Log4Shell’in en kötüsü geride kalmış olabilir ve daha yapılacak çok iş olsa da, son haftalarda siperlerde çalışan güvenlik mühendislerine ve yöneticilere “Aferin” diyelim. Ancak Log4j güvenlik açığının geçen yılın sorunu olduğunu düşünüyorsanız, tekrar düşünün. 2022’de bu güvenlik açığı, izinleri tamamen düzeltmek ve tespit etmek için özen ve dikkat gerektirecektir.
Log4j, Java günlük kitaplığının yaygın kullanımına ve kimliği doğrulanmamış bir saldırganın uzaktan kod yürütme (RCE) için istismardan ne kadar kolay yararlanabileceğine odaklanıyor. Güncellenmiş yapılandırmaları uyguladık ve şimdilik Log4j açıklarından yararlanma paketini azaltmaya hazır hissediyoruz. Ancak, bu istismarın permütasyonları zaten ortaya çıkıyor ve temel altyapıya tam yükseltmeleri içeren uzun vadeli çözümler büyük olasılıkla kuruluşunuzda beklemededir.
Daha sonra ortaya çıkan yaygın güvenlik açıkları ve riskler (CVE’ler) ve birçok ekibin yapılandırma değişiklikleri yapması ve varlıkları savunmasız yazılımlar için taraması nedeniyle, Log4j’nin gerçekten arkamızda ve kontrol altında olması aylar alacaktır. Birçok kuruluş, nerede olduklarını tam olarak haritalamaya çalışırken keşif aşamasında takılıp kalıyor. sistemler Java veya Log4j kullanır veya operasyonel veya sistem sınırlamaları tam yamaları kullanıma sunma yeteneklerini kısıtladığı için düzeltmede.
İlk yapılandırma değişiklikleri yetersiz hale geldiğinden ve güvenlik açığı yer değiştirdiğinden tam bir düzeltme sürecini yürütmeye hazır olun. Aşağıdaki en iyi uygulamalar/odak noktaları, güvenlik ekibinizin ve meslektaşlarınızın hazırlanmasına yardımcı olacaktır.
Ölçekli Varlık Yönetimini Kullanma
Güvenlik ekipleri, Log4j güvenlik açığının ardından binlerce varlığa sahip tüm filoları bulmak ve önceliklendirmek için çabaladı. Toplumsal tepki, Java ve Log4j örneklerini bulmanın hızlı, ölçeklenebilir yolları içindi. Elimizde çok fazla algılama aracı var, ancak birçok güvenlik kuruluşu en temel yapı taşından yoksundu: güncel bir yazılım varlık envanteri.
Her varlığı yakalamak ve ele almak çok önemlidir. Güvenlik ekiplerinin aşağıdaki gibi sorulara gerçek zamanlı yanıtlara ihtiyacı vardır: Log4j’yi hangi Linux sunucuları çalıştırıyor? Hangi VM’ler Java kullanıyor?
Güçlü varlık yönetimi, daha hızlı yama döngüleri sağlar. Log4j’nin yeni permütasyonları ortaya çıktığında, hemen yeni yamalar gerektirirler. Daha güçlü varlık envanteri yeteneklerine sahip ekipler, Log4j’ye daha etkili bir şekilde yanıt verdi. Savunmasız Java örneklerini daha hızlı tespit edebildiler ve yama uygulamasının operasyonel etkisini izleyebildiler.
En İyi Savunma: Daha Hızlı Yama Çevrimleri
Yamaları yüklemek, ortaya çıkan tehditleri ele almanın en iyi yoludur, ancak tehdit aktörleri hızla yeni CVE’leri saldırı paketlerine dahil eder. En son sürüme yükseltmek, bu saldırıları azaltmanın ve sistemlerinizi korumanın en güvenilir yoludur. Manuel yapılandırma değişikliklerine güvenmek, Log4j gibi güvenlik açıkları geliştikçe zaman içinde sisteminizde boşluklara yol açar. Yalnızca doğru/yanlış bayrağını değiştirmek yetersizdir.
Yapılandırmanızı Kontrol Edin
Varlık yönetimi uygulamalarını güçlendirmek için yapılandırma kontrolleri uygulayın. Yeni CVE’ler göründüğünde, varlıklar için daha fazla güncelleme ve yapılandırma değişikliği gerekir. Yeni CVE’leri ortaya çıktıkça Log4j’den takip edebildiğinizden emin olun. Bu güvenlik açığı yönetim planı, ekibinizin gelecekteki tehditler için hangi kanalları izleyeceği ile başlar. Yüksek öncelikli tehditlere kaynak sağlamak için güvenilir bir sürece ihtiyacınız var. Tartışmaya veya Twitter’a güvenmeyin; proaktif bir süreç oluşturmak.
Eski Sistemlerin Adreslenmesi
Kuruluşunuz, Java’nın güncellenmiş sürümleriyle iyi çalışmayan eski bir yazılım kullanıyorsa, harekete geçme zamanı. Liderliğinizi (ve satıcılarınızı) güçlü yazılım varlık envanterine ve yinelenen yama döngülerine doğru itin. Yama uygulanmamış eski yazılımlar da dahil olmak üzere teknik borçların ele alınması, artan izleme ve telafi edici kontrollerle birlikte gereksiz miktarda kaynak ve bant genişliği tüketir. Güvenlik topluluğu, Log4j’nin ardından daha güçlü bir sese sahiptir ve eski sistemlere yükseltmeleri planlamanın zamanı gelmiştir.
İntranet ve Hava Boşluklu Sistemleri Gözden Geçirmeyin
Hava boşluklu ve dahili cihazlar genellikle güvenli kabul edilir çünkü saldırganlar sisteme ulaşamazsa, onu kullanamayacaklarını varsayıyoruz. Log4j, bu varsayıma dayanmak için çok tehlikelidir, çünkü kimliği doğrulanmamış istekler – diğer uygulamalardan geçseler bile – yine de RCE’ye yol açabilir. İnternete açık varlıklar gibi hava boşluklu ve intranet varlıklarını ele alın; tam yükseltmeleri planlayın ve zaman içindeki yapılandırmalarını izleyin.
Güvenli Otomatik Ölçeklendirme ve Dağıtımlar
Bulut ortamınızda otomatik devreye alma veya otomatik ölçeklendirme çözümü kullanılarak çalıştırılabilecek varlıkları belirleyin. Bu yapılandırmaların güvenli olduğundan ve gelecekteki dağıtımların Java’nın eski sürümlerine veya Log4j kitaplığına bağlı olmadığından emin olun. Bu güvenli yapılandırmaların gelecekteki yapılara dahil edilmesini sağlamak için geliştirici ekiplerinizle birlikte çalışın.
Kuruluşları korumaya yönelik toplu çaba, birden çok ekibe ve satıcı kontrollerine dayanır. Tüm çalışma arkadaşlarımızın Log4j’nin en kötüsünü arkamızda tutacak araçlara sahip olduğundan emin olalım. Bu yol haritasını uygulamak veya bu yıl ortaya çıkan güvenlik tehditleriyle mücadele etmekle ilgili sorularınız varsa, satıcılarınızla iletişime geçin.