安全|DHS首份网络安全审查委员会报告认为Log4j已成为待续性威胁
负责调查全球计算机网络安全事件的独立机构周四表示,去年年底被广泛利用的Apache Log4j Java库中发现的漏洞在未来许多年里仍将是一个威胁 。美国国土安全部网络安全审查委员会的首份报告发现,尽管联邦和私营部门的组织努力保护他们的网络,但Log4j已经成为一个"区域性漏洞"--这意味着这个无处不在的软件库的未打补丁版本将在未来十年,甚至更长时间内留在系统中 。
文章图片
"这个事件还没有结束 。风险仍然存在 。网络防御者必须保持警惕,"美国国土安全部负责政策的副部长兼小组主席Rob Silvers在周三的电话会议上告诉采访人员 。
该报告是该委员会大约五个月的工作成果,该委员会是去年作为乔·拜登总统的全面行政命令的一部分而成立的,旨在改革联邦政府的网络安全应对方法 。
这个由15人组成的小组--松散地仿照国家运输安全委员会(NTSB),由来自公共和私营部门的官员组成--在2月份受命调查Log4j的弱点是如何发生的,并提出数字安全界可以从全球反应中吸取的教训 。
西尔弗斯说,董事会成员对大约80个组织进行了访谈,并与行业、外国政府和安全专家接触,以获取信息 。
总的来说,委员会提出了19项建议,供各实体在对Log4j保持警惕时采纳 。Google安全工程副总裁、小组副主席希瑟-阿德金斯(Heather Adkins)告诉采访人员,委员会的结论还鼓励提高网络社区的安全标准,特别是软件开发人员"资源稀缺"和基于志愿者的开源部门 。她说:"我们希望我们的发现对社区来说既是鼓舞人心的,但也不是令人惊讶或无法实现的 。"
【安全|DHS首份网络安全审查委员会报告认为Log4j已成为待续性威胁】国土安全部部长亚历杭德罗-马约尔卡斯在一份声明中说,审查为政府和行业提供了"明确的、可操作的建议,国土安全部将帮助实施这些建议,以加强我们的网络复原力,推进对我们的集体安全至关重要的公私伙伴关系" 。
推荐阅读
- 安全|Barracuda:工业系统面临重大攻击威胁 安全防御仍严重滞后
- 硬件|瑞典公司开发安全气囊自行车头盔能更好地保护骑行者的头部
- 安全|PFC承认遭勒索软件攻击 191万患者信息被泄露
- 安全|Retbleed投机执行攻击缓解代码已并入Linux内核
- Tencent|QQ安全中心揭秘不可思议的盗号手段:利用好友互助渠道与同情心
- IT|国产ARJ21飞机安全载客突破500万人次
- 安全|万代南梦宫成勒索软件攻击对象
- IT|安全研究员发现可能会让过去十年本田车型受到网络攻击的漏洞
- 安全|面试被撑开眼睛录视频,多人有相同经历 “拍眼睛”是什么操作?
- 安全|RollingPWN漏洞曝光:黑客可远程解锁和启动多款本田车型