還能再漲23%!AI寵兒NVIDIA成大摩明年首選AMD FSR 4.0將與RX 9070 XT顯卡同步登場羅永浩細(xì)紅線最新進(jìn)展,暫別AR,迎來AI Jarvis構(gòu)建堅(jiān)實(shí)數(shù)據(jù)地基,南京打造可信數(shù)據(jù)空間引領(lǐng)數(shù)字城市建設(shè)下單前先比價不花冤枉錢 同款圖書京東價低于抖音6折日媒感慨中國電動汽車/智駕遙遙領(lǐng)先:本田、日產(chǎn)、三菱合并也沒戲消委會吹風(fēng)機(jī)品質(zhì)檢測結(jié)果揭曉 徠芬獨(dú)占鰲頭 共話新質(zhì)營銷力,2024梅花數(shù)據(jù)峰會圓滿落幕索尼影像專業(yè)服務(wù) PRO Support 升級,成為會員至少需注冊 2 臺 α 全畫幅相機(jī)、3 支 G 大師鏡頭消息稱vivo加碼電池軍備競賽:6500mAh 旗艦機(jī)+7500mAh中端機(jī)寶馬M8雙門轎跑車明年年初將停產(chǎn),后續(xù)無2026款車型比亞迪:2025 款漢家族車型城市領(lǐng)航智駕功能開啟內(nèi)測雷神預(yù)告2025年首次出席CES 將發(fā)布三款不同技術(shù)原理智能眼鏡realme真我全球首發(fā)聯(lián)發(fā)科天璣 8400 耐玩戰(zhàn)神共創(chuàng)計(jì)劃iQOO Z9 Turbo長續(xù)航版手機(jī)被曝電池加大到6400mAh,搭驍龍 8s Gen 3處理器普及放緩 銷量大跌:曝保時捷將重新評估電動汽車計(jì)劃來京東參與榮耀Magic7 RSR 保時捷設(shè)計(jì)預(yù)售 享365天只換不修國補(bǔ)期間電視迎來換機(jī)潮,最暢銷MiniLED品牌花落誰家?美團(tuán)旗下微信社群團(tuán)購業(yè)務(wù)“團(tuán)買買”宣布年底停運(yùn)消息稱微軟正與第三方廠商洽談,試圖合作推出Xbox游戲掌機(jī)設(shè)備
  • 首頁 > 網(wǎng)絡(luò)安全頻道 > 安防監(jiān)控

    “阿帕奇”Log4j2來襲 監(jiān)控易為何能平安無恙?

    2021年12月24日 17:54:37   來源:中文科技資訊

    1.jpg

      12月10日半夜,一眾互聯(lián)網(wǎng)公司技術(shù)核心人員都被CTO們電話Call醒,半夜匯聚網(wǎng)絡(luò)世界,集體排查處理線上程序BUG——Apache(阿帕奇) Log4j2 安全漏洞。這個BUG太嚴(yán)重破壞力極強(qiáng),互聯(lián)網(wǎng)上曝出了 Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者就可利用此漏洞構(gòu)造特殊的數(shù)據(jù)請求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。

      12月11日一大早,一個個客戶電話打進(jìn)美信科技的客服熱線,詢問監(jiān)控易產(chǎn)品是否有Log4j2漏洞。當(dāng)聽到“不會受到波及和影響”時,電話另一頭都舒了口氣。“美信科技的產(chǎn)品為什么沒受到 Log4j2 漏洞攻擊?美信科技的監(jiān)控易如果使用第三方插件時,會不會引發(fā)所帶來的安全隱患?”小編也發(fā)出心底疑問。

      對此,美信客服的回答是肯定的,完全不用擔(dān)心這些問題。“美信科技的產(chǎn)品采用純C語言、python語言和C++語言自主設(shè)計(jì)開發(fā)。所以,不會受到基于Java語言應(yīng)用的Apache(阿帕奇) Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊。美信科技監(jiān)控易等一系列產(chǎn)品從底層開始所使用的框架、消息中間件、數(shù)據(jù)庫、WebServer都是自主研發(fā),不借助于第三方任何插件,從而避免使用第三方插件所帶來的安全隱患。美信科技將時刻為保障客戶的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。”

      “阿帕奇”來襲,“核彈級”系統(tǒng)漏洞波及各大廠

      由于漏洞利用門檻不高、Log4j 應(yīng)用范圍廣,所以這次 Log4j 漏洞事件引發(fā)的安全影響十分深遠(yuǎn)。一位業(yè)內(nèi)人士這樣戲稱,這個漏洞的嚴(yán)重性堪稱今年之最,災(zāi)難等級為核彈級。這次事件幾乎波及了所有互聯(lián)網(wǎng)大廠。

      Apache Log4j2Apache Log4j2 最初是由 Ceki Gülcü 編寫,是 Apache 軟件基金會 Apache 日志服務(wù)項(xiàng)目的一部分。Log4j 是幾種 Java 日志框架之一。而 Apache Log4j2 是對 Log4j 的升級,相比其前身 Log4j(1.x版本)有了更顯著的改進(jìn),同時修復(fù)了 Logback 架構(gòu)(Logback是Log4j 1.x的作者弄的一個新日志框架)中的一些固有問題。Log4j2功能豐富、性能相比1.x提高了很多,已被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā),用來記錄日志信息,特別是互聯(lián)網(wǎng)企業(yè)。絕大部分的Java應(yīng)用用的都是Log4j的包記錄日志,而眾多互聯(lián)網(wǎng)公司用的是Log4j2,據(jù)“白帽”分析確認(rèn),幾乎所有技術(shù)巨頭都是該 Log4j 遠(yuǎn)程代碼執(zhí)行漏洞的受害者。據(jù) Apache 官方最新信息顯示,由于 Apache Log4j2 的某些函數(shù)具有遞歸分析函數(shù),因此攻擊者可以直接構(gòu)造惡意請求來觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。

      根據(jù)谷歌安全團(tuán)隊(duì)的統(tǒng)計(jì),截至 2021 年 12 月 16 日,來自 Maven Central 的 35,863 個可用 Java 組件依賴于 Log4j。比利時國防部成為這次事件中首次公開披露的受害者。比利時國防部發(fā)言人 Olivier Séverin 表示,不法分子利用 Log4j 漏洞攻擊了比利時國防部。“一些活動已經(jīng)癱瘓了好幾天”。

      Log4j 漏洞在國內(nèi)影響也很深遠(yuǎn)。據(jù)媒體報(bào)道,近期工信部網(wǎng)絡(luò)安全管理局通報(bào)稱,阿里云計(jì)算有限公司在 11 月 24 日發(fā)現(xiàn)了 Log4j2 安全漏洞隱患后率先向 Apache(阿帕奇) 基金會披露了該漏洞,未及時向中國工信部通報(bào)相關(guān)信息,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位 6 個月。暫停期滿后,根據(jù)阿里云整改情況,研究恢復(fù)其上述合作單位。根據(jù)工信部官網(wǎng)消息,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺 12 月 9 日收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告后,立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析。

      (來源:工信部官網(wǎng)截圖)

      雖然已經(jīng)過去了十多天,但 Log4j 中暴露出的安全漏洞仍在肆虐,同時也喚起了大家對于開源軟件開發(fā)、付費(fèi)與維護(hù)方式的深切思考。

      有人抨擊項(xiàng)目維護(hù)者未能及時發(fā)現(xiàn)問題。面對這樣的指責(zé),開發(fā)者 Volkan Yazici 立即對這種踐踏無償志愿勞動的行徑展開反擊,表示這群“嘴炮”自己壓根沒提供過任何財(cái)務(wù)支持或者代碼貢獻(xiàn)。

    image.png

      有人想到,當(dāng)問題出現(xiàn)之后,最重要的是先解決問題。國內(nèi)的互聯(lián)網(wǎng)大廠美團(tuán)、阿里、字節(jié)和百度…一刻也沒有松懈,全都迅速響應(yīng),拿出了自己的解決方案。

      美信科技認(rèn)為:不要因噎廢食,棄之不用。攻擊檢測和漏洞修復(fù)的工作,有很多研究機(jī)構(gòu)和安全公司都在進(jìn)行。歷史是螺旋上升的,安全也是,前進(jìn)性、曲折性和周期性不可避免。

      阿帕奇攻擊下,美信科技為何平安無恙?

      美信科技是IT和OT大數(shù)據(jù)采集領(lǐng)域的“蘋果”公司,堅(jiān)定不移走自主創(chuàng)新之路,全部產(chǎn)品均為自主研發(fā)、國內(nèi)全棧式自主可控。產(chǎn)品采用純C語言、python語言和C++語言自主設(shè)計(jì)開發(fā),前期投入大,開發(fā)周期長,開發(fā)難度大,目前已經(jīng)突破了多項(xiàng)核心技術(shù)瓶頸,并時刻為保障用戶的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。

      在Apache Log4j2攻擊下,美信科技為何安然無恙?以美信科技旗下新一代監(jiān)控強(qiáng)勢品牌——監(jiān)控易的安全性為例,監(jiān)控易為時時刻刻保障用戶的數(shù)據(jù)安全和隱私,從以下幾個方面出發(fā)確保了安全性。

      標(biāo)準(zhǔn)、安全的協(xié)議

      監(jiān)控易平臺通過使用公開的協(xié)議進(jìn)行數(shù)據(jù)的收集和采集,使用的協(xié)議是RFC規(guī)定的標(biāo)準(zhǔn)協(xié)議,例如SNMP、WMI等標(biāo)準(zhǔn)或廠商接口協(xié)議,采用此種開放標(biāo)準(zhǔn)的協(xié)議能夠從根本上避免采集數(shù)據(jù)對于被監(jiān)控端的影響。

      強(qiáng)大的自研專用時序數(shù)據(jù)庫,保持?jǐn)?shù)據(jù)獨(dú)立性

      美信科技自主研發(fā)Big River時序數(shù)據(jù)庫,擁有軟件著作權(quán)證書,是廣泛應(yīng)用于IT基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)設(shè)備,互聯(lián)網(wǎng)業(yè)務(wù)監(jiān)控場景的專業(yè)數(shù)據(jù)庫。統(tǒng)一數(shù)據(jù)管理,不但節(jié)約了維護(hù)成本而且可以使幾個系統(tǒng)同時備份恢復(fù)數(shù)據(jù),提高系統(tǒng)的穩(wěn)定性。監(jiān)控易所使用的數(shù)據(jù)庫和中間件集成在一個安裝包中,無需安裝其它第三方數(shù)據(jù)庫。監(jiān)控易被獨(dú)立出來的數(shù)據(jù)處理層負(fù)責(zé)完成對數(shù)據(jù)庫的操作。用戶端只能通過邏輯層來訪問數(shù)據(jù)層,減少了入口點(diǎn),很多危險(xiǎn)的系統(tǒng)功能都被屏蔽。

      核心技術(shù)自主研發(fā),避免公眾漏洞隱患

      不同于其他監(jiān)控產(chǎn)品,監(jiān)控易從底層開始所使用的框架、中間件、數(shù)據(jù)庫都是自主研發(fā),不借助于第三方任何插件,避免使用第三方插件所帶來的安全隱患。

      高效、穩(wěn)定、易用、安全

      不適用第三方插件自主研發(fā)的另一個好處在于平臺的穩(wěn)定、高效、易用、安全。監(jiān)控易底層使用采用云架構(gòu)的設(shè)計(jì),包含冗余熱備、并行計(jì)算等,保障監(jiān)控平臺在使用過程當(dāng)中的安全,使用最安全的MQ隊(duì)列機(jī)制保障消息的可靠傳輸。無需人工的干擾,在一個“云節(jié)點(diǎn)”出現(xiàn)問題之后,所有監(jiān)測任務(wù)由其他“云節(jié)點(diǎn)”共同完成,并且根據(jù)每個云節(jié)點(diǎn)的壓力分配數(shù)量不同的監(jiān)控任務(wù)。

      作為國家信創(chuàng)國產(chǎn)化替代和工業(yè)物聯(lián)網(wǎng)雙重戰(zhàn)略下的標(biāo)桿企業(yè),美信科技還擁有代表國內(nèi)最先進(jìn)生產(chǎn)力的四大技術(shù)。

      第一、四合一超融合數(shù)據(jù)庫,完全自主開發(fā)的融合表狀、Key Value樹狀、內(nèi)存、時序四大技術(shù)的數(shù)據(jù)庫;

      第二、領(lǐng)先的云、邊、端技術(shù)架構(gòu),支持跨區(qū)域、跨網(wǎng)絡(luò)、跨安全域的復(fù)雜場景數(shù)據(jù)采集;

      第三、低代碼協(xié)議和設(shè)備自適應(yīng)引擎,快速適配各種IT和OT設(shè)備,徹底解放研發(fā)工程師,適配效率比傳統(tǒng)技術(shù)快10倍;

      第四、IT、動環(huán)、智能物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)一體化數(shù)據(jù)采集和監(jiān)控,助力客戶低成本實(shí)現(xiàn)工業(yè)4.0的IT和OT的融合目標(biāo)。

      近年來,隨著信息安全的威脅事件不斷發(fā)生,信創(chuàng)國產(chǎn)化產(chǎn)業(yè)發(fā)展浪潮達(dá)到一個新的高峰,“高安全性”“自主可控”成為了發(fā)展的重要基石和保障。

      2020年尾聲,黑客利用 SolarWinds 的 Orion 網(wǎng)絡(luò)管理平臺,成功入侵了美國財(cái)政部、國土安全部在內(nèi)的多家美國聯(lián)邦政府機(jī)構(gòu)網(wǎng)站,敲響人們對于IT監(jiān)控系統(tǒng)安全性的警鐘,美信科技順勢而為,以“全國產(chǎn)”“高安全性”“自主可控”的產(chǎn)品擁抱信創(chuàng)。

      2021年尾聲,在”阿帕奇”的沖擊下,美信科技安然無恙,并為保障客戶的基礎(chǔ)設(shè)施穩(wěn)定和數(shù)據(jù)安全隱私保駕護(hù)航。

      預(yù)見2022,面對更加不確定的未來,但卻面臨著確定的安全威脅。美信科技將在頻發(fā)的無國界網(wǎng)絡(luò)安全事件以及信創(chuàng)國產(chǎn)化浪潮的推動下嚴(yán)防安全“黑天鵝”,為客戶守好安全第一線,讓安全少走彎路,掌握安全主動權(quán)。

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    [No. X073 ]
    分享到微信

    即時

    新聞

    明火炊具市場:三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。