洞
为找到存在漏洞的服务器而执行全网扫描的服务器数量与日俱增,这使得发起者能够窃取信息并执行恶意代码。
数据窃取是攻击者用来锁定、复制和传输敏感数据的技术,攻击者可以通过Log4j查询表达式访问这些数据并且轻易地将这些数据劫持到他们所控制的系统。同样,攻击者还可以通过精心编写的日志行来执行远程代码,以便在服务器内运行任意命令。
在我们所发现的攻击载体中,网络应用成为了攻击者的第一目标,这些应用记录了访问网站的终端用户与网站的互动。另一个攻击载体是DNS。为了搜索是否有任何存在漏洞的DNS解析器,攻击者正在DNS查询中嵌入可利用的攻击载荷并发布这些查询结果。
但企业机构所受到的威胁远不止这些情况。鉴于全世界有几十亿台设备运行Java,因此许多设备中的漏洞无法得到修补。再加上其庞大的足迹和设备的暴露时间,我们认为该漏洞将在未来几年继续对我们造成威胁。
发展方向——攻击载荷和攻击方式的多样化
随着对该漏洞的持续监测,我们发现该威胁正在向两个不同的方向发展。首先在攻击载荷方面,企业越来越依赖网络应用防火墙(WAF)等缓解措施为他们提供保护。这类系统能够扫描网络请求中是否有可利用的字符串。一旦发现有此类字符串,它们就会放弃该请求。
第二个发展方向是攻击目标和协议的多样化。网络应用目前已成为主要的攻击载体,所以企业机构会不断为其提供更多的保护和漏洞修补,因此攻击者正在将矛头指向DNS和其他不太受到关注的协议,此类攻击的数量已有所增加。
鉴于针对该漏洞的攻击载体类型十分广泛,唯一的解决方案是修补全部有漏洞的系统。但在很多情况下,企业机构无法在第一时间全方位地了解哪些系统存在漏洞,因此必须采取额外的缓解措施来尽可能减少威胁面。
为了提供最大程度的保护,凡是可以修补漏洞的系统,都应在最新版本上运行Log4j。在其他情况下,企业机构必须优先运行WAF和DNS防火墙以及零信任网络分段等系统,以便发现可能的漏洞。
从Log4j事件中吸取的教训
随着该漏洞的扩大和发展,我们正在研究未来如何消除它的影响。为了满足终端用户需求,开发者必须将快速增加的库、语言生态系统以及第三方基础架构和服务视为一种新常态。
领先的企业机构不但已经开始评估特定库的风险,而且还通过评估该开发社区的实践来检查自身的依赖性。即便进行了此类风险评估,漏洞还是会出现。因此在这种情况下,可见性最为重要。许多企业机构无法发现存在漏洞的系统,所以他们必须部署能够及时做出响应并防止被完全利用的系统。
最后,企业机构应采取最小权限原则,包括限制服务器、机器和软件的访问权限,这样用户就只能访问执行自身任务所需的系统。这可以大大减少漏洞出现时的威胁面。
Log4j漏洞对全球企业造成了复杂、高风险的威胁。由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统,攻击者将会继续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。但只要企业能够努力构建成熟的安全基础,就能够具备比以往更快的恢复速度。
好文章,需要你的鼓励
生成式AI在电商领域发展迅速,但真正的客户信任来自可靠的购物体验。数据显示近70%的在线购物者会放弃购物车,主要因为结账缓慢、隐藏费用等问题。AI基础设施工具正在解决这些信任危机,通过实时库存监控、动态结账优化和智能物流配送,帮助商家在售前、售中、售后各环节提升可靠性,最终将一次性买家转化为忠实客户。
泰国SCBX金融集团开发的DoTA-RAG系统通过动态路由和混合检索技术,成功解决了大规模知识库检索中速度与准确性难以兼得的难题。系统将1500万文档的搜索空间缩小92%,响应时间从100秒降至35秒,正确性评分提升96%,为企业级智能问答系统提供了实用的技术方案。
存储供应商Qumulo发布多租户架构Stratus,为每个租户提供独立的虚拟环境,通过加密技术和租户专用密钥管理系统实现隔离。该统一文件和对象存储软件支持本地、边缘、数据中心及AWS、Azure等云环境部署。Stratus采用加密隔离技术确保敏感数据安全,同时提供任务关键操作所需的灵活性和效率,帮助联邦和企业客户满足合规要求。
中科院和字节跳动联合开发了VGR视觉锚定推理系统,突破了传统AI只能粗略"看图"的局限。该系统能在推理过程中主动关注图片关键区域,像人类一样仔细观察细节后再得出结论。实验显示VGR在图表理解等任务上性能大幅提升,同时计算效率更高,代表了多模态AI"可视化推理"的重要进展。