《IT時報》記者從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的一則公告上則看到,，12月10日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-95914）,，目前,，漏洞利用細(xì)節(jié)已公開，阿帕奇官方已發(fā)布補丁修復(fù)該漏洞,。CNVD建議受影響用戶立即更新至最新版本,，同時采取防范性措施避免漏洞攻擊威脅。

然而,，此時距離第一次發(fā)現(xiàn)漏洞已經(jīng)過去半個月,。

03 “挖”漏洞合規(guī)更重要

“國家對網(wǎng)絡(luò)漏洞管理進(jìn)行強監(jiān)管的背景是，關(guān)于網(wǎng)絡(luò)安全的黑白之爭越來越激烈,?！痹谝晃话踩缛耸靠磥恚⒗镌拼舜伪涣P并不冤,，作為中國最大的云服務(wù)商,，合規(guī)意識如此薄弱，的確不應(yīng)該,。

近兩年來,，發(fā)生在安全領(lǐng)域的攻擊事件呈直線上升的態(tài)勢，甚至在全球范圍內(nèi)出現(xiàn)幾個規(guī)?；?、組織化的黑客勒索組織,。

今年5月，迫使美國最大的成品油管道運營商Colonial Pipeline關(guān)閉了一條關(guān)鍵的運輸管道的勒索病毒襲擊,，便來自一家名為“暗面”（DarkSide）的組織,。

這些黑客組織嗅覺靈敏，不但研發(fā)軟件,、培訓(xùn)“下線”,，甚至還將勒索襲擊當(dāng)做一門生意運營，專門針對一些重要公司進(jìn)行定向,、高索賠額的病毒攻擊,。

Apache Log4j2漏洞被公開后，網(wǎng)絡(luò)安全公司Crowdstrike高級副主席邁耶斯（Adam Meyers）便曾表示,，截至美國時間12月10日,，黑客已經(jīng)將漏洞“完全武器化”，還開發(fā)出利用該漏洞的攻擊工具向外分發(fā),。

據(jù)上述安全界人士介紹,，網(wǎng)絡(luò)安全公司報告漏洞的傳統(tǒng)做法是先通知廠商，然后等廠商打好補丁后,，再向社區(qū)公開,，讓所有使用該產(chǎn)品的企業(yè)及時修復(fù)漏洞。

但從發(fā)現(xiàn)漏洞到打好補丁之間畢竟有時間差,，很容易被黑客借此打個“閃電戰(zhàn)”,。

尤其是開源軟件，有些程序員習(xí)慣性地在開源社區(qū)內(nèi)討論一些細(xì)節(jié),，也有可能在不知不覺中被黑客找到機會,。

尤其像Log4j2組件漏洞這樣的普遍性問題，由于涉及面太廣,，很難確保這條傳統(tǒng)路徑可以將信息傳遞給所有客戶。

近兩年來,，各個國家對于網(wǎng)絡(luò),、數(shù)據(jù)安全越發(fā)重視，各種相關(guān)法規(guī)條例相繼出臺,。

和《規(guī)定》一樣在今年9月1日實施的《數(shù)據(jù)安全法》第29條也規(guī)定：數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全缺陷,、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施,；發(fā)生數(shù)據(jù)安全事件時,，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告,。

“無論是安全公司還是云服務(wù)商,，都應(yīng)該將這些法規(guī)細(xì)化為可執(zhí)行的操作規(guī)范,，固定下來，但這種合規(guī)性要求,，對于不少‘草莽’起家的民營白帽子公司是個全新領(lǐng)域,，需要好好琢磨?！币晃话酌弊油嘎?，阿里云被處罰后，公司一直在討論如何在合規(guī)前提下,，為客戶提供及時有效的安全服務(wù),，甚至在考慮轉(zhuǎn)型做一些相對模式較“重”的安全防御，在發(fā)現(xiàn)漏洞并上報的時間差里,，先第一時間阻斷攻擊路徑,，“只是成本肯定會因此上升?！?/p>