傑愛得資訊 jumpAD
0800-000-964

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本

取自:iThome
您好,我們是傑愛得資訊,歡迎來到我們的媒體聯播網
企業如果想要因應Log4j漏洞的危機,首先要先清查自己到底有多少系統使用了有漏洞的Log4j版本,而根據國內一家廠商對用戶進行的調查,許多產業都無法倖免,但其中,金融業所要處理的Log4j漏洞管理作業可能最繁重,因為他們的金融業用戶中,使用有漏洞Log4j版本超過10個的公司,竟高達50%


文/李宗翰 | 2021-12-30發表

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本



關於震撼整個IT界的Log4j漏洞,在12月24日,我們根據開放原始碼軟體資安業者Sonatype的數據,指出臺灣是全球下載有漏洞Log4j版本比例最高的地區,一度高達85.06%,截至12月30日為止,臺灣仍是下載Log4j 2.15以前版本比例最高的地區,但已降為79.44%,顯示有降溫的現象。

為了從其他角度瞭解臺灣企業相關問題的嚴重性,我們洽詢另一家開放原始碼軟體資安廠商WhiteSource代理商叡揚資訊,是否有相關的情報可公開讓大家參考。而由於該公司也代理多款程式碼安全檢測軟體,本身也兼具獨立軟體開發商等多重身分,雖然無法全然代表整個臺灣軟體產業與資安產品所面臨的狀況,但他們如果已經能歸納出一些現象,也顯示相關問題已達到非常嚴重的地步,因為這只是冰山一角。
下方繼續閱讀
曝光6,789/日 成本100/月
下文請點廣告解鎖
下文請點廣告解鎖
投放Google多媒體聯播網廣告(點此)arrow_downward,包含轉換代碼安裝

※ 如果看到投資類型廣告,請再三評估風險!

繼續閱讀keyboard_double_arrow_down

這次Log4j漏洞影響的版本涵蓋1.x與2.x,2001年1月8日發布的1.0版,若追溯到最初於1999年開始發展這個專案,至今已超過20年,後續的1.2版則從2002年開始,一路發展到2012年發布的1.2.17版,而2.0版則是2014年7月釋出。

關於每個公司或單位使用這些有漏洞版本的數量,叡揚針對多個產業的用戶進行調查。整體而言,因為Java是各大企業必用的重要程式語言之一,因此,叡揚的用戶絕大部分都使用了Log4j,金融業、科技與製造業、電信業都是100%,政府機構與財團法人則是95%,而沒有使用的用戶,主要是因為他們採用的程式語言是.NET或非Java的語言。

根據他們在12月10日到17日的初步統計,使用Log4j 1.2.x 版本的用戶超過97%,這些用戶中,有超過六成是Log4j 1.x and 2.x均使用。

以金融業(包括銀行、證券、保險等)而言,有多達50%的公司使用了10個以上有漏洞版本,使用1到3個有漏洞版本為24%,使用4到6個有漏洞版本與使用7到9個有漏洞版本的比例,均為13%。

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本


而在政府與法人,以及科技與製造等產業,均有86%的公司使用1到3個有漏洞版本,而使用7到9個有漏洞版本的公司比例為14%。

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本



金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本


這樣的結果顯示,對臺灣企業而言,Log4j是很重要的軟體元件。而它之所以成為許多開發人員的最愛,不只是因為它是免費開源的套件,功能相當好用,使用方式也很便利。

但為何同一個公司會需要同時使用多個版本的Log4j?叡揚資訊資安事業處資安開發部經理李佳凌表示,這突顯了開發人員過往所留下的技術債問題並未解決,因為公司現行的系統有新舊之別,會因當時使用的軟體開發框架版本不同,而導致搭配的Log4j的版本也出現不一致的狀況。

而這類單一系統卻面臨軟體元件多個版本並存於企業內部IT的問題,有可能是因為開發人員「疊代」的問題。例如,資淺的開發人員不敢輕易刪除舊套件,以致於,這些元件就一直使用、保留至今。

另一種情況是系統經過多家委外廠商維護,而廠商因成本考量,通常不會積極處理版本更新或是框架更新問題,因為一旦進行這些工程,後續衍生的開發與測試成本也會很高,所以,許多人認為最便捷的方式是加入新版本套件,並且就「新功能使用新套件方式」的方式開發。長久下來,企業的系統就會出現多個版本的狀況。

而身為軟體資安檢測服務商,叡揚資訊在Log4j事發第一時間就發布資安通報給現有客戶,相較於2017年面臨重大的Strust 2資安漏洞危機,該公司客戶的開發單位、資安單位、主管階層,都建立了應對方式,但實際作法與這次Log4j漏洞的處理方式不同。

李佳凌說,在2017年,使用工具來進行掃描盤點的用戶屈指可數,因此,當時都使用人工盤點,採用信任制度執行,耗時耗力。而現在,許多用戶已普遍採用工具來輔助這些作業,因此,當弱點發布的第一時間,不需再重新掃描,相關人員就能收到相關的電子郵件通知,掌握受Log4j影響的系統數量。

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本



除了掌握用戶本身使用有漏洞Log4j版本的狀況,在資安新聞媒體的持續報導之下,我們也想知道臺灣企業向IT廠商尋求協助時,他們會提出哪些問題。

以叡揚資訊而言,依照是否導入相關資安工具的狀況,區分成三種類型的諮詢。以未導入者而言,他們關切的資訊在於是否有工具可盤點、緩解方式、如何升級至Log4j 2(漏洞已修補版本)。已導入這類工具者,若是為期3年以內的用戶,想知道公司現行系統使用這些高風險版本的數量、修復弱點的方式,以及弱點影響的範圍;若是導入長達3年以上,則關注修復弱點的方式、緩解的辦法,以及弱點影響的範圍。
點此投放Google多媒體聯播網廣告
※ 如果看到投資類型廣告,請再三評估風險!
post_add 資料來源:iThome

傑愛得資訊領先業界

國際認證獎項報導
我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊
─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

bookmark_star 查看資歷
傑愛得資訊 顧問諮詢報價
公司/姓名
頭銜/稱謂
e-mail
LINE id
公司資本額
大約預算
聯繫語言
網路行銷
Google Ads
最高成效廣告
智慧廣告
探索廣告
APP 宣傳廣告
交給顧問評估規畫
Yahoo Ads
交給顧問評估規畫
Microsoft Ads
關鍵字廣告(原Yahoo 關鍵字)
網路系統
雲服務專案
諮詢/備註
※本公司與全城通律法律顧問合作,以上服務皆遵守法律規範。
jumpAD 吉傳媒 PFP Next Erene Design 懿坊飾品 三分糖手作中品牌故事
🤫 悄悄說: