Log4j เป็นภัยคุกคามความปลอดภัยทางไซเบอร์ที่มองเห็นได้ชัดเจนที่สุดนับตั้งแต่ Solar Winds ทำให้องค์กรต่าง ๆ ต้องค้นหาและแก้ไขอินสแตนซ์ของซอฟต์แวร์บางตัว แขกรับเชิญคนต่อไปของฉันบอกว่าทั้งสองเหตุการณ์แตกต่างกันโดยสิ้นเชิงในทางเทคนิค ซื้อพวกเขาสร้างบทเรียนเดียวกันที่ได้เรียนรู้ Gordon Bitko อดีตหัวหน้าเจ้าหน้าที่สารสนเทศของ FBI ปัจจุบันเป็นรองประธานอาวุโสฝ่ายนโยบายของสภาอุตสาหกรรมเทคโนโลยีสารสนเทศ เข้าร่วม Federal Drive กับ Tom Teminพร้อมรายละเอียด
ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
ทอม เทมิน:กอร์ดอน ดีใจที่ได้กลับมาGordon Bitko:สวัสดี ทอม ยินดีที่ได้อยู่กับคุณเช่นเคย
Tom Temin:ฉันคิดว่า Log4j ไม่ค่อยเข้าใจในทางเทคนิค แม้ว่าทุกคนจะจับกลุ่มกันเกี่ยวกับคำนี้ แต่มันค่อนข้างง่าย อาจเริ่มต้นด้วยคำอธิบายที่ชัดเจนว่ามันคืออะไร
กอร์ดอน บิตโก:แน่นอน ฉันคิดว่านั่นเป็นจุดเริ่มต้นที่ดี ทอมจึงเข้าใจว่าทำไมมันถึงสำคัญและทำไมมันถึงแพร่หลาย Log4j เป็นส่วนประกอบของซอฟต์แวร์ Apache Apache เป็นโครงการโอเพ่นซอร์ส ซึ่งหมายความว่ามีผู้คนจำนวนมากที่มีส่วนร่วมในช่วงหลายปีที่ผ่านมา และแพร่หลายมาก — มีโปรแกรมต่างๆ มากมาย ระบบต่างๆ มากมายใช้มัน เป็นพื้นฐานสำหรับเว็บเซิร์ฟเวอร์ และแอปพลิเคชันอื่นๆ ทุกประเภท ภายในโปรแกรม เช่นเดียวกับหลาย ๆ โปรแกรม คุณมีความปรารถนาในหลาย ๆ ระบบที่จะบันทึกกิจกรรมที่กำลังดำเนินอยู่ เพื่อให้นักพัฒนาสามารถติดตามว่าเกิดอะไรขึ้นหากเกิดปัญหา เพื่อให้ผู้ใช้หากมีสิ่งผิดพลาดสามารถส่งรายงานข้อผิดพลาดกลับมาได้ ทุกประเภท เหตุผลที่คุณต้องการรวบรวมข้อมูลบันทึก และความปลอดภัยก็เป็นอีกหนึ่งเหตุผลสำคัญที่คุณต้องการรวบรวมข้อมูลบันทึกเช่นกัน ดังนั้น Log4j จึงเป็นหนึ่งในส่วนประกอบที่มีอยู่ใน Apache หากคุณสร้างระบบโอเพ่นซอร์สโดยใช้ Apache คุณจะได้รับ Log4j เป็นเพียงส่วนหนึ่งของกระบวนการ
Tom Temin:ปกติแล้ว Log4j จะมีโค้ดที่ไม่สามารถสั่งการได้ แต่ในช่องโหว่นี้ที่มีอยู่ ผู้ไม่ประสงค์ดีได้ค้นพบวิธีใส่ไฟล์ปฏิบัติการลงในบันทึกของคุณ ดังนั้นพวกเขาจึงสามารถเปิดการโจมตีจากจุดที่คุณคาดไม่ถึงได้
Gordon Bitko:ถูกต้องเลย Tom สิ่งที่พวกเขาสามารถทำได้
ไฟล์บันทึกไม่ควรเป็นเพียงการบันทึกแบบคงที่ ต่อไปนี้คือสิ่งที่เกิดขึ้นเมื่อใครบางคนสามารถย้อนกลับและวิเคราะห์สิ่งที่ผิดพลาดหรือข้อมูลที่ถูกรวบรวม และใช้ข้อมูลนั้นเพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย แต่ในกรณีของบั๊กชุดนี้ซึ่งมีอยู่ใน Log4j ผู้คนพบว่ามันอนุญาตให้เรียกใช้โค้ดได้เหมือนที่คุณพูด และนั่นเปิดประตูสู่ทุกสิ่งอย่างแท้จริง ผู้คนได้ค้นพบไฟล์บันทึกทุกประเภทโดยใช้ Log4j และคุณสามารถส่งสตริงข้อมูลที่ถูกต้อง และมันจะอนุญาตให้คุณรันโค้ด
ทอม เทมิน:และผมเดาว่ามีซอฟต์แวร์รุ่นหลังเซิร์ฟเวอร์เพิ่มขึ้นเป็นครั้งแรกที่เรียกว่าเวอร์ชวลไลเซชัน ตอนนี้เรามีคอนเทนเนอร์ เพื่อให้อินสแตนซ์ของบันทึกและซอฟต์แวร์ทุกประเภทถูกจำลองแบบไปทั่ว ปัญหาดังกล่าวทวีคูณขึ้นเมื่อเทียบกับเมื่อองค์กรมีเวอร์ชันเดียวของเว็บเซิร์ฟเวอร์ที่ทำงานบนเซิร์ฟเวอร์จริงเครื่องเดียวหรือไม่
Gordon Bitko:ไม่ต้องสงสัยเลย Tom ว่ามีการแพร่ขยาย เป็นเรื่องง่ายมาก ดังที่คุณได้กล่าวไว้ในการสร้างในระบบคลาวด์ในสภาพแวดล้อมเสมือนจริง เพื่อสร้างระบบและเรียกใช้เวอร์ชันของ Apache และภายในนั้นจะมี Log4j และตามจริงแล้ว ในหลายกรณี ผู้คนจะไม่รู้ด้วยซ้ำว่านั่นคือสิ่งที่กำลังเรียกใช้ระบบของพวกเขา พวกเขาจะทำบางสิ่งที่แยกจาก Apache ไปหนึ่งหรือสองระดับ และเป็นเพียงการที่ Apache เกิดขึ้นเป็นผลิตภัณฑ์พื้นฐานที่การบรรจุคอนเทนเนอร์สร้างขึ้นTom Temin:เอาล่ะ ถ้าอย่างนั้น จริงๆ แล้ว เราสามารถนั่งที่นี่และพูดคุยเกี่ยวกับโค้ดที่จะเขียน การรัน การรูทมัน และอื่นๆ อาจมีรากฐานทางเทคนิคมากมาย แต่หัวใจของวิทยานิพนธ์ของคุณ ฉันคิดว่าในหลายๆ ด้าน มันเป็นเรื่องการจัดการ และเรามีกฎหมายที่กำลังอยู่ระหว่างการพิจารณาเพื่อแก้ไข—กฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง FISMA ซึ่งอยู่ภายใต้การดำเนินการทั้งหมดนี้โดยรัฐบาล ดังนั้นอาจเชื่อมโยงความท้าทายของ Log4j กับความต้องการ FISMA ปฏิรูป. นี่ฉันกำลังสร้างสะพานไกลเกินไปหรือเปล่า
กอร์ดอน บิตโก:ไม่ ฉันไม่คิดอย่างนั้น ทอม มีการเชื่อมต่อทางตรรกะในใจของฉัน สิ่งที่เราเรียนรู้ทั้งจาก SolarWinds และอีกครั้งจาก Log4j คือรัฐบาลให้ความสำคัญกับ FISMA ในโปรแกรมความปลอดภัยข้อมูล ซึ่งเป็นกระบวนการล่วงหน้า สิ่งเหล่านี้มีความสำคัญ ไม่ต้องสงสัยเลยว่าเอเจนซีจำเป็นต้องเข้าใจว่าทรัพย์สินทั้งหมดของพวกเขาคืออะไร ใครคือผู้ใช้ทั้งหมดของพวกเขา เพื่อให้แน่ใจว่ามีรายงานประจำปี สิ่งเหล่านี้จำเป็นสำหรับโปรแกรมการปฏิบัติตามกฎระเบียบที่มีประสิทธิภาพในโลกของการรักษาความปลอดภัย แต่ไม่เพียงพอสำหรับโปรแกรมที่อิงตามความเสี่ยงอย่างแท้จริง เมื่อคุณมีโปรแกรมตามความเสี่ยงอย่างแท้จริง คุณต้องเข้าใจว่าอะไรคือผลที่ตามมาหากมีบางอย่างเกิดขึ้น และคุณต้องมีความรับผิดชอบในระดับสูงในองค์กร และฉันคิดว่านั่นคือสิ่งที่ขาดหายไปใน FISMA เวอร์ชันปัจจุบัน และสิ่งที่เรา
Credit : สล็อตเว็บแท้ / 20รับ100 / เว็บสล็อตออนไลน์