“阿帕奇”Log4j2來(lái)襲，監(jiān)控易為何能平安無(wú)恙？

(來(lái)源：千圖網(wǎng))

　　12月10日半夜，一眾互聯(lián)網(wǎng)公司技術(shù)核心人員都被CTO們電話(huà)Call醒，半夜匯聚網(wǎng)絡(luò)世界，集體排查處理線(xiàn)上程序BUG——Apache(阿帕奇) Log4j2 安全漏洞。這個(gè)BUG太嚴(yán)重破壞力極強(qiáng)，互聯(lián)網(wǎng)上曝出了 Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者就可利用此漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包，最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。

　　12月11日一大早，一個(gè)個(gè)客戶(hù)電話(huà)打進(jìn)美信科技的客服熱線(xiàn)，詢(xún)問(wèn)監(jiān)控易產(chǎn)品是否有Log4j2漏洞。當(dāng)聽(tīng)到“不會(huì)受到波及和影響”時(shí)，電話(huà)另一頭都舒了口氣。“美信科技的產(chǎn)品為什么沒(méi)受到 Log4j2 漏洞攻擊?美信科技的監(jiān)控易如果使用第三方插件時(shí)，會(huì)不會(huì)引發(fā)所帶來(lái)的安全隱患?”小編也發(fā)出心底疑問(wèn)。

　　對(duì)此，美信客服的回答是肯定的，完全不用擔(dān)心這些問(wèn)題。“美信科技的產(chǎn)品采用純C語(yǔ)言、python語(yǔ)言和C++語(yǔ)言自主設(shè)計(jì)開(kāi)發(fā)。所以，不會(huì)受到基于Java語(yǔ)言應(yīng)用的Apache（阿帕奇） Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊。美信科技監(jiān)控易等一系列產(chǎn)品從底層開(kāi)始所使用的框架、消息中間件、數(shù)據(jù)庫(kù)、WebServer都是自主研發(fā)，不借助于第三方任何插件，從而避免使用第三方插件所帶來(lái)的安全隱患。美信科技將時(shí)刻為保障客戶(hù)的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。”

　　”

　　“阿帕奇”來(lái)襲，“核彈級(jí)”系統(tǒng)漏洞波及各大廠

　　由于漏洞利用門(mén)檻不高、Log4j 應(yīng)用范圍廣，所以這次 Log4j 漏洞事件引發(fā)的安全影響十分深遠(yuǎn)。一位業(yè)內(nèi)人士這樣戲稱(chēng)，這個(gè)漏洞的嚴(yán)重性堪稱(chēng)今年之最，災(zāi)難等級(jí)為核彈級(jí)。這次事件幾乎波及了所有互聯(lián)網(wǎng)大廠。

　　Apache Log4j2Apache Log4j2 最初是由 Ceki Gülcü 編寫(xiě)，是 Apache 軟件基金會(huì) Apache 日志服務(wù)項(xiàng)目的一部分。Log4j 是幾種 Java 日志框架之一。而 Apache Log4j2 是對(duì) Log4j 的升級(jí)，相比其前身 Log4j(1.x版本)有了更顯著的改進(jìn)，同時(shí)修復(fù)了 Logback 架構(gòu)(Logback是Log4j 1.x的作者弄的一個(gè)新日志框架)中的一些固有問(wèn)題。Log4j2功能豐富、性能相比1.x提高了很多，已被廣泛用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)，用來(lái)記錄日志信息，特別是互聯(lián)網(wǎng)企業(yè)。絕大部分的Java應(yīng)用用的都是Log4j的包記錄日志，而眾多互聯(lián)網(wǎng)公司用的是Log4j2，據(jù)“白帽”分析確認(rèn)，幾乎所有技術(shù)巨頭都是該 Log4j 遠(yuǎn)程代碼執(zhí)行漏洞的受害者。據(jù) Apache 官方最新信息顯示，由于 Apache Log4j2 的某些函數(shù)具有遞歸分析函數(shù)，因此攻擊者可以直接構(gòu)造惡意請(qǐng)求來(lái)觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。

　　根據(jù)谷歌安全團(tuán)隊(duì)的統(tǒng)計(jì)，截至 2021 年 12 月 16 日，來(lái)自 Maven Central 的 35,863 個(gè)可用 Java 組件依賴(lài)于 Log4j。比利時(shí)國(guó)防部成為這次事件中首次公開(kāi)披露的受害者。比利時(shí)國(guó)防部發(fā)言人 Olivier Séverin 表示，不法分子利用 Log4j 漏洞攻擊了比利時(shí)國(guó)防部。“一些活動(dòng)已經(jīng)癱瘓了好幾天”。

　　Log4j 漏洞在國(guó)內(nèi)影響也很深遠(yuǎn)。據(jù)媒體報(bào)道，近期工信部網(wǎng)絡(luò)安全管理局通報(bào)稱(chēng)，阿里云計(jì)算有限公司在 11 月 24 日發(fā)現(xiàn)了 Log4j2 安全漏洞隱患后率先向 Apache(阿帕奇) 基金會(huì)披露了該漏洞，未及時(shí)向中國(guó)工信部通報(bào)相關(guān)信息，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位 6 個(gè)月。暫停期滿(mǎn)后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。根據(jù)工信部官網(wǎng)消息，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái) 12 月 9 日收到有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)報(bào)告后，立即組織有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析。

(來(lái)源：工信部官網(wǎng)截圖)

　　雖然已經(jīng)過(guò)去了十多天，但 Log4j 中暴露出的安全漏洞仍在肆虐，同時(shí)也喚起了大家對(duì)于開(kāi)源軟件開(kāi)發(fā)、付費(fèi)與維護(hù)方式的深切思考。

　　有人抨擊項(xiàng)目維護(hù)者未能及時(shí)發(fā)現(xiàn)問(wèn)題。面對(duì)這樣的指責(zé)，開(kāi)發(fā)者 Volkan Yazici 立即對(duì)這種踐踏無(wú)償志愿勞動(dòng)的行徑展開(kāi)反擊，表示這群“嘴炮”自己壓根沒(méi)提供過(guò)任何財(cái)務(wù)支持或者代碼貢獻(xiàn)。

　　有人想到，當(dāng)問(wèn)題出現(xiàn)之后，最重要的是先解決問(wèn)題。國(guó)內(nèi)的互聯(lián)網(wǎng)大廠美團(tuán)、阿里、字節(jié)和百度…一刻也沒(méi)有松懈，全都迅速響應(yīng)，拿出了自己的解決方案。

　　美信科技認(rèn)為：不要因噎廢食，棄之不用。攻擊檢測(cè)和漏洞修復(fù)的工作，有很多研究機(jī)構(gòu)和安全公司都在進(jìn)行。歷史是螺旋上升的，安全也是，前進(jìn)性、曲折性和周期性不可避免。

　　阿帕奇攻擊下，美信科技為何平安無(wú)恙?

　　美信科技是IT和OT大數(shù)據(jù)采集領(lǐng)域的“蘋(píng)果”公司，堅(jiān)定不移走自主創(chuàng)新之路，全部產(chǎn)品均為自主研發(fā)、國(guó)內(nèi)全棧式自主可控。產(chǎn)品采用純C語(yǔ)言、python語(yǔ)言和C++語(yǔ)言自主設(shè)計(jì)開(kāi)發(fā)，前期投入大，開(kāi)發(fā)周期長(zhǎng)，開(kāi)發(fā)難度大，目前已經(jīng)突破了多項(xiàng)核心技術(shù)瓶頸，并時(shí)刻為保障用戶(hù)的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。

　　在Apache Log4j2攻擊下，美信科技為何安然無(wú)恙?以美信科技旗下新一代監(jiān)控強(qiáng)勢(shì)品牌——監(jiān)控易的安全性為例，監(jiān)控易為時(shí)時(shí)刻刻保障用戶(hù)的數(shù)據(jù)安全和隱私，從以下幾個(gè)方面出發(fā)確保了安全性。

　　標(biāo)準(zhǔn)、安全的協(xié)議

　　監(jiān)控易平臺(tái)通過(guò)使用公開(kāi)的協(xié)議進(jìn)行數(shù)據(jù)的收集和采集，使用的協(xié)議是RFC規(guī)定的標(biāo)準(zhǔn)協(xié)議，例如SNMP、WMI等標(biāo)準(zhǔn)或廠商接口協(xié)議，采用此種開(kāi)放標(biāo)準(zhǔn)的協(xié)議能夠從根本上避免采集數(shù)據(jù)對(duì)于被監(jiān)控端的影響。

　　強(qiáng)大的自研專(zhuān)用時(shí)序數(shù)據(jù)庫(kù)，保持?jǐn)?shù)據(jù)獨(dú)立性

　　美信科技自主研發(fā)Big River時(shí)序數(shù)據(jù)庫(kù)，擁有軟件著作權(quán)證書(shū)，是廣泛應(yīng)用于IT基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)設(shè)備，互聯(lián)網(wǎng)業(yè)務(wù)監(jiān)控場(chǎng)景的專(zhuān)業(yè)數(shù)據(jù)庫(kù)。統(tǒng)一數(shù)據(jù)管理，不但節(jié)約了維護(hù)成本而且可以使幾個(gè)系統(tǒng)同時(shí)備份恢復(fù)數(shù)據(jù)，提高系統(tǒng)的穩(wěn)定性。監(jiān)控易所使用的數(shù)據(jù)庫(kù)和中間件集成在一個(gè)安裝包中，無(wú)需安裝其它第三方數(shù)據(jù)庫(kù)。監(jiān)控易被獨(dú)立出來(lái)的數(shù)據(jù)處理層負(fù)責(zé)完成對(duì)數(shù)據(jù)庫(kù)的操作。用戶(hù)端只能通過(guò)邏輯層來(lái)訪問(wèn)數(shù)據(jù)層，減少了入口點(diǎn)，很多危險(xiǎn)的系統(tǒng)功能都被屏蔽。

　　核心技術(shù)自主研發(fā)，避免公眾漏洞隱患

　　不同于其他監(jiān)控產(chǎn)品，監(jiān)控易從底層開(kāi)始所使用的框架、中間件、數(shù)據(jù)庫(kù)都是自主研發(fā)，不借助于第三方任何插件，避免使用第三方插件所帶來(lái)的安全隱患。

　　高效、穩(wěn)定、易用、安全

　　不適用第三方插件自主研發(fā)的另一個(gè)好處在于平臺(tái)的穩(wěn)定、高效、易用、安全。監(jiān)控易底層使用采用云架構(gòu)的設(shè)計(jì)，包含冗余熱備、并行計(jì)算等，保障監(jiān)控平臺(tái)在使用過(guò)程當(dāng)中的安全，使用最安全的MQ隊(duì)列機(jī)制保障消息的可靠傳輸。無(wú)需人工的干擾，在一個(gè)“云節(jié)點(diǎn)”出現(xiàn)問(wèn)題之后，所有監(jiān)測(cè)任務(wù)由其他“云節(jié)點(diǎn)”共同完成，并且根據(jù)每個(gè)云節(jié)點(diǎn)的壓力分配數(shù)量不同的監(jiān)控任務(wù)。

　　作為國(guó)家信創(chuàng)國(guó)產(chǎn)化替代和工業(yè)物聯(lián)網(wǎng)雙重戰(zhàn)略下的標(biāo)桿企業(yè)，美信科技還擁有代表國(guó)內(nèi)最先進(jìn)生產(chǎn)力的四大技術(shù)。

　　第一、四合一超融合數(shù)據(jù)庫(kù)，完全自主開(kāi)發(fā)的融合表狀、Key Value樹(shù)狀、內(nèi)存、時(shí)序四大技術(shù)的數(shù)據(jù)庫(kù);

　　第二、領(lǐng)先的云、邊、端技術(shù)架構(gòu)，支持跨區(qū)域、跨網(wǎng)絡(luò)、跨安全域的復(fù)雜場(chǎng)景數(shù)據(jù)采集;

　　第三、低代碼協(xié)議和設(shè)備自適應(yīng)引擎，快速適配各種IT和OT設(shè)備，徹底解放研發(fā)工程師，適配效率比傳統(tǒng)技術(shù)快10倍;

　　第四、IT、動(dòng)環(huán)、智能物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)一體化數(shù)據(jù)采集和監(jiān)控，助力客戶(hù)低成本實(shí)現(xiàn)工業(yè)4.0的IT和OT的融合目標(biāo)。

　　近年來(lái)，隨著信息安全的威脅事件不斷發(fā)生，信創(chuàng)國(guó)產(chǎn)化產(chǎn)業(yè)發(fā)展浪潮達(dá)到一個(gè)新的高峰，“高安全性”“自主可控”成為了發(fā)展的重要基石和保障。

　　2020年尾聲，黑客利用 SolarWinds 的 Orion 網(wǎng)絡(luò)管理平臺(tái)，成功入侵了美國(guó)財(cái)政部、國(guó)土安全部在內(nèi)的多家美國(guó)聯(lián)邦政府機(jī)構(gòu)網(wǎng)站，敲響人們對(duì)于IT監(jiān)控系統(tǒng)安全性的警鐘，美信科技順勢(shì)而為，以“全國(guó)產(chǎn)”“高安全性”“自主可控”的產(chǎn)品擁抱信創(chuàng)。

　　2021年尾聲，在”阿帕奇”的沖擊下，美信科技安然無(wú)恙，并為保障客戶(hù)的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。

　　預(yù)見(jiàn)2022，面對(duì)更加不確定的未來(lái)，但卻面臨著確定的安全威脅。美信科技將在頻發(fā)的無(wú)國(guó)界網(wǎng)絡(luò)安全事件以及信創(chuàng)國(guó)產(chǎn)化浪潮的推動(dòng)下嚴(yán)防安全“黑天鵝”，為客戶(hù)守好安全第一線(xiàn)，讓安全少走彎路，掌握安全主動(dòng)權(quán)。

特別提醒：本網(wǎng)信息來(lái)自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。