我们或许不得不接受一个现实 ， 就是软件中必然会存在各种各样的漏洞 ， 可能是无意的疏忽 ， 也可能是恶意的攻击 。 这样的漏洞无法绝对根除 ， 因为所有的软件都是开发人员对现实世界进行逻辑抽象而后利用编码来实现的 ， 人类对于现实世界的认识只能无限趋近完美 ， 而达不到至臻至美 。 Log4Shell也并不是一个孤立事件 ， 在此之前 ， 人们还经历了2014年的“心脏滴血”漏洞、2017年的“永恒之蓝”漏洞 ， 等等 。 以后 ， 还会有其他的漏洞被爆出 。
除了软件自身的安全漏洞 ， 软件在生产过程中还会遭到恶意篡改、植入后门和木马等 ， 例如2020年年底的SolarWinds事件 。
既然软件供应链安全已经成为未来数字世界的安全基石 ， 我们又该如何确保它的安全呢？
出现漏洞并不可怕 ， 关键是如何以最快的速度发现并修补漏洞 。 抢在攻击者之前发现并修补漏洞便是胜利 。
一是要建立起积极主动的防御体系 。 漏洞攻击是需要一个过程的 ， 攻击者首先要对目标进行侦查扫描 ， 发现存在漏洞的目标设备 ， 然后通过投递攻击载荷 ， 实现对目标的突破并最终控制目标 。 企业可以通过安全前移 ， 在企业资产暴露前沿部署防御平台 ， 通过对网络流量和用户行为的深度分析来发现漏洞攻击 。 在本次Log4Shell漏洞事件响应中 ， 尽管漏洞尚未正式公布 ， 国内外一些安全厂商均成功拦截到Log4Shell的漏洞利用攻击 。
二是提升企业资产漏洞管理能力 。 企业要对自身的资产做到心中有数 ， 并引入最新的威胁情报 ， 及时发现安全漏洞 ， 尽快完成安全漏洞的升级 ， 提升安全基线 。
三是企业组织间实现安全漏洞应急响应协同 。 面对有组织的网络攻击 ， 单个企业组织的力量总是薄弱的 ， 但在国家安全监管部门或行业安全联盟的指导下 ， 可以形成协同响应处置机制 ， 实现“漏洞信息 ， 实时共享”“一点被攻 ， 全网预警” ， 发挥“人民战争”的强大优势 ， 战胜任何“来犯之敌” 。
（作者系北京知道创宇信息技术股份有限公司技术副总裁）
来源：2022年1月26日出版的《环球》杂志 第2期
《环球》杂志授权使用 ， 其他媒体如需转载 ， 请与本刊联系
本期更多文章敬请关注《环球》杂志微博、微信客户端：“环球杂志”