DHS首份网络安全审查委员会报告认为Log4j已成为待续性威胁

朦胧的风

负责调查全球计算机网络安全事件的独立机构周四表示，去年年底被广泛利用的Apache Log4j Java库中发现的漏洞在未来许多年里仍将是一个威胁。美国国土安全部网络安全审查委员会的首份报告发现，尽管联邦和私营部门的组织努力保护他们的网络，但Log4j已经成为一个"区域性漏洞"--这意味着这个无处不在的软件库的未打补丁版本将在未来十年，甚至更长时间内留在系统中。



"这个事件还没有结束。风险仍然存在。网络防御者必须保持警惕，"美国国土安全部负责政策的副部长兼小组主席Rob Silvers在周三的电话会议上告诉记者。

该报告是该委员会大约五个月的工作成果，该委员会是去年作为乔·拜登总统的全面行政命令的一部分而成立的，旨在改革联邦政府的网络安全应对方法。

这个由15人组成的小组--松散地仿照国家运输安全委员会（NTSB），由来自公共和私营部门的官员组成--在2月份受命调查Log4j的弱点是如何发生的，并提出数字安全界可以从全球反应中吸取的教训。

西尔弗斯说，董事会成员对大约80个组织进行了访谈，并与行业、外国政府和安全专家接触，以获取信息。

总的来说，委员会提出了19项建议，供各实体在对Log4j保持警惕时采纳。Google安全工程副总裁、小组副主席希瑟-阿德金斯（Heather Adkins）告诉记者，委员会的结论还鼓励提高网络社区的安全标准，特别是软件开发人员"资源稀缺"和基于志愿者的开源部门。她说："我们希望我们的发现对社区来说既是鼓舞人心的，但也不是令人惊讶或无法实现的。"

国土安全部部长亚历杭德罗-马约尔卡斯在一份声明中说，审查为政府和行业提供了"明确的、可操作的建议，国土安全部将帮助实施这些建议，以加强我们的网络复原力，推进对我们的集体安全至关重要的公私伙伴关系"。


https://www.cnbeta.com/articles/tech/1292507.htm