《“阿帕奇”Log4j2来袭监控易为何能安然无恙?(4).docx》由会员分享,可在线阅读,更多相关《“阿帕奇”Log4j2来袭监控易为何能安然无恙?(4).docx(4页珍藏版)》请在第壹文秘上搜索。
1、“阿帕奇”Log4j2来袭,监控易为何能平安无恙?(来源:千图网)12月10日半夜,一众互联网公司技术核心人员都被CTO们电话CaIl醒,半夜汇聚网络世界,集体排查处理线上程序BUGApache(阿帕奇)Log4j2安全漏洞。这个BUG太严重破坏力极强,互联网上曝出了ApacheLog4j2中的远程代码执行漏洞,攻击者就可利用此漏洞构造特殊的数据请求包,最终触发远程代码执行。12月11日一大早,一个个客户电话打进美信科技的客服热线,询问监控易产品是否有Log4j2漏洞。当听到不会受到波及和影响”时,电话另一头都舒了口气。“美信科技的产品为什么没受到Log4j2漏洞攻击?美信科技的监控易如果使用
2、第三方插件时,会不会引发所带来的安全隐患?”小编也发出心底疑问。对此,美信客服的回答是肯定的,完全不用担心这些问题。美信科技的产品采用纯C语言、PythOn语言和C+语言自主设计开发。所以,不会受到基于JaVa语言应用的APaChe(阿帕奇)Log4j2远程代码执行漏洞攻击。美信科技监控易等一系列产品从底层开始所使用的框架、消息中间件、数据库、WebSerVe都是自主研发,不借助于第三方任何插件,从而避免使用第三方插件所带来的安全隐患。美信科技将时刻为保障客户的基础设施稳定和数据安全隐私保驾护航“阿帕奇”来袭,“核弹级”系统漏洞波及各大厂由于漏洞利用门槛不高、Log4j应用范围广,所以这次Lo
3、g4j漏洞事件引发的安全影响十分深远。一位业内人士这样戏称,这个漏洞的严重性堪称今年之最,灾难等级为核弹级。这次事件几乎波及了所有互联网大厂。绝大部分的JaVa应用用的都是Log4j的包记录日志,而众多互联网公司用的是Log4j2,据“白帽”分析确认,几乎所有技术巨头都是该Log4j远程代码执行漏洞的受害者。据Apache官方最新信息显示,由于ApacheLog4j2的某些函数具有递归分析函数,因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞。ApacheLog4j2ApacheLog4j2最初是由CekiGtilctl编写,是Apache软件基金会Apache日志服务项目的一部分。Log
4、4j是几种JaVa日志框架之一。而ApacheLog4j2是对Log4j的升级,相比其前身Log4j(1.x版本)有了更显著的改进,同时修复了Logback架构(LOgbaCk是Log4j1.x的作者弄的一个新日志框架)中的一些固有问题。Log4j2功能丰富、性能相比Lx提高了很多,已被广泛用于业务系统开发,用来记录日志信息,特别是互联网企业。根据谷歌安全团队的统计,截至2021年12月16日,来自MavenCentral的35,863个可用Java组件依赖于Log4jo比利时国防部成为这次事件中首次公开披露的受害者。比利时国防部发言人OIivierSeverin表示,不法分子利用Log4j漏
5、洞攻击了比利时国防部。一些活动已经瘫痪了好几天”。1.og4j漏洞在国内影响也很深远。据媒体报道,近期工信部网络安全管理局通报称,阿里云计算有限公司在H月24日发现了Log4j2安全漏洞隐患后率先向APaChe(阿帕奇)基金会披露了该漏洞,未及时向中国工信部通报相关信息,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。根据工信部官网消息,工业和信息化部网络安全威胁和漏洞信息共享平台12月9日收到有关网络安全专业机构报告后,立即组织有关网络安全专业机构开展漏洞风险分析。页)10信
6、息化邮机关司曷网络安全管理局1作动态关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示阿帕奇(Apache)Lc94j2组件是“于JaVa谓M的开源日志Ia架,被广泛用于业务系统开发.近日.阿里云计算有限公8发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将常洞情况告知阿帕奇软件基金会.12月9日,工业和信息化部网络安全威胁和漏洞(S息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在产Si安全漏涧.工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企生.网络安全专业机构哥开JR研刈.通报H促阿帕奇软件蔓金会及时修补谖漏洞,向行要位进行风险预
7、警.该漏刑可能导致设备远程受控,进而引发敏息信息G取.设务服务中断哥严危害.屋于高危JMI.为降低网络安全风险.19出有关单位和公众电切关注阿帕奇Log4j2组件富刑扑丁发布,排查自育相关系妮阿帕奇Log4j2蛆件使用情况,及时升圾期件版本.工业和信患化部网络安全皆理局将持续蛆织开展漏洞处置工作.防范网络产品安全漏涧风险,维护公共互联网网络安全.(来源:工信部官网截图)虽然已经过去了十多天,但Log4j中暴露出的安全漏洞仍在肆虐,同时也唤起了大家对于开源软件开发、付费与维护方式的深切思考。有人抨击项目维护者未能及时发现问题。面对这样的指责,开发者VolkanYazici立即对这种践踏无偿志愿劳
8、动的行径展开反击,表示这群“嘴炮”自己压根没提供过任何财务支持或者代码贡献。1.og4j2维护者只有几个人,他们无偿、自愿地工作,没有人发工资,也没人提交代码修复问题,出了问题还要被一堆人留言痛骂。VolkanYazici有人想到,当问题出现之后,最重要的是先解决问题。国内的互联网大厂美团、阿里、字节和百度一刻也没有松懈,全都迅速响应,拿出了自己的解决方案。美信科技认为:不要因噎废食,弃之不用。攻击检测和漏洞修复的工作,有很多研究机构和安全公司都在进行。历史是螺旋上升的,安全也是,前进性、曲折性和周期性不可避免。阿帕奇攻击下,美信科技为何平安无恙?美信科技是IT和OT大数据采集领域的“苹果”公
9、司,坚定不移走自主创新之路,全部产品均为自主研发、国内全栈式自主可控。产品采用纯C语言、Python语言和C+语言自主设计开发,前期投入大,开发周期长,开发难度大,目前已经突破了多项核心技术瓶颈,并时刻为保障用户的基础设施稳定和数据安全隐私保驾护航。在ApacheLog4j2攻击下,美信科技为何安然无恙?以美信科技旗下新一代监控强势品牌一监控易的安全性为例,监控易为时时刻刻保障用户的数据安全和隐私,从以下几个方面出发确保了安全性。标准、安全的协议监控易平台通过使用公开的协议进行数据的收集和采集,使用的协议是RFC规定的标准协议,例如SNMP、WMI等标准或厂商接口协议,采用此种开放标准的协议能
10、够从根本上避免采集数据对于被监控端的影响。强大的自研专用时序数据库,保持数据独立性美信科技自主研发BigRiver时序数据库,拥有软件著作权证书,是广泛应用于IT基础设施、物联网设备,互联网业务监控场景的专业数据库。统一数据管理,不但节约了维护成本而且可以使几个系统同时备份恢复数据,提高系统的稳定性。监控易所使用的数据库和中间件集成在一个安装包中,无需安装其它第三方数据库。监控易被独立出来的数据处理层负责完成对数据库的操作。用户端只能通过逻辑层来访问数据层,减少了入口点,很多危险的系统功能都被屏蔽。核心技术自主研发,避免公众漏洞隐患不同于其他监控产品,监控易从底层开始所使用的框架、中间件、数据
11、库都是自主研发,不借助于第三方任何插件,避免使用第三方插件所带来的安全隐患。高效、稳定、易用、安全不适用第三方插件自主研发的另一个好处在于平台的稳定、高效、易用、安全。监控易底层使用采用云架构的设计,包含冗余热备、并行计算等,保障监控平台在使用过程当中的安全,使用最安全的MQ队列机制保障消息的可靠传输。无需人工的干扰,在一个“云节点”出现问题之后,所有监测任务由其他“云节点”共同完成,并且根据每个云节点的压力分配数量不同的监控任务。作为国家信创国产化替代和工业物联网双重战略下的标杆企业,美信科技还拥有代表国内最先进生产力的四大技术。第一、四合一超融合数据库,完全自主开发的融合表状、KeyVaI
12、Ue树状、内存、时序四大技术的数据库;第二、领先的云、边、端技术架构,支持跨区域、跨网络、跨安全域的复杂场景数据采集;第三、低代码协议和设备自适应引擎,快速适配各种IT和OT设备,彻底解放研发工程师,适配效率比传统技术快10倍;第四、IT、动环、智能物联网、工业物联网一体化数据采集和监控,助力客户低成本实现工业4.0的IT和OT的融合目标。近年来,随着信息安全的威胁事件不断发生,信创国产化产业发展浪潮达到一个新的高峰,“高安全性”自主可控”成为了发展的重要基石和保障。2020年尾声,黑客利用SoIarWinds的OriOn网络管理平台,成功入侵了美国财政部、国土安全部在内的多家美国联邦政府机构网站,敲响人们对于IT监控系统安全性的警钟,美信科技顺势而为,以全国产高安全性内自主可控的产品拥抱信创。2021年尾声,在阿帕奇的冲击下,美信科技安然无恙,并为保障客户的基础设施稳定和数据安全隐私保驾护航。预见2022,面对更加不确定的未来,但却面临着确定的安全威胁。美信科技将在频发的无国界网络安全事件以及信创国产化浪潮的推动下严防安全黑天鹅为客户守好安全第一线,让安全少走弯路,掌握安全主动权。