9 Aralık 2021’de popüler Log4j Java günlük kitaplığında bir güvenlik açığı keşfedildi. Güvenlik açığı hızla Log4Shell olarak adlandırıldı. Özetle, bir saldırgan belirli bir dizeyi tanıtmak için bileşenden yararlanabilir ve hedef uygulamada uzaktan ve keyfi olarak kod yürütmelerine olanak tanır. Oldukça vahşi şeyler, değil mi?
Böyle bir saldırının kullanıcı deneyimini ve ortalama onaylama süresi (MTTA) ve ortalama çözme süresi (MTTR) gibi ölçümleri nasıl etkilemeyeceğini hayal etmek neredeyse imkansızdır. Bu metrikler azalmaya başladığında, geliştiricilerin önemli kaynakları gözlemlenebilirlik elde etmeye, olası açıkları bulmaya ve güvenlik açıklarını gidermeye yönlendirmesi gerekir. Birkaç yıl önce siber güvenlik, yazılım geliştirmede acil bir endişe kaynağı değilse, bu çok hızlı değişiyor çünkü kullanıcılar işleri halletmek için bu uygulamalarla doğrudan etkileşim kuruyor.
Log4j Geliştiricileri Nasıl Etkiler?
Log4j güvenlik açığı, istismar edildiğinde ilk olarak geliştiricileri etkileyen bir tür güvenlik açığıdır çünkü hedeflenen onların kodlarıdır. Kuruluşlar, kullanıcı deneyimi üzerinde bir etki oluşana kadar bir siber saldırı yaşadıklarını bile bilmeyebilir ve kullanıcı deneyimini izleme sorumluluğu genellikle geliştiricilere, site güvenilirlik mühendislerine ve DevOps ekiplerine düşer.
Bu güvenlik açığı özellikle, Apple ve Microsoft gibi şirketler tarafından sağlanan en popüler yazılım uygulamalarından bazıları dahil olmak üzere geliştiriciler tarafından Log4j kitaplıklarının yoğun kullanımı nedeniyle endişe vericidir. Yazılımın dağıtılmış doğası, etkilenen kitaplığa dayanan başka bağımlılıkları olabileceğinden, Log4j’yi doğrudan kullanmasalar bile uygulamaların etkilenebileceği anlamına gelir. Bir saldırı, bir yazılımın mimarisinin derinliklerine iner.
Yazılım geliştirme ekipleri genellikle bir izinsiz girişin etkilerini ilk deneyimleyen kişiler arasında olduğundan, DevOps ve geliştirici ekipleri, siber saldırılara hazırlanmak ve bunları azaltmak için büyük olasılıkla görevlendirilecektir. Bununla birlikte, o gün gelmeden bile – ve gelecek – yazılım geliştirme ekiplerinin üretkenliğini ve başarısını ölçen temel performans göstergeleri (KPI’ler) doğrudan etkilenecektir.
Log4Shell Güvenlik Açıklarına İlişkin İpuçları Nasıl Bulunur?
Modern yazılım mimarisinin doğası gereği, belirli bir uygulamanın bu güvenlik açığından etkilenip etkilenmediğini bilmek neredeyse imkansızdır. Bulut altyapısı dağınık. Yazılım uygulamaları, mikro hizmetlerden ve sırayla kendi küçük üçüncü taraf bileşenlerinden oluşan diğer üçüncü taraf bileşenlerinden oluşur. Bu nedenle, yazılım geliştirme ekipleri, verilerinin bağımlılıklarına nasıl aktığı konusunda tam bir görünürlük kazanmadıkça, bu güvenlik açığından etkilenip etkilenmediğinizden asla tam olarak emin olamazsınız.
Yapabileceğiniz bir şey yığınınızı kontrol etmektir: Log4j 2.0-beta9 – 2.14.1 (dahil) sürümleri savunmasızdır. Belirli JDK sürümlerinin (6u211+, 7u201+, 8u191+ ve 11.0.1+) kullanılması, istismarı daha zor hale getirir, ancak yine de savunmasızdırlar.
Ancak bahsettiğim gibi, bulut bilişimin dağıtık yapısı nedeniyle Log4Shell’i bulmak biraz daha karmaşık. Bu yüzden kendinize şunu sormalısınız: Vahşi doğada bir güvenlik açığı varsa ama onu bulamıyorum, bu gerçekten yığınımda bir yerde var mı? Cevap: Muhtemelen.
Modern gözlemlenebilirlik çözümlerinin devreye girdiği yer burasıdır. Gözlemlenebilirlik araçları, Ar-Ge ekiplerinin dağıtılmış teknoloji yığınlarını daha iyi izlemesine ve yazılım uygulamalarının bağımlı olduğu “kara kutulara” ışık tutmasına yardımcı olmak için oluşturulmuştur.
Dağıtılmış ortamlar, 50 farklı motorla çalışan bir araba gibidir. Arabanızın kullanabileceği hız inanılmaz. Ancak, bozulursa, soruna neden olan motoru bulmak için 50 farklı kaput açmanız gerekir. Aynısı, dağıtılmış ortamlardaki siber saldırılar için de geçerlidir. Bir sunucuyu saldırılara karşı savunmak yerine, artık bir bilgisayar korsanının hedef alması gereken 50 hizmeti var ve bu da yönetmesi, izlemesi ve savunması gereken 50 potansiyel hedefle uygulamanızı daha savunmasız hale getiriyor. Gözlenebilirlik, sizi sorun başlığının doğru yönüne yönlendirerek bu sorunu çözer.
Sunucusuz, mikro hizmet veya diğer bulutta yerel veya bulut-hibrit uygulama türlerinizi izleyen gözlemlenebilirlik çözümleriniz zaten varsa, bunları kodunuzdaki güvenlik açıklarını veya erişimdeki yanlış yapılandırmaları bulmak için kullanmalısınız.
Elbette, gözlemlenebilirlik çözümleri teknik olarak siber güvenlik çözümleri değildir. Siber saldırı yüzeylerini bulmak ve sizi uyarmakla görevli değiller. Ancak, dağıtılmış bir hizmet reddi saldırısı gibi bir siber saldırının neden olabileceği kesinti süresi veya azalan kullanıcı deneyimiyle ilgili ilk uyarıyı sağlayabildikleri için ilk savunma hattı görevi görebilirler.
