负责调查全球计算机网络安全事件的独立机构周四表示,去年年底被广泛利用的Apache Log4j Java库中发现的漏洞在未来许多年里仍将是一个威胁。美国国土安全部网络安全审查委员会的首份报告发现,尽管联邦和私营部门的组织努力保护他们的网络,但Log4j已经成为一个"区域性漏洞"--这意味着这个无处不在的软件库的未打补丁版本将在未来十年,甚至更长时间内留在系统中。
"这个事件还没有结束。风险仍然存在。网络防御者必须保持警惕,"美国国土安全部负责政策的副部长兼小组主席Rob Silvers在周三的电话会议上告诉记者。
该报告是该委员会大约五个月的工作成果,该委员会是去年作为乔拜登总统的全面行政命令的一部分而成立的,旨在改革联邦政府的网络安全应对方法。
这个由15人组成的小组--松散地仿照国家运输安全委员会(NTSB),由来自公共和私营部门的官员组成--在2月份受命调查Log4j的弱点是如何发生的,并提出数字安全界可以从全球反应中吸取的教训。
西尔弗斯说,董事会成员对大约80个组织进行了访谈,并与行业、外国政府和安全专家接触,以获取信息。
总的来说,委员会提出了19项建议,供各实体在对Log4j保持警惕时采纳。Google安全工程副总裁、小组副主席希瑟-阿德金斯(Heather Adkins)告诉记者,委员会的结论还鼓励提高网络社区的安全标准,特别是软件开发人员"资源稀缺"和基于志愿者的开源部门。她说:"我们希望我们的发现对社区来说既是鼓舞人心的,但也不是令人惊讶或无法实现的。"
国土安全部部长亚历杭德罗-马约尔卡斯在一份声明中说,审查为政府和行业提供了"明确的、可操作的建议,国土安全部将帮助实施这些建议,以加强我们的网络复原力,推进对我们的集体安全至关重要的公私伙伴关系"。
