引發全球行業震蕩的阿帕奇(Apache) Log4j漏洞被曝出后,業界對開源軟件安全問題的大討論與反思也從未停止,由漏洞引發的數字安全隱患也日趨備受關注。對此,美國政府日前在白宮召開開源軟件安全峰會,聚集了谷歌、蘋果、亞馬遜、微軟和其他主要科技組織,就“防止代碼和開源包中的安全缺陷和漏洞、改進發現缺陷和修復的過程、縮短發布和實施修復程序的響應時間”等一系列具體問題展開討論。
Log4j漏洞也被認為是近年來最嚴重的軟件安全漏洞之一。公開報道顯示,Log4j是一種被世界各組織和企業廣泛使用的開源日志組件工具,黑客可以利用其漏洞在受影響的系統上安裝惡意軟件,在全球計算機領域釀成巨大的安全危機。Log4j漏洞被披露后,僅數天時間就產生了數十萬次針對該漏洞的網絡攻擊。
此前,工信部在發布的《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》中指出,該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬于高危漏洞。為降低網絡安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。此外,三六零(股票代碼:601360.SH,以下簡稱360)安全團隊也在第一時間推出終端網絡層攔截工具,率先對該漏洞進行攔截。
早在Log4j漏洞被曝出前,360公司創始人周鴻祎就曾在多個場合提出“一切皆可編程,漏洞無處不在”的觀點,呼吁人們重視漏洞引發的數字安全隱患。他認為,數字化應用只要是人編寫的,都不可避免會存在安全漏洞,甚至新技術用得越多,漏洞就越多,安全隱患就越大,“每千行代碼中就有4-6個安全缺陷,開源軟件廣泛使用、漏洞眾多,每個代碼庫約有158個漏洞。”對此,360成立了國內首個開源漏洞響應平臺“360BugCloud”,累計收錄開源通用軟件漏洞高危率高達98%,守護了涉及政府、企事業等百家單位,覆蓋能源、交通、醫療、通信等諸多關鍵行業領域。
隨著數字安全元年來臨,在“萬物均要互聯”的趨勢下,針對虛擬世界的攻擊則能夠直接轉換為物理世界的傷害,尤其是智能網聯車成長為新的萬億市場,也為車聯網安全帶來嚴峻挑戰。據國際媒體日前報道,德國一名19歲的黑客大衛·科倫坡自稱用電腦技術發現了特斯拉汽車系統的漏洞,通過該漏洞,他已成功控制了全球13個國家的25輛特斯拉汽車,可以讓這些汽車開關車窗、車門、汽車大燈、播放音樂或者在不用汽車鑰匙的情況下直接發動汽車。
大衛·科倫坡對此在網上寫道:“我認為如果有人能夠在你在高速公路上遠程播放全音量音樂或打開門窗,那是相當危險的。即使不停地閃爍車燈,也可能對其他駕駛員產生一些危險影響。”
智能網聯車的安全問題事關車主的隱私和生命安全,因此無法回避。據工業和信息化部信息顯示,目前已收錄的車聯網安全漏洞信息達2000多條,僅2021年上半年,針對有關平臺的惡意攻擊行為就已超過100萬次,同比增長80%。
在周鴻祎看來,漏洞的挖掘和發現具有一定的偶然性,需要集合民間智慧,要及時發現和修復漏洞,就離不開數字安全企業和民間安全研究的力量。因此,他建議國家從政策層面鼓勵政企單位與專業的數字安全企業深度合作,或采用眾測眾包方式,充分發動民間力量發現和收集漏洞,提高數字安全整體防護能力。在今年1月,360車聯網安全研究院(Sky-go)攜手360漏洞云漏洞眾包響應平臺重磅推出“車聯網安全守護之賞金計劃”,致力于聚合全球白帽力量,為汽車制造商、智能網聯汽車產業鏈相關企業提供一站式漏洞管理。
作為數字安全領域的引領者,360一直將自己視作一股重要的民間力量,在構建數字安全防線方面發揮著重要作用。早在2019年12月,360公司就和奔馳汽車合作,并在當時為奔馳智能網聯汽車修復了19個有關的潛在漏洞。
此外,按照360“車聯網安全守護之賞金計劃”公布的“線路圖”,360將依托其漏洞云聚集的專業安全白帽專家,幫助車企建立SaaS化車聯網SRC安全應急響應中心,圍繞漏洞生態體系打造集漏洞情報、漏洞挖掘、專家響應、安全服務定制化于一體的漏洞生態安全服務平臺,為車企提供優質的漏洞情報訂閱、可控的安全眾包服務、及時的漏洞響應及經驗豐富的安全專家運營服務,從而幫助車企提升漏洞發現和漏洞響應的速度。
Copyright 1997-2022?電腦報官網?All Rights Reserved
渝公網安備 50010302003670號
