ABD Siber Güvenlik İnceleme Kurulu, Log4j’nin ‘endemik’ kalacağı konusunda uyardı


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. Bilgili görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


Dün, ABD hükümetinin Siber Güvenlik İnceleme Kurulu (CSRB) yayınladı bildiri Log4j kusurunun öngörülebilir gelecek için “endemik bir güvenlik açığı” olarak kalacağı sonucuna varıyor.

CSRB, ilk olarak Başkan Biden’in ardından Şubat 2022’de kuruldu. İcra Emri 14028ve önemli siber güvenlik olaylarını gözden geçirmekten ve devlet kurumlarının ve özel kuruluşların kendilerini tehdit aktörlerinden nasıl koruyabileceklerine dair içgörüler geliştirmekten sorumludur.

CSRB Başkanı ve DHS Politikadan Sorumlu Müsteşarı Robert Silvers, “Siber Güvenlik İnceleme Kurulu, siber güvenlik ekosisteminde yeni, yenilikçi ve kalıcı bir kurum olarak kendini kanıtladı” dedi.

“Daha önce hiç sektör ve hükümet siber liderleri ciddi olayları gözden geçirmek, ne olduğunu belirlemek ve gelecekte nasıl daha iyi yapabileceğimiz konusunda tüm topluluğa tavsiyede bulunmak için bu şekilde bir araya gelmemişti. Log4j incelememiz, değişimi yönlendirebileceğinden ve siber güvenliği iyileştirebileceğinden emin olduğumuz öneriler üretti.”

İşletmeler için, Log4j’ye yenilenen odaklanma, savunmasız sistemleri taramak ve yamalamak için daha proaktif bir yaklaşım benimsemenin önemini vurgulamaktadır.

Log4j tarihinin kısa bir özeti

CSRB’nin raporu, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), tehdit aktörlerinin VMware Horizon ve Unified Access Gateway (UAG) çözümlerinde Lo4j’den yararlandığını bildiren bir uyarı yayınlamasından birkaç hafta sonra geldi.

Alibaba’nın bulut güvenlik ekibi, saldırganların Minecraft çalıştıran sunuculara kötü amaçlı kod dağıtmak için bunu kullandığını fark ettikten sonra 24 Kasım 2021’de Log4Shell’in Apache’ye karşı güvenlik açığını bildirdiğinden beri, işletmeler panik halinde.

üzerinde 3 milyar cihaz Java kullanan güvenlik ekipleri, saldırganlar bunları istismar etmeden önce Log4j içeren sistemleri güncellemek için büyük baskı altındaydı.

Log4j neden zaten gitmiyor?

Çoğu kuruluş, Log4j’nin yamalanabilen, istismar edilebilir bir güvenlik açığı olduğunu bilse de, sorun, onu kullanan sistemleri tanımlamanın yapmaktan daha kolay olmasıdır. Modern işletmeler, şirket içinde ve bulutta o kadar karmaşık bir sistem yaması kullanıyor ki, hangi sistemlerin savunmasız olduğunu saptamak zor olabilir.

“Bilinmeyen Log4j sistemlerine yama eklemenin karmaşıklığı, kuruluşlar için daha fazla zorluk yaratmaya devam ediyor. Otomatik tehdit algılama ve müdahale sağlayıcısının CTO’su ve Kurucu Ortağı, satın alınan bir cihaz, kuruluş hakkında herhangi bir bilgiye sahip olmadan Log4j’nin savunmasız bir sürümüne sahip olabilir” dedi. BlumiraMatt Warner.

Warner, “Güvenlik açığı bulunan ana bilgisayarların CISA bildirimlerinden saatler sonra bile, yama uygulanmamış internete açık VMware Horizon sunucularında Log4j’den yararlanmaya devam ediyor” dedi.

Bu bilinmeyen sistemlere yama yapmanın zorlukları göz önüne alındığında, Bugcrowd’daki Güvenlik Operasyonları Kıdemli Direktörü Michael Skelton, işletmeler ve güvenlik ekipleri için Log4j’nin uzun vadede burada olduğunu kabul ediyor.

“Log4J ile uğraşmak, çözülmesi yıllar alacak bir maratondur. Skelton, Java ve Log4j’nin yalnızca temel projelerde değil, diğer projelerin dayandığı bağımlılıklarda da her yerde yaygın olduğunu ve algılama ve azaltmayı diğer güvenlik açıklarında olabileceği kadar basit bir alıştırma olmadığını söyledi.

Tedarik zinciri komplikasyonu

Elbette, Log4j’nin güvenlik riskleri yalnızca bir kuruluşun kendi sistemlerinde mevcut olan güvenlik açıklarıyla sınırlı değildir, aynı zamanda genellikle sömürülebilir üçüncü taraf yazılımlarına bağımlı olan üçüncü taraf hizmet sağlayıcıları tarafından kullanılan BT varlıklarında bulunan güvenlik açıklarıyla da sınırlıdır.

“Açık kaynak yazılımının yönetimi, ticari yazılımdan farklıdır ve açık kaynak, ticari yazılıma güç verir, tüketicileri bir sorun hakkında uyarmak için ticari bir satıcıya güvenmek, satıcının açık kaynak kullanımlarını düzgün bir şekilde yönettiğini ve tanımlayabildiğini varsayar. Synopsys Siber Güvenlik Araştırma Merkezi Baş Güvenlik Stratejisti Tim Mackey, “Bu yazılıma verilen destek sona ermiş olsa bile, tüm kullanıcıları etkilenen yazılımları konusunda uyarın” dedi.

Sonuç olarak, kuruluşların yazılım tedarik zincirindeki yukarı akış sağlayıcılarının, sahne arkasında, verilerini riske atabilecek, güvenliği ihlal edilmiş açık kaynak teknolojilerine güvenebileceğini düşünmeleri önemlidir.

Bu nedenle Mackey, kuruluşların bir veri ihlali riskini artırabilecek olası zayıflıkları kontrol etmek için sağlayıcının güvenlik önlemlerini, sistemlerini ve uygulamalarını iki kez kontrol ederek bir güven ama doğrula modeli uygulamasını önerir.

İşletmeler ne yapabilir?

CSRB’nin log4j incelemesi, devlet kurumlarının ve özel kuruluşların ortamlarını tehdit aktörlerinden korumak için kullanabilecekleri toplam 19 öneri sağladı.

Kurul, yüksek düzeyde, “güvenli yazılım oluşturma gibi göz korkutucu bir görevle geliştiricileri destekleyen yeteneklerin, araçların ve otomatik çerçevelerin yaygın olarak geliştirilmesi ve benimsenmesi” çağrısında bulundu.

Daha spesifik olarak, CSRB, kuruluşların doğru bir varlık ve uygulama envanteri tutmasını, Log4j’nin savunmasız sürümlerini izlemek ve yükseltmek için güvenlik açığı tarama teknolojilerini dağıtmasını önerir.

Ayrıca, istismarların zamanında azaltılmasını sağlamak için kuruluşların hem bir güvenlik açığı yanıt programı hem de bir güvenlik açığı açıklama ve işleme süreci geliştirmelerini önerir.

Ayrıca CSRB, kuruluşların Log4j kullanımıyla ilgili tüm önemli olayları FBI veya CISA’ya bildirmelerini tavsiye etti.

İleriye dönük olarak, kuruluşlar için, güvenlik açığı yönetim platformları, saldırı yüzeyi yönetimi çözümleri ve hata ödül programları gibi araçlar, ortamda bulundukları her yerde bu güvenlik açıklarını azaltmada kritik bir rol oynayacaktır.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Üyelik hakkında daha fazla bilgi edinin.



Kaynak : https://venturebeat.com/2022/07/14/csrb-log4j/

Yorum yapın