負責調查全球計算機網絡安全事件的獨立機構周四表示,去年年底被廣泛利用的Apache Log4j
Java庫中發現的漏洞在未來許多年裡仍將是一個威脅。美國國土安全部網絡安全審查委員會的首份報告發現,儘管聯邦和私營部門的組織努力保護他們的網絡,但Log4j已經成為一個”區域性漏洞”–這意味着這個無處不在的軟件庫的未打補丁版本將在未來十年,甚至更長時間內留在系統中。
“這個事件還沒有結束。風險仍然存在。網絡防禦者必須保持警惕,”美國國土安全部負責政策的副部長兼小組主席Rob Silvers在周三的電話會議上告訴記者。
該報告是該委員會大約五個月的工作成果,該委員會是去年作為喬·拜登總統的全面行政命令的一部分而成立的,旨在改革聯邦政府的網絡安全應對方法。
這個由15人組成的小組–鬆散地仿照國家運輸安全委員會(NTSB),由來自公共和私營部門的官員組成–在2月份受命調查Log4j的弱點是如何發生的,並提出數字安全界可以從全球反應中吸取的教訓。
西爾弗斯說,董事會成員對大約80個組織進行了訪談,並與行業、外國政府和安全專家接觸,以獲取信息。
總的來說,委員會提出了19項建議,供各實體在對Log4j保持警惕時採納。Google安全工程副總裁、小組副主席希瑟-阿德金斯(Heather Adkins)告訴記者,委員會的結論還鼓勵提高網絡社區的安全標準,特別是軟件開發人員”資源稀缺”和基於志願者的開源部門。她說:”我們希望我們的發現對社區來說既是鼓舞人心的,但也不是令人驚訝或無法實現的。”
國土安全部部長亞歷杭德羅-馬約爾卡斯在一份聲明中說,審查為政府和行業提供了”明確的、可操作的建議,國土安全部將幫助實施這些建議,以加強我們的網絡復原力,推進對我們的集體安全至關重要的公私夥伴關係”。