权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
网络安全和基础设施安全局局长发布关于“LOG4J”漏洞的声明
2021-12-14

[美网络安全和基础设施安全局20211211日报道] 网络安全和基础设施安全局(CISA)局长延·东利今天就“log4j”漏洞发表了以下声明:

CISA正与我们的公共和私营部门合作伙伴密切合作,主动解决影响包含log4j软件库的产品的关键漏洞。该漏洞正被越来越多的威胁参与者广泛利用,鉴于其广泛使用,对网络维护者提出了紧迫挑战。最终用户将依赖其供应商,供应商社区必须立即识别、缓解和修补使用此软件的各种产品。供应商还应与其客户沟通,以确保最终用户知道其产品包含此漏洞,并应优先考虑软件更新。

“我们正在采取紧急行动来缓解此漏洞,并检测任何相关的威胁活动。我们已将此漏洞添加到已知已利用漏洞的目录中,这迫使联邦民事机构,并向非联邦合作伙伴发出信号,紧急修补或补救此漏洞。我们积极主动接触网络可能易受攻击的实体,并利用我们的扫描和入侵检测工具,帮助政府和行业合作伙伴识别该漏洞的暴露或利用。

“联合网络防御协作计划旨在管理此类风险。我们已经成立了一个JCDC高级领导小组,以协调集体行动,确保共同了解这种漏洞和威胁活动的普遍性。通过JCDC将关键政府和私营部门合作伙伴召集在一起,包括我们在美国联邦调查局和国家安全局的合作伙伴,我们将确保以综合方式发挥我国最强大的能力来应对这一风险。为了确保关键信息的最广泛传播,我们还将于周一下午与关键基础设施利益相关者召开全国电话会议,CISA的专家将ide进一步深入了解并解决问题。

“我们继续敦促所有组织审查最新的《网络安全和基础设施安全局最新活动警示》,升级到log4j 2.15.0版,或立即应用供应商建议的相应缓解措施。

“需要明确的是,漏洞的脆弱性构成了严重的风险。我们将通过政府和私营部门之间的合作努力,将潜在影响降至最低。我们敦促所有组织与我们共同努力,并采取行动。”

CISA建议资产所有者针对此漏洞立即采取三个额外步骤:

1.列举已安装log4j的所有外向设备。

2.确保用户的安全运营中心正在对属于上述类别的设备上的每个警报采取行动。

3.安装具有自动更新规则的web应用程序防火墙(WAF),以便SOC能够集中精力处理较少的警报。

这项工作还强调了从一开始就安全地构建软件的紧迫性,以及软件物料清单(SBOM)的更广泛使用这两项都是由拜登总统在20215月发布的行政命令中提出的。SBOM将为最终用户提供他们需要的透明度,以了解他们的产品是否依赖于易受攻击的软件库。(国家工业信息安全发展研究中心 蔚艳艳)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354