你可能听说过log4j网络安全漏洞。然而,您主要听到这主要影响到目前为止的互联网系统。这种漏洞的一些更高的型材漏洞包括比利时的国防部,几个赎金软件黑客的渗透,并控制电脑到挖掘加密货币,据《华盛顿邮报》报道。
虽然还没有通过log4j漏洞入侵工业控制系统的报告,但我们知道这种可能性是存在的。根据Adolus技术,供应链网络安全提供商,数百万操作技术(OT)软件包使用log4j。大多数OT软件供应商使用LOG4J,因为它是OpenSource软件,有效地处理所需的日志记录任务。adolus解释说,log4j漏洞(称为log4shell)是“由...启用的过度配置的功能的结果......不安全的默认配置和隐式信任。”
这国家标准研究所国家漏洞数据库报告Log4Shell已经从log4j 2.15.0被禁用,并且从2.16.0版本中被完全删除。
如果您不知道使用的软件包含log4j,则不知道您是否应该修补或阻止某些流量,或者也许什么都不做。
与大多数网络安全纠正措施一样,保护您的操作需要识别系统中的漏洞。毕竟,正如aDolus指出的,如果您不知道您使用的软件包含log4j,您将不知道是否应该修补或阻塞某些通信,或者可能什么都不做。
aDolus认为,软件材料清单(soms)是“发现Log4Shell等隐藏漏洞的最佳工具”。这事实的平台据报道,从aDolus提供了“富集的SBOM这将报告软件包的所有子组件“,可以是网络安全评估的有价值的工具。根据Adolus的说法,如果您可以访问源代码,则源代码分析是另一个选项
有关减少Log4Shell和其他与log4j相关的漏洞的详细信息可以在以下网站找到https://www.cisa.gov/uscert/ncas/alerts/aa21-356a.。
ISA99更新
由于2022年开始,ISA99工业自动化控制系统(IACS)网络安全委员会对利益攸关方发出了关于其重点的更新,以期致考虑持续不断发展的网络安全面临的行业威胁。
本委员会本通知的关键方面包括:
- 62443-1-1(术语、概念和模型)-本文件的第一版于2007年由ISA出版,之后由IEC作为技术规范分发。从那时起,委员会对这一主题的理解有了很大的发展,这反映在系列丛书中比较详细的标准中。这些改动已被纳入62443-1-1的第二版,目前正在ISA99和IEC TC 65 WG 10中进行审查和评论。
- 62443-1-3 (IACS安全性的性能指标)本技术报告定义了从ISA/IEC 62443系列定义的过程和技术要求中获得的定量指标的开发方法。该文件已分发供审查和评论,目前正在进行进一步修订。
- 62443-1-6(ISA / IEC 62443标准的应用于工业互联网)-本技术报告描述了资产所有者在决定实施工业物联网(IIoT)技术时需要考虑的事项,并就ISA/IEC 62443系列的要求提供指导,以澄清和减轻任何网络安全问题。该报告将在2022年初进行审查和评论。
- 62443-2-3(安全更新[修补程序]管理)-这份技术报告由ISA于2015年发布,旨在解决有效的自动化系统补丁管理程序的需求。第二版已经完成,不久将分发给第二轮审查和评论。
- 62443-2-2(IACS安全保护)—本文档规定了在自动化系统运行过程中执行保护等级评定的要求。该报告最近分发以供审查和评论。
- 62443-3-3(系统安全要求和安全级别)-本文件于2013年首次发布,规定了相关控制系统的安全要求,并为考虑中的系统分配系统安全级别。委员会目前正在编写第二版。
