近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位。由于阿里云发现阿帕奇严重安全漏洞隐患后报告不及时,给国家安全造成威胁。
由于Apache Log4j未取得用户身份认证,就可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器。也就是说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。
众所周知,Apache Log4j是被全球广泛应用的组件,影响的行业有,IT通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业。
有关报道显示,黑客在72小时内可利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利,如窃取敏感信息、中断设备服务、删除数据、安装勒索软件、或进一步散播到其它服务器,造成更大规模的攻击事件。
任何系统程序的缺陷只有被发现才称之“漏洞”,未被发现以前其实漏洞本身就是存在的。《2021年中国软件供应链安全综合分析报告》,对2557个国内企业软件源代码进行分析发现:近九成存在漏洞,平均每千行代码中有10个缺陷,而高危缺陷密度为1.08个/千行。
使用互联网本身就是在不断的进行数据交互的过程,而无处不在的漏洞又是不可避免的。所以,处于互联网中的数据其安全性是不可控的。
商务密邮建议:
政企机构尽可能使用国内安全机构全知识产权,自主研发的软件系统。重点管控开源软件的使用,持续监测和降低开源软件的安全风险。
自行开发软件系统或委托第三方定制开发软件系统时,应遵循软件安全开发生命周期管理流程,定期对软件源代码进行安全缺陷检测和修复,建立完善的产品维护机制,及时发现和修补漏洞。
商务密邮作为国内数据安全的保卫者,时刻关注全球安全态势,不断加固产品安全性,为政企机构提供更加安全的邮件产品。商务密邮全系产品均采用自主研发,为用户提供从邮件建立到邮件收发、邮件存储、邮件管控全周期的邮件安全防护方案,可帮助政企机构建立高效、安全、稳定、合规的邮件安全体系。
商务密邮还针对内部邮箱进行管控,有效降低内部邮件外泄风险,如邮件加密、邮件防泄漏、邮件溯源跟踪、邮件审计归档等管理策略,全面保障政企通信安全。
