İlk olarak 2021’de Apache Log4j’de ortaya çıkan yaygın güvenlik açığı istismar edilmeye devam edilecek, potansiyel olarak bugüne kadar gördüğümüzden daha kötü şekillerde. Bu tehditlerin daha endişe verici yönü, gelecekte aylar veya yıllar sonra istismar edilmeye devam etme şanslarının yüksek olmasıdır.
İç Güvenlik Bakanlığı’nın Siber Güvenlik İnceleme kurulu 2021’de başladı ve 2022’de açılış güvenlik raporu (PDF). Kurul, Log4j’yi “endemik bir güvenlik açığı” olarak adlandırdı, çünkü Log4j için kapsamlı bir “müşteri listesi” yok ve bu da güvenlik açıklarına ayak uydurmayı neredeyse imkansız bir görev haline getiriyor. Bir federal Kabine departmanı, Log4j yanıtı için 33.000 saat bile harcadı.
Ve piyasadaki birçok kuruluş ve güvenlik çözümü, istismar edilebilirlik ile güvenlik açığı arasındaki farkı belirleyemez ve bu da saldırganların kötü niyetli faaliyetler gerçekleştirmesine olanak tanır.
İstismara Karşı Güvenlik Açığı
Bugün siber güvenlikle ilgili en önemli sorunlardan biri, güvenlik açıkları ile bunların ciddiyeti arasındaki farkı anlamaktır. İstismar edilebilirlik ile bir güvenlik açığının ölçülmesi söz konusu olduğunda, bir güvenlik tehdidinin işletmenizde istismar edilebilir olup olmadığı ile yalnızca “savunmasız” olup işletmeyi engelleyememesi veya kritik bir varlığa ulaşamaması arasında büyük bir fark vardır. Güvenlik ekipleri, istismar edilebilir olanlara öncelik vermek yerine, ikisi arasındaki farkı anlamamak için çok fazla zaman harcıyor ve her bir güvenlik açığını düzeltiyor.
Her şirketin, birçoğu Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) yüksek puan alan binlerce yaygın güvenlik açığı ve açık (CVE) vardır, bu nedenle hepsini düzeltmek imkansızdır. Bununla mücadele etmek için, risk tabanlı güvenlik açığı yönetimi (RBVM) araçlarının Neyin kötüye kullanılabileceğini netleştirerek önceliklendirmeyi kolaylaştırın.
Ancak, CVSS puanlarını RBVM tehdit istihbaratıyla birleştiren güvenlik önceliklendirme yaklaşımları optimum sonuçlar sağlamaz. Liste uzun ve yönetilmesi zor olduğundan, filtreleyip yalnızca vahşi ortamda neyin istismar edilebilir olduğuna baktıktan sonra bile, güvenlik ekiplerinin halletmesi gereken çok şey var. Ve bir CVE’nin bugün bir açığı olmaması, gelecek hafta da olmayacağı anlamına gelmez.
Buna yanıt olarak şirketler, kullanıcıların gelecekte bir CVE’den yararlanılıp yararlanılmayacağını anlamalarına yardımcı olabilecek tahmine dayalı risk yapay zekasını ekliyor. Bu hala yeterli değil ve düzeltilmesi gereken çok fazla soruna yol açıyor. Binlerce güvenlik açığı hala bir açıktan yararlanma olduğunu gösterecek, ancak birçoğunun sorundan fiilen yararlanabilmesi için karşılanması gereken başka koşullar da olacaktır.
Örneğin, Log4j ile aşağıdaki parametrelerin tanımlanması gerekir:
- Savunmasız Log4j kitaplığı var mı?
- Çalışan bir Java uygulaması tarafından mı yüklendi?
- JNDI araması etkin mi?
- Java uzak bağlantıları dinliyor mu ve diğer makineler için bir bağlantı var mı?
Koşullar ve parametreler karşılanmazsa güvenlik açığı kritik değildir ve öncelik verilmemelidir. Ve bir güvenlik açığı bir makinede kullanılabilir olsa bile, ne olmuş yani? Bu makine son derece kritik mi, yoksa herhangi bir kritik veya hassas varlığa bağlı değil mi?
Makinenin önemli olmaması, ancak bir saldırganın kritik varlıklara daha sinsice yaklaşmasını sağlaması da mümkündür. Başka bir deyişle, bağlam çok önemlidir – bu güvenlik açığı, kritik varlığa yönelik potansiyel bir saldırı yolunda mı? Saldırı yolunun kritik bir varlığa ulaşmasını durdurmak için bir geçit noktasında (birden çok saldırı yolunun kesiştiği bir noktada) bir güvenlik açığını kesmek yeterli midir?
Güvenlik ekipleri, güvenlik açığı süreçlerinden ve çözümlerinden nefret ediyor çünkü güvenlik açıkları giderek artıyor; hiç kimse geçmişi tamamen temizleyemez. Ama eğer yapabilirlerse ne yaratabileceğine odaklan hasar kritik bir varlığanereden başlayacaklarını daha iyi anlayabilirler.
Log4j Güvenlik Açıklarıyla Mücadele
İyi haber şu ki, uygun güvenlik açığı yönetimi, potansiyel suistimal riskinin nerede olduğunu belirleyerek Log4j merkezli saldırılara maruz kalmanın azaltılmasına ve düzeltilmesine yardımcı olabilir.
Güvenlik açığı yönetimi, siber güvenliğin önemli bir yönüdür ve sistemlerin ve verilerin güvenliğini ve bütünlüğünü sağlamak için gereklidir. Bununla birlikte, bu mükemmel bir süreç değildir ve güvenlik açıkları, bunları belirlemek ve azaltmak için tüm çabalara rağmen sistemlerde hala mevcut olabilir. Etkili olduklarından ve güvenlik açıklarının zamanında giderildiğinden emin olmak için güvenlik açığı yönetimi süreçlerini ve stratejilerini düzenli olarak gözden geçirmek ve güncellemek önemlidir.
Güvenlik açığı yönetiminin odak noktası yalnızca güvenlik açıklarının kendisi üzerinde değil, aynı zamanda potansiyel istismar riski üzerinde de olmalıdır. Bir saldırganın ağa erişim kazanmış olabileceği noktaların yanı sıra kritik varlıkları tehlikeye atmak için izleyebilecekleri yolları belirlemek önemlidir. Belirli bir güvenlik açığının risklerini azaltmanın en verimli ve uygun maliyetli yolu, güvenlik açıkları, hatalı yapılandırmalar ve bir saldırgan tarafından yararlanılabilecek kullanıcı davranışı arasındaki bağlantıları belirlemek ve güvenlik açığından yararlanılmadan önce bu sorunları proaktif olarak ele almaktır. Bu, saldırıyı engellemeye ve sistemin zarar görmesini önlemeye yardımcı olabilir.
Ayrıca aşağıdakileri de yapmalısınız:
- Yama: Log4j’ye karşı savunmasız olan tüm ürünlerinizi tanımlayın. Bu manuel olarak veya açık kaynaklı tarayıcılar kullanılarak yapılabilir. Güvenlik açığı bulunan ürünlerinizden biri için ilgili bir yama yayınlanırsa, sistemi en kısa sürede yamalayın.
- geçici çözüm: Log4j sürüm 2.10.0 ve üzeri sürümlerde, Java CMD satırında şunu ayarlayın: log4j2.formatMsgNoLookups=true
- Engellemek: Mümkünse, Web uygulamanızın güvenlik duvarına şunu engellemek için bir kural ekleyin: “jndi:”
Mükemmel güvenlik ulaşılamaz bir başarıdır, bu nedenle iyinin düşmanı olarak mükemmeli yapmanın bir anlamı yoktur. Bunun yerine, güvenlik duruşunu sürekli iyileştiren potansiyel saldırı yollarını önceliklendirmeye ve kilitlemeye odaklanın. Neyin savunmasız ve neyin istismar edilebilir olduğunu belirlemek ve bu konuda gerçekçi olmak, kaynakları stratejik olarak en önemli kritik alanlara yönlendirme becerisine izin vereceğinden, bunu yapmanıza yardımcı olabilir.