Last updated at Wed, 27 Dec 2023 17:51:32 GMT
到目前为止,我们相信你对所有的东西都很熟悉 Log4Shell -但我们想确保我们分享如何保护您的应用程序. 应用程序是任何组织攻击面的关键部分, 我们每小时都会在客户的环境中看到数千次Log4Shell攻击尝试. 让我们介绍一下tCell可以帮助客户抵御Log4Shell攻击的各种方法.
1. Monitor for any Log4Shell attack attempts
tCell是一个web应用程序和API保护解决方案,具有传统的web应用程序防火墙监控功能,如监控攻击. 上周末,我们为所有tCell客户推出了新的应用防火墙检测. 这意味着tCell客户可以利用我们的应用程序防火墙功能来确定是否发生了任何Log4Shell攻击尝试. 从那里,客户还可以深入了解发生的事件的更多信息. 我们创建了一个视频来指导您如何使用tCell中的应用程序防火墙功能检测Log4Shell攻击尝试.
As a reminder, 客户需要确保他们已经在应用程序上部署了JVM代理,以便开始监控应用程序的活动. 如果您需要帮助设置tCell,请务必查看我们的快速入门指南.
2. Block against Log4Shell attacks
Monitoring is great, 但您可能需要的是通过阻止Log4Shell攻击尝试来保护您的应用程序的东西. 为了做到这一点,我们添加了一个默认模式(tc-cmdi-4) for customers to block against. 下面是一个关于如何设置自定义块规则的视频, 如果您需要任何帮助,请联系tCell团队.
随着研究的继续和新模式的确定,我们将提供最新的 tc-cdmi-4 to improve coverage. 客户已经注意到,新的默认模式提供了比昨天更多的保护范围.
3. Identify vulnerable packages (such as CVE 2021-44228)
我们从客户那里听说,他们不确定他们的应用程序是否利用了易受攻击的软件包. 使用tCell,如果有任何易受攻击的软件包(例如 CVE 2021-44228 and CVE 2021-45046) are loaded by the application at runtime. 消除Log4Shell风险的最佳方法是将所有易受攻击的包升级到2.17. 查看下面的视频了解更多信息.
如果您希望在易受攻击的包之外提供额外的检查,请在运行时进行检查, please refer to our blog on how InsightVM can help you do this.
4. Enable OS commands
使用tCell的应用服务器代理的好处之一是,您可以启用阻塞操作系统命令. 这将防止大量利用curl、wget等漏洞的行为. 下面是如何启用操作系统命令的图片(仅报告或阻止并报告).
5. Detect and block suspicious actors
App Firewall在tCell中检测到的所有事件都被馈送到分析引擎中以确定可疑行为者. 可疑参与者特性接受多个输入(例如失败的登录), injections, unusual inputs, etc.) and correlates these to an IP address.
您不仅可以用tCell监视可疑的参与者, 但您也可以配置tCell来阻止所有活动或仅阻止来自恶意行为者IP的可疑活动.
所有这些因素结合在一起,奇迹就会发生
tCell的强大之处不在于一两个特性, but rather its robust capability set, 我们认为这是确保纵深防御的必要条件. 我们不仅将帮助客户识别正在使用的易受攻击的Log4j包, 但也有助于监控可疑活动和阻止攻击. 最好的安全性是当您拥有多种可用的防御类型来防止不良行为者时, 这就是为什么使用这里提到的功能将被证明在防止Log4Shell和未来威胁方面是有价值的.
