黑帽大会：Log4j 调查确认网络安全审查委员会价值

文章重点

• Cyber Safety Review Board（CSRB）最初对 Log4j 漏洞的调查证明了其存在的价值。
• 该委员会会继续发展其职能，但尚未计划对 SolarWinds 事件展开调查。
• 目前，CSRB 正在建立永久性工作团队并改善其工作流程。
• 对于开放源码的维护，Silvers 强调企业应该投入更多资源。

美国国土安全部战略、政策与计划副部长 Rob Silvers 同时也是 Cyber Safety Review Board的主席，他在拉斯维加斯举行的黑帽网络安全会议上表示，委员会对 Log4j漏洞的初步调查“证明了这一工作的概念”，并承诺未来几个月将采取更多行动。不过，他并没有具体回应有关是否计划调查 SolarWinds 课题的问题。

Silvers 提到，自上个月发布 Log4j 报告以来，CSRB正在利用“休赛期”来建立永久的工作团队和基础设施，并在初步调查中吸取教训，以进一步完善其工作流程。

调查工作的一部分将包括在 Log4j 公布后继续推动执行的一些想法，例如在 GitHub上创建，以列举所有包含易受攻击代码的已知产品。

在接下来的几个月中，Silvers 表示，这次初步调查和报告的成功使政府及行业专家在近期的重大安全漏洞问题上得以团结起来。

“我会告诉你：我相信第一次的调查证明了这一概念，”Silvers 说，并强调这一点是完全正确的，并将作为网络安全生态系统的一个持久机构。

会议结束后，Silvers 向记者透露，该机构已经在一些建议上进行后续工作，如指导国土安全部允许其 IT人员在工作时间内维护开放源码项目，并与学术机构合作，使网络安全成为其计算机科学学位课程中的更重要一部分。

“使用大量开放源码的公司和大型政府客户需要回馈，应投入资源来帮助维护开放源码的安全……” Silvers 补充道。

Silvers 告诉 SC Media，目前没有新调查的消息，但他们会“很快回到工作中。”他还强调，委员会致力于未来报告的公开版本。

“我们致力于这一点。这需要透明，对社区有益，”他表示。

Log4j 证明审查委员会的理念，但 SolarWinds 呢？

尽管如此，Silvers 在会上被多次询问有关对 SolarWinds 课题的调查计划。SolarWinds漏洞是在去年的白宫行政命令中明确提到的，并被列为审查委员会的首要任务。

“我们与白宫共同认为，当我们在二月启动时，成立委员会的最佳用途是对 Log4j 进行审查。”Silvers 对 SC Media 提到，指出 Log4j
取向的原因。

CSRB 发布的针对 Log4j 的报告将其描述为“一种流行的漏洞”，并指出“将会在系统中存在多年”。但报告也提到，尽管该漏洞的严重性，Log4j的利用率普遍低于许多专家的预测。

反观 SolarWinds 课题的影响更加明确。根据《华尔街日报》的报导，俄罗斯黑客入侵了至少九个联邦机构（包括国土安全部），以及约 100个实体及私营公司，包括诺基亚、思科、英特尔、VMWare 和 Belkin International 等