Securitate — January 25, 2022 at 2:47 pm

Lecții din criza Log4j

by

A fost un cadou de Crăciun nedorit împărtășit lumii întregi pe 9 decembrie 2021. Log4Shell a zguduit industria când ne-am dat seama cât de periculoase și de amploare ar putea fi efectele sale. Lupta nebună de a găsi și remedia defectul a lăsat multe organizații să se întrebe de ce nu au fost mai bine pregătite în primul rând și ce trebuie să facă în continuare.

NS-Product2Unii încă se scarpină în cap, determinând FTC să emită cuvinte de avertizare cu privire la remedierea acestui defect periculos. Cu un motiv întemeiat – vulnerabilitatea Log4Shell rămâne o țintă principală pentru băieții răi. Fără un patch, mii de organizații care se bazează pe biblioteca Log4j afectată, sunt încă expuse unui risc sever de atac.

Din fericire, putem învăța multe din undele de șoc Log4Shell pe care le simțim. Chief Product Officer al Invicti, Sonali Shah, s-a întâlnit recent cu fondatorul NOC și CleanBrowsing Tony Perez pentru a analiza și a înțelege mai bine cum putem rămâne cu toții agili în răspunsul la incident.

Log4Shell ar putea fi cea mai gravă vulnerabilitate pe care am văzut-o vreodată. Afectează Apache Log4j, o bibliotecă populară de jurnalizare Java și este incredibil de ușor de exploatat. Dacă atacatorul este capabil să escaladeze situația, îi oferă fereastra pentru a prelua controlul deplin de la distanță, de unde pot fura date, pot sări de la server la server și chiar să instaleze ransomware.

Există o mare posibilitate ca actorii răi să evite detectarea, rămânând înăuntru, ascunși și așteptând momentul potrivit pentru a lovi, așa cum am văzut cu SolarWinds. Combinați această amenințare persistentă cu cât de răspândită este biblioteca și cât de integrală poate fi ea pentru atât de multe aplicații, și avem o problemă.

Log4Shell este un exemplu de ce este atât de important să abordezi peisajul tău amenințări. După cum a subliniat Sonali, atenuarea devine o problemă atunci când organizațiile nu sunt conștiente de ceea ce se află în inventarul lor de active sau nici măcar nu au un inventar pentru început. Identificarea aplicațiilor și componentelor externe, apoi definirea inventarului de active, vă va oferi o imagine completă a posibilelor amenințări.

După ce știți despre incident, un pas important este să vă scanați mediul și să identificați sfera totală a problemei. Apoi, lucrați înapoi utilizând elementele critice ale AppSec, cum ar fi răspunsul la incident, prioritizarea, cadrele, politicile și programele de guvernare.

Ca și în cazul Log4Shell, Tony a remarcat că incidentele majore de securitate tind să aibă loc în preajma sărbătorilor sau în miezul nopții, când este cel mai puțin convenabil, ortografiind frustrarea pentru toată lumea, de la clienți până la echipa juridică. În cele din urmă, cheia succesului este să ai răbdare în mijlocul haosului, trecând prin aceste procese fără emoție și foarte pragmatic, cu o abordare pas cu pas, care lasă puțin loc pentru panică.

Integrarea oamenilor, proceselor și tehnologiei

Răspunsul eficient la incident se referă la a avea oamenii potriviți care acoperă procesele potrivite, cu tehnologia potrivită la îndemână. Sonali a remarcat că, în cazul Log4Shell, clienții Invicti cu aceste trei casete bifate tind să aibă răspunsuri mai rapide și mai eficiente la noile incidente. Totuși, este adesea o chestiune de schimbare a culturii companiei, cu direcția de sus în jos în jurul securității venind de la consiliu, echipele de management și conducerea executivă.

Dar este, de asemenea, important să dedici o parte din programul tău pentru a te asigura că ai apărare în profunzime. Atât apărarea în profunzime, cât și controalele defensive sunt importante, deoarece peisajul continuă să evolueze într-un ritm atât de rapid, cu noi amenințări care apar zilnic. Organizațiile trebuie să analizeze ce controale defensive au în vigoare dacă doresc să-și îmbunătățească jocul de securitate și să fie pregătite pentru următoarea vulnerabilitate globală.

Principala concluzie conform Sonali și Tony? Reveniți la elementele de bază. Aceasta include apărarea în profunzime, precum și asigurarea persoanelor și procedurilor potrivite, cu o tehnologie care este scalabilă și automatizată pentru a accelera procesele obositoare. Dar, cel mai important, include cunoașterea suprafeței dvs. de atac și asigurarea faptului că securitatea este întotdeauna în primul rând pentru întreaga organizație.

Obțineți toate detaliile despre lecțiile învățate de la Log4Shell urmărind înregistrarea completă a webinarului aici.

Mai multe detalii găsiți pe website-ul Romsym Data.