《IT時(shí)報(bào)》記者從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的一則公告上則看到,，12月10日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-95914）,，目前,，漏洞利用細(xì)節(jié)已公開，阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞,。CNVD建議受影響用戶立即更新至最新版本,，同時(shí)采取防范性措施避免漏洞攻擊威脅。

然而,，此時(shí)距離第一次發(fā)現(xiàn)漏洞已經(jīng)過去半個(gè)月,。

03 “挖”漏洞合規(guī)更重要

“國家對網(wǎng)絡(luò)漏洞管理進(jìn)行強(qiáng)監(jiān)管的背景是，關(guān)于網(wǎng)絡(luò)安全的黑白之爭越來越激烈,?！痹谝晃话踩缛耸靠磥恚⒗镌拼舜伪涣P并不冤,，作為中國最大的云服務(wù)商,，合規(guī)意識(shí)如此薄弱，的確不應(yīng)該,。

近兩年來,，發(fā)生在安全領(lǐng)域的攻擊事件呈直線上升的態(tài)勢，甚至在全球范圍內(nèi)出現(xiàn)幾個(gè)規(guī)?；?、組織化的黑客勒索組織。

今年5月,，迫使美國最大的成品油管道運(yùn)營商Colonial Pipeline關(guān)閉了一條關(guān)鍵的運(yùn)輸管道的勒索病毒襲擊,，便來自一家名為“暗面”（DarkSide）的組織。

這些黑客組織嗅覺靈敏,，不但研發(fā)軟件,、培訓(xùn)“下線”，甚至還將勒索襲擊當(dāng)做一門生意運(yùn)營，專門針對一些重要公司進(jìn)行定向,、高索賠額的病毒攻擊,。

Apache Log4j2漏洞被公開后，網(wǎng)絡(luò)安全公司Crowdstrike高級副主席邁耶斯（Adam Meyers）便曾表示,，截至美國時(shí)間12月10日,，黑客已經(jīng)將漏洞“完全武器化”，還開發(fā)出利用該漏洞的攻擊工具向外分發(fā),。

據(jù)上述安全界人士介紹,，網(wǎng)絡(luò)安全公司報(bào)告漏洞的傳統(tǒng)做法是先通知廠商，然后等廠商打好補(bǔ)丁后,，再向社區(qū)公開,，讓所有使用該產(chǎn)品的企業(yè)及時(shí)修復(fù)漏洞。

但從發(fā)現(xiàn)漏洞到打好補(bǔ)丁之間畢竟有時(shí)間差,，很容易被黑客借此打個(gè)“閃電戰(zhàn)”,。

尤其是開源軟件，有些程序員習(xí)慣性地在開源社區(qū)內(nèi)討論一些細(xì)節(jié),，也有可能在不知不覺中被黑客找到機(jī)會(huì),。

尤其像Log4j2組件漏洞這樣的普遍性問題，由于涉及面太廣,，很難確保這條傳統(tǒng)路徑可以將信息傳遞給所有客戶,。

近兩年來，各個(gè)國家對于網(wǎng)絡(luò),、數(shù)據(jù)安全越發(fā)重視,，各種相關(guān)法規(guī)條例相繼出臺(tái)。

和《規(guī)定》一樣在今年9月1日實(shí)施的《數(shù)據(jù)安全法》第29條也規(guī)定：數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全缺陷,、漏洞等風(fēng)險(xiǎn)時(shí),，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí),，應(yīng)當(dāng)立即采取處置措施,，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

“無論是安全公司還是云服務(wù)商,，都應(yīng)該將這些法規(guī)細(xì)化為可執(zhí)行的操作規(guī)范,，固定下來，但這種合規(guī)性要求,，對于不少‘草莽’起家的民營白帽子公司是個(gè)全新領(lǐng)域,，需要好好琢磨?！币晃话酌弊油嘎?，阿里云被處罰后,，公司一直在討論如何在合規(guī)前提下，為客戶提供及時(shí)有效的安全服務(wù),，甚至在考慮轉(zhuǎn)型做一些相對模式較“重”的安全防御,，在發(fā)現(xiàn)漏洞并上報(bào)的時(shí)間差里，先第一時(shí)間阻斷攻擊路徑,，“只是成本肯定會(huì)因此上升,。”