Teknoloji medyası bunu bildirmeye başladığında “internet yanıyor,“Biliyorsunuz elinizde önemli bir durum var. Zamanla, Log4Shell olarak da bilinen Log4j güvenlik açığının şiddeti, kapsamı ve etkisi sadece arttı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı acil eylem öneriyor, olduğu gibi İngiliz meslektaşı, ve modern teknolojinin ev isimleri, yılların en önemli sıfır gün tehditlerinden birine karşı hemen – ve ciddi şekilde – savunmasız olduklarını bildiğimiz isimler arasında.
Aşağı akışta, milyonlarca cihaz ve ağ kritik risk altında ve saldırganlar, düzeltmeler yayınlanır yayınlanmaz bu günlüğe kaydetme güvenlik açığından yararlanmak için yeni şaşırtma taktikleri geliştiriyor. Başka bir deyişle, bu kötü. Gerçekten kötü.
ICYMI: Aralık’ta. 9, güvenlik araştırmacıları için bir kavram kanıtı istismar kodu yayınladı CVE-2021-44228, önemli sayıda İnternet uygulamasında, özellikle de her yerde bulunan kurumsal sistemlerde kullanılan, yaygın olarak kullanılan bir Java günlüğü kitaplığı olan Log4j’deki bir uzaktan kod yürütme güvenlik açığı.
Hemen ardından, her kuruluş, modern işletmeyi ve bağlantıyı yönlendiren çok çeşitli araç ve hizmetlerdeki istismarı hızla belirlemeye ve azaltmaya çalışıyor. Bu durum, yaygın olarak benimsenen günlük kaydı yazılımının böylesine temel bir bölümündeki, bu güvenlik açığının ne kadar geniş bir alanda saklandığını kavramayı neredeyse imkansız hale getiren bir zayıflıktan yararlanır.
Bu arada, güvenlik araştırması ve tehdit istihbarat ekipleri, işletmelerin risklerini değerlendirmelerine yardımcı olmak için bilgi, yamalar, kaynaklar ve kılavuzlar yayınlamak için çılgınca. Aynı zamanda, o zamandan beri, kripto madencilerinden Truva atı arka kapılarına kadar çeşitli kötü amaçlı yazılımları dağıtmak için halka açık sistemlere karşı Log4Shell’den yararlanan çok sayıda kampanya ortaya çıktı. Hızla uyum sağlayan hain tehdit aktörlerine karşı bu krize henüz birkaç gün kaldı.
Geçmiş İstismarlardan Öğreniyor ve Bir Sonrakine Hazırlanıyor muyuz?
WannaCry ve SolarWinds gibi geçmiş saldırıların artçı sarsıntıları ile adlarının sonsuza kadar siber güvenlik yanlış gitti, bir dahaki sefere bu tür bir kargaşayı önlemek için neler yapılabileceğine dair konuşmalar var. Pek çok kuruluş bu tür eylemlere yeterince hazırlıklı değil ve teknoloji yığınlarında ne olduğu konusunda karanlıkta kaldı. Etkilenen sistemlere yamalar uygulamak genellikle tehdit azaltmanın yoludur, ancak BT ekipleri başlangıçta ağlarında neler olduğuna dair tam bir görüşe sahip değilse, hızlı ve kararlı bir şekilde harekete geçmek neredeyse imkansızdır.
Bu büyüklükte ve hızda bir saldırı, aynı zamanda, genellikle BT operasyonları ve güvenlik ekipleri arasındaki çatlaklardan geçebilen varlık envanteri ve yönetiminin kritik öneminin altını çiziyor. Log4j güvenlik açığının hemen ardından, her yerdeki CISO’lar ekiplerine “Bizim riskimiz nedir?” diye soruyordu. Güvenlik ekiplerinin doğru bir cihaz ve yazılım kataloğu yoksa, soruyu tam olarak yanıtlamak imkansızdır. Bu zor ve güvenlik operasyonları çerçevesinin sıklıkla unutulan bir unsuru olsa da, gelişen ve ciddi Log4j durumu, yamaları gitmeleri gereken her yerde ve hızlı bir şekilde uygulamak için eksiksiz bir görüşe sahip olmanın önemini göstermektedir.
Bir diğer önemli zorluk, küçük ve orta ölçekli işletmeler ile kaynakları kısıtlı BT ve güvenlik ekipleri üzerindeki damlama etkisidir. Büyük teknoloji oyuncuları, haklı olarak, bu güvenlik açığı üzerinde ilk harekete geçenler oldular – geniş araç ve hizmet ağlarındaki güncellemeleri belirlemek ve kademelendirmek için uzman, araştırmacı ve geliştirici filolarını görevlendirdiler. Ama ortalama küçük–Birkaç sorumluluktan daha fazlasına sahip kurumsal BT lideri, gerekli yama sayısıyla çarpılan yama araçları hacmine ayak uydurmak için mücadele edecektir.
İşte küçük kirli sır: Log4j’de ortalık yatıştığında, birçok BT ekibi hızlı bir şekilde uzun diğer görev listesine geri dönecek ve daha iyi varlık ve uygulama yönetimi için heyecan verici olmayan temel ihtiyacı bir kez daha bir kenara atacak. . Bu mevcut döngüde bir saldırıdan kaçınırlarsa her şeyi başarılı sayacaklar, ancak bir dahaki sefere daha iyi hazırlanmak için köşeyi dönünce mücadele edecekler. Çok sayıda araç, uyarı ve yamanın altında ezilmeye devam edecekler ve tetikte kalmak ve korunmak için gereken zaman ve kaynaklarda geride kalacaklar. Bu, defalarca gördüğümüz bir kısır döngü ama böyle olmak zorunda değil. Daha fazlasını talep edebiliriz ve etmeliyiz.
Ne yapılabilir?
İşte daha iyi bir yaklaşım: Hangi üçüncü taraf teknoloji satıcılarının sistemlerinize dokunduğunu kesin olarak değerlendirmek ve kataloglamak için bu fırsatı kullanın. Hileli teknolojiyi tanımlayın ve ortadan kaldırın ve satıcıları sizi korumak için kendilerini korumaktan sorumlu tutun. Sonuç olarak, daha az güvenilir satıcıya sahip olmak, merkezi olarak yönetilmeyen çok sayıda ve belirsiz araç ve hizmetlerden daha iyidir.
Bu durumu, kimin proaktif olarak iletişim kurduğunu ve kimin daha az açık sözlü olduğunu değerlendirmek için bir fırsat olarak görün. Teknoloji sağlayıcılar güncellemeler ve içgörüler sunuyor mu? Kendi (ve sizin) güvenlik duruşunuza güveniyorlar mı? Deneyimler ve doğrulama artık ileriye dönük güveni güçlendiriyor.
Ve son olarak, iyi bir olay müdahale planı ve oyun kitabı – dış ortaklarla nasıl etkileşim kurulacağını da dahil olmak üzere – yalnızca zaman ve kullanımla güçlendirilir. Neyin iyi çalıştığını ve neyin iyileştirilmesi gerektiğini erken ve sıklıkla belgeleyin. Ve mesajın tüm organizasyon tarafından anlaşıldığından emin olun.
Daha İyisini İste
Siber güvenlik, dünyayı birbirine bağlayan geniş bir yazılım üreticisi ve hizmet sağlayıcı ağı arasında dikkat, iletişim ve güven gerektiren bir takım sporudur. Ancak oyunun oynanış biçiminde çok fazla gürültüye, çok fazla kafa karışıklığına, çok fazla araca ve işi yapmak için yeterli kaynağa neden olmayan temel kusurlar da var.
Log4j, çözülmesi yıllar alacak kademeli bir etkiye sahip böylesine küçük, temel bir kod parçasında büyük bir güvenlik açığı ortaya çıkardı. Bu, sömürüldüğünde teknolojinin ne kadar kırılgan olabileceğinin bir başka ayık hatırlatıcısı. Ancak kuruluşlar ve BT liderleri, alanımızı uzun süredir rahatsız eden sorunları ele almak için durumdan yararlanırsa, bu durumu nihayet kendimizi ve siber güvenliğe yaklaşımımızı geliştirmek için kullanabiliriz. Tehdit aktörlerine karşı avantajı yeniden kazanabilir ve sonunda çok haksız bir mücadelede döngüyü kırabiliriz.