此前，在Log4j Java 日志記錄包中發現的漏洞已經讓全世界的安全專業人員感到頭疼，在 2022年1月進行的最新Neustar國際安全委員會 (NISC) 調查中，多達75%的報告受到 Log4j 的影響，21%的則表示影響很大。

Log4j 漏洞降低了安全專業人員對開源工具的信任

調查顯示：Log4j 最常見的影響是IT 和安全團隊需要在假期工作以評估風險并進行關鍵更改以保護基礎設施和數據 (52%)，然后重新評估軟件供應鏈安全實踐 (45% ) 和軟件購買決策 (44%)。很大一部分受訪者也開始重新評估現有的供應商關系 (35%)，或者表示該漏洞降低了他們對開源工具的信任 (34%)。

87% 的受訪者表示，鑒于 Log4j 帶來的網絡風險水平，政府監管機構(如美國聯邦貿易委員會)應對未能修補漏洞的組織采取法律行動。用一位安全專家的話說“這些組織可能無法保護或保護重要的客戶數據，這讓每個人都處于危險之中。我們應該控制客戶數據的最終位置。聯邦政府應該執行這種緩解措施，因為如果他們不這樣做，誰會這樣做?”

“Log4j 威脅的消息使全球的安全和應用程序團隊陷入了瘋狂的活動——清點他們面向互聯網的系統，檢查 Log4j，檢查修訂級別，并實施緊急修補——而許多組織采取了Neustar Security Services解決方案”高級副總裁Carlos Morales說。

用于處理零日威脅的虛擬補丁

對于已經部署了Web 應用防火墻(WAF) 技術或從其云安全提供商處簽約 WAF 功能的公司，可能有一個簡單的解決方案來處理像 Log4j 這樣的零日威脅：虛擬補丁。

“虛擬補丁可以誘使任何潛在的攻擊者認為你的應用程序不容易受到威脅。”莫拉萊斯補充道。“WAF 解決方案與 Web 應用程序流量同步部署，并充當應用程序客戶端和源服務器之間的反向代理。WAF 終止與客戶端的連接，確保客戶端沒有執行任何惡意操作，然后創建與服務器的單獨連接，在兩者之間橋接數據。由于它正在終止客戶端流量，因此 WAF可以代表源服務器并掩蓋服務器上存在的任何漏洞。虛擬修補是完成此操作的方法之一。”

除了 Log4j，在2021年11月和2021年12月的報告期內，被調查的安全專業人員還被問及他們最關心的其他問題。21% 的受訪者將分布式拒絕服務(DDoS) 列為最關心的問題，其次是勒索軟件和系統妥協均為 18%。

勒索軟件、DDoS 攻擊和有針對性的黑客攻擊是報告期內最有可能被視為增加的威脅。在此期間，組織主要應對威脅的能力是供應商或客戶冒充、有針對性的黑客攻擊和勒索軟件。

深入研究調查參與者最關心的問題——DDoS 攻擊——的更多細節顯示，84% 的企業曾在某個時候受到 DDoS 攻擊。57% 的響應組織表示將其 DDoS 緩解措施外包，60% 的組織表示啟動緩解措施通常需要 60 秒到 5 分鐘。