二十年一遇安全漏洞来袭，工信部发文提示风险 “云上企业”如何应对这场“网络大流感”？

二十年一遇安全漏洞来袭：将成“网络大流感”

2021年12月9日深夜，Apache Log4j2远程代码执行漏洞攻击爆发，一时间各大互联网公司“风声鹤唳”，许多网络安全工程师半夜醒来，忙着修补漏洞。“听说各大厂程序员半夜被叫起来改，不改完不让下班。”相关论坛也对此事议论纷纷。

为何一个安全漏洞的影响力如此之大？安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为：“影响广泛、威胁程度高、攻击难度低，使得此次Apache Log4j2漏洞危机备受瞩目，造成了全球范围的影响。”

“Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发”，季靖表示，“据不完全统计，漏洞爆发后72小时之内，受影响的主流开发框架都超过70个。而这些框架，又被广泛使用在各个行业的数字化信息系统建设之中，比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架，因此阿帕奇Log4j2漏洞影响范围极大。”

除了应用广泛之外，Apache Log4j2漏洞被利用的成本相对而言也较低，攻击者可以在不需要认证登录这种强交互的前提下，构造出恶意的数据，通过远程代码对有漏洞的系统执行攻击。并且，它还可以获得服务器的最高权限，最终导致设备远程受控，进一步造成数据泄露，设备服务中断等危害。

不仅仅攻击成本低，而且技术门槛也不高。不像2017年爆发的 “永恒之蓝”，攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者，可以利用很多现成的工具，稍微懂点技术便可以构造更新出一种恶意代码。

利用难度低、攻击成本低，意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间，这将是一场“网络安全大流感”。

二十年一遇安全漏洞来袭：将成“网络大流感”

2021年12月9日深夜，Apache Log4j2远程代码执行漏洞攻击爆发，一时间各大互联网公司“风声鹤唳”，许多网络安全工程师半夜醒来，忙着修补漏洞。“听说各大厂程序员半夜被叫起来改，不改完不让下班。”相关论坛也对此事议论纷纷。

为何一个安全漏洞的影响力如此之大？安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为：“影响广泛、威胁程度高、攻击难度低，使得此次Apache Log4j2漏洞危机备受瞩目，造成了全球范围的影响。”

“Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发”，季靖表示，“据不完全统计，漏洞爆发后72小时之内，受影响的主流开发框架都超过70个。而这些框架，又被广泛使用在各个行业的数字化信息系统建设之中，比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架，因此阿帕奇Log4j2漏洞影响范围极大。”

除了应用广泛之外，Apache Log4j2漏洞被利用的成本相对而言也较低，攻击者可以在不需要认证登录这种强交互的前提下，构造出恶意的数据，通过远程代码对有漏洞的系统执行攻击。并且，它还可以获得服务器的最高权限，最终导致设备远程受控，进一步造成数据泄露，设备服务中断等危害。

不仅仅攻击成本低，而且技术门槛也不高。不像2017年爆发的 “永恒之蓝”，攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者，可以利用很多现成的工具，稍微懂点技术便可以构造更新出一种恶意代码。

利用难度低、攻击成本低，意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间，这将是一场“网络安全大流感”。

“云上企业”怎么防护？搭建安全保障体系是关键

传统模式下，安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式，“云上企业”使用的是云计算、云存储服务等，没有自己的机房和服务器。进入云环境，安全防护的“边界”不复存在，对底层主机的控制权限也没有本地那么多，同时还多一层虚拟化方面的攻击方式。

特别是疫情影响下，大量企业、机构开启数字化转型，从本地服务器迁徙到云服务器。短时间内完成云迁移，企业很可能缺乏对应的云安全管理能力成熟度；同时，往往也面临着安全能力不足、专业人手紧缺等情况。

面对这场史诗级的漏洞危机，“云上企业”应该如何应对呢？

在安恒信息高级产品专家盖文轩看来：“企业上云之后，传统的网络安全风险依然存在，此外，还会面临新的安全风险，比如用户与云平台之间安全责任边界划分等问题。另外，传统的硬件设备可能不适用于云环境，因此需要针对特殊情况部署相关安全服务。”

而在安永大中华区科技风险咨询服务合伙人赵剑澐看来：“面对快速上云，企业急需搭建满足自身业务发展与管理要求的安全保障体系。”

那么，对于这些“云上企业”，究竟是选择云服务商提供的原生安全服务，还是另寻第三方专业的安全服务商呢？

盖文轩认为：“网络安全服务的时效性是非常关键的，如果安全事件发生后，一个小时快速响应，还是几个小时甚至一两天响应，差距是很大的，客户承担的风险和损失是持续的。选择第三方安全机构专业性更强，云服务商兼容性更好。”

事实上，目前即使是高度自动化的云原生安全方案，也无法做到完全自主自治，仍然需要合格的云安全服务专业团队参与。高轶峰强调，对于中小型企业，选择满足资质的第三方专业安全机构，能够保证服务的独立性，保障工作顺利开展及服务质量。

云服务商原生安全服务与第三方安全服务并非二选一。赵剑澐认为：“在企业安全防护体系的构建中，企业应结合自身安全管理经验，从计算层、网络层、数据层以及安全管理层，考量安全实践，量体裁衣，选择适合企业的安全服务，以构筑全栈安全。”

网络安全专家谈安全实践：“宜未雨而绸缪”

网站风险的发现和网站安全防护是一个对专业性要求较高的工作，很多单位缺乏专业安全设备和技术人员，业务系统遭受攻击后不能及时响应，造成内容被篡改、植入暗链、黑页、业务宕机瘫痪等，引发负面影响，甚至给网站管理单位带来严重的经济损失。因此，对暴露在互联网上的业务系统开展常态化安全防护与监测尤为必要。

赵剑澐总结称：“优秀的安全实践‘宜未雨而绸缪，毋临渴而掘井’。”

对于“云上企业”而言，安恒玄武盾SaaS服务便是典型的云防护和云监测一体化解决方案，帮助用户在Nday漏洞应急响应场景下，可以有效实现漏洞的安全监测、攻击防护以及7x24小时安全专家值守服务保障，协助用户掌握重要信息系统和重点网站的安全态势，实现网站和相关业务系统的防篡改、防入侵、防数据泄漏，避免网站安全事件发生。

“云上企业”怎么防护？搭建安全保障体系是关键

传统模式下，安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式，“云上企业”使用的是云计算、云存储服务等，没有自己的机房和服务器。进入云环境，安全防护的“边界”不复存在，对底层主机的控制权限也没有本地那么多，同时还多一层虚拟化方面的攻击方式。

特别是疫情影响下，大量企业、机构开启数字化转型，从本地服务器迁徙到云服务器。短时间内完成云迁移，企业很可能缺乏对应的云安全管理能力成熟度；同时，往往也面临着安全能力不足、专业人手紧缺等情况。

面对这场史诗级的漏洞危机，“云上企业”应该如何应对呢？

在安恒信息高级产品专家盖文轩看来：“企业上云之后，传统的网络安全风险依然存在，此外，还会面临新的安全风险，比如用户与云平台之间安全责任边界划分等问题。另外，传统的硬件设备可能不适用于云环境，因此需要针对特殊情况部署相关安全服务。”

而在安永大中华区科技风险咨询服务合伙人赵剑澐看来：“面对快速上云，企业急需搭建满足自身业务发展与管理要求的安全保障体系。”

那么，对于这些“云上企业”，究竟是选择云服务商提供的原生安全服务，还是另寻第三方专业的安全服务商呢？

盖文轩认为：“网络安全服务的时效性是非常关键的，如果安全事件发生后，一个小时快速响应，还是几个小时甚至一两天响应，差距是很大的，客户承担的风险和损失是持续的。选择第三方安全机构专业性更强，云服务商兼容性更好。”

事实上，目前即使是高度自动化的云原生安全方案，也无法做到完全自主自治，仍然需要合格的云安全服务专业团队参与。高轶峰强调，对于中小型企业，选择满足资质的第三方专业安全机构，能够保证服务的独立性，保障工作顺利开展及服务质量。

云服务商原生安全服务与第三方安全服务并非二选一。赵剑澐认为：“在企业安全防护体系的构建中，企业应结合自身安全管理经验，从计算层、网络层、数据层以及安全管理层，考量安全实践，量体裁衣，选择适合企业的安全服务，以构筑全栈安全。”

网络安全专家谈安全实践：“宜未雨而绸缪”

网站风险的发现和网站安全防护是一个对专业性要求较高的工作，很多单位缺乏专业安全设备和技术人员，业务系统遭受攻击后不能及时响应，造成内容被篡改、植入暗链、黑页、业务宕机瘫痪等，引发负面影响，甚至给网站管理单位带来严重的经济损失。因此，对暴露在互联网上的业务系统开展常态化安全防护与监测尤为必要。

赵剑澐总结称：“优秀的安全实践‘宜未雨而绸缪，毋临渴而掘井’。”

对于“云上企业”而言，安恒玄武盾SaaS服务便是典型的云防护和云监测一体化解决方案，帮助用户在Nday漏洞应急响应场景下，可以有效实现漏洞的安全监测、攻击防护以及7x24小时安全专家值守服务保障，协助用户掌握重要信息系统和重点网站的安全态势，实现网站和相关业务系统的防篡改、防入侵、防数据泄漏，避免网站安全事件发生。

11月和12月境内计算机恶意程序传播次数超过19000万，但是较10月的21000万有明显减少。其中11月的恶意计算机程序传播次数在第2周达到巅峰，为5367.2万，12月的在第3周达到高峰，达到6374.1万。11月总计19294.9万；12月总计19541.6万。

在境内感染计算机恶意程序主机数量上，11月每周呈上升趋势，11月总计397.6万；12月得到控制，每周呈下降趋势总计423.7万。

境内被篡改网站总数上，11月有4767个，12月有6708个，两个月较10月均有明显减少；其中政府网站数量上，12月有36个，较11月34个相差不多，政府网站面对的攻击依旧不容忽视，要保持警惕；

12月境内被植入后门网站总数累计2062个，较11月的3551个下降41.9%；针对境内网站的仿冒网页数量，12月有1365个，11月668个，上涨104.3%。由此可见，越到年末，越要重视境内的网络安全。

12月的信息安全漏洞数量2419个，较11月的2239个上涨8.04%；其中高危漏洞数量上，12月较11月上涨31.2%。每月都有漏洞利用的事件发生，针对安全漏洞问题，一定要在正规途径下载应用，并及时更新。

11月和12月境内计算机恶意程序传播次数超过19000万，但是较10月的21000万有明显减少。其中11月的恶意计算机程序传播次数在第2周达到巅峰，为5367.2万，12月的在第3周达到高峰，达到6374.1万。11月总计19294.9万；12月总计19541.6万。

在境内感染计算机恶意程序主机数量上，11月每周呈上升趋势，11月总计397.6万；12月得到控制，每周呈下降趋势总计423.7万。

境内被篡改网站总数上，11月有4767个，12月有6708个，两个月较10月均有明显减少；其中政府网站数量上，12月有36个，较11月34个相差不多，政府网站面对的攻击依旧不容忽视，要保持警惕；

12月境内被植入后门网站总数累计2062个，较11月的3551个下降41.9%；针对境内网站的仿冒网页数量，12月有1365个，11月668个，上涨104.3%。由此可见，越到年末，越要重视境内的网络安全。

12月的信息安全漏洞数量2419个，较11月的2239个上涨8.04%；其中高危漏洞数量上，12月较11月上涨31.2%。每月都有漏洞利用的事件发生，针对安全漏洞问题，一定要在正规途径下载应用，并及时更新。

数据来源：CSA

发生在我国云平台上的各类网络安全事件数量占比仍然较高，其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。

数据来源：CSA

发生在我国云平台上的各类网络安全事件数量占比仍然较高，其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。

图片来源：艾瑞咨询报告截图