早期的 Log4j 缓解措施和资产清单使安全状况得以改善

Log4j 漏洞与企业风险管理

关键要点

根据第三方扫描，许多企业通过进行严格的资产清查和查找软件与硬件中的 Log4j 漏洞，在接下来的几个月里能够将风险降低到接近零的水平。与此同时，那些最初未能及时解决这一漏洞的企业，往往会看到风险随时间增加或加重，因为新暴露资产的上线。

以上信息来源于 CyCognito 在 2022 年黑帽大会上发布的分析报告。该公司对 36 家全球 2000 强企业进行了模拟对抗性扫描，发现迅速识别并清除暴露资产的公司与未能及时行动的公司之间存在明显差距。

尽管整体上这两个群体在一年中都出现了新暴露资产，但有近三分之二62的企业在一月份发现至少一项 Log4j 漏洞资产后，直到七月仍然有暴露的资产。这些公司中，五分之一21的企业在七月时其暴露的资产数量比一月份的数字增加了三倍之多。一家在二月份报告有七项暴露资产的公司，到了七月份这一数字猛增至 36 项。

另一方面，那些在今年一月至七月间暴露资产数量显著减少的企业，在防止新暴露资产上线方面也取得了成功。根据 CyCognito 的扫描，这部分公司38在七月时没有任何暴露资产。

“在这个问题上，首先投入大量精力的公司，今天所处的位置显然要好得多。”首席执行官 Rob Gurzeev 在采访中表示。

注意事项

CyCognito 提供漏洞扫描和资产清查服务，旨在映射出公司的攻击面以及它们对 Log4j 等漏洞的暴露情况。然而，网络安全专家警告称，仅依靠对在线资产的外部扫描并不总能真实反映公司的实际暴露情况，因为它们通常不考虑公司的内部配置或其他可能采用的缓解措施。

Gurzeev 指出，他们的分析并不依赖于简单的端口扫描网络连接系统和已知包含 Log4j 代码的资产，也不是通过“猜测”这些资产是否易受攻击，正如许多外部安全报告常常做的那样。

他表示，CyCognito 的平台有两个独特之处：它集成了自动化安全测试能力，可以实际测试漏洞的有效性，并且获得了分析公司同意，在其后端服务上运行代码，从而获得资产是否真正易受攻击的更准确图景。

Log4j 漏洞的背景

Log4j 漏洞出现在一种开源的 Apache 工具中，该工具允许软件开发者跟踪应用程序代码随时间的变化，嵌入在成千上万的其他软件程序中。这使得映射暴露的产品和资产成为大型和小型企业以及政府机构如网络安全和基础设施安全局的首要任务。该局曾将 Log4j 称为数十年来最危险和最广泛的网络安全漏洞之一。

尽管确实存在依法国家和网络犯罪团体广泛利用的证据，但 CISA 官员表示，这部分可以归因于在漏洞被发现后，政府和行业全力以赴进行的努力，以减轻已知漏洞的影响。这也反映出这一威胁的长期性，预计将持续对组织造成困扰。

根据网络安全审查委员会在 7 月发布的报告，即使在短时间内的审查中，社区利益相关者也已发现新的风险、新的威胁参与者和新的经验教训。“Log4j 仍然深深植根于系统中，”该报告指出。

CISA 执行主任 Eric Goldstein 在 1 月表示，组织需要识别其暴露于利用风险的资产

• • 2025-11-13 20:11:13
  • 1