अधिकांश मध्यम आकार की कंपनियां अभी तक Log4j या Log4Shell समस्या की तह तक नहीं पहुंची हैं। केवल 40 प्रतिशत ने समस्या का समाधान किया है। टेनेबल ने चेतावनी दी है कि मध्यम आकार की कंपनियों के पास अभी भी बहुत बड़ी हमले की सतह है।
जैसा कि जर्मन बीमा उद्योग के जनरल एसोसिएशन (जीडीवी) द्वारा रिपोर्ट किया गया है, केवल 40 प्रतिशत मध्यम आकार की कंपनियों ने अपने सॉफ़्टवेयर की जाँच की है कि यह Log4j भेद्यता से प्रभावित है या नहीं. यहां तक कि कम कंपनियों (28 प्रतिशत) ने कहा कि उन्होंने दिसंबर 2021 में भेद्यता के ज्ञात होने के परिणामस्वरूप घुसपैठ किए गए मैलवेयर के लिए अपने सिस्टम की जांच की थी।
“जब Log4Shell (CVE-2021-44228) को छह महीने पहले पहली बार पहचाना गया था, तो इसने IT सुरक्षा समुदाय को हिलाकर रख दिया था। तथ्य यह है कि आधे से अधिक साल बाद, आधे से अधिक जर्मन मध्यम आकार की कंपनियां अभी भी अंधेरे में हैं कि क्या उनका सॉफ्टवेयर प्रभावित हुआ है और इसलिए सुरक्षा जोखिम चिंताजनक है।
मध्यम वर्ग के बड़े हिस्से में चेतावनी पर ध्यान नहीं दिया गया
GDV के महाप्रबंधक जार्ग एस्मुसेन कहते हैं, "कंपनियों को इस तरह की भेद्यता और इसके बारे में ज़ोरदार और स्पष्ट चेतावनियों को नज़रअंदाज़ नहीं करना चाहिए।" दिसंबर 2021 में सुरक्षा अंतर ज्ञात होने के बाद, सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) ने उच्चतम अलर्ट स्तर घोषित किया और "बेहद गंभीर खतरे की स्थिति" की बात की। "कोई भी व्यक्ति जो इस पर प्रतिक्रिया नहीं करता है, जब आईटी सुरक्षा की बात आती है तो वह बहुत लापरवाह होता है - या उसे बहुत कम जानकारी होती है," एस्मुसेन कहते हैं। संदेह की स्थिति में, कंपनियां अपना साइबर बीमा कवर भी खो सकती हैं यदि हैकर्स आईटी सुरक्षा अंतराल के माध्यम से हमला करते हैं जो लंबे समय से ज्ञात है लेकिन अभी तक बंद नहीं हुआ है।
अधिक सुरक्षा के लिए उच्च प्रयास
समस्या यह है कि जहां कमजोर पुस्तकालय का उपयोग करने वाले सभी एप्लिकेशन और सेवाओं की छानबीन करना वास्तव में कठिन है, वहीं यदि वे ऐसा करते हैं तो अपराधियों के लिए उनका शोषण करना भी आसान है। दिसंबर में, जब भेद्यता की पहली बार पहचान की गई थी, तो टेनेबल की टेलीमेट्री ने पाया कि मूल्यांकन की गई सभी संपत्तियों का 10% असुरक्षित था - यह 10% संगठन नहीं है, लेकिन 10% एप्लिकेशन और संबंधित उपकरण वहां तैनात हैं - जिसमें विभिन्न प्रकार के सर्वर, वेब शामिल हैं। अनुप्रयोग, कंटेनर और IoT डिवाइस। उस समय, हमारे डिजिटल बुनियादी ढांचे के हर दसवें तत्व में Log4Shell द्वारा दुरुपयोग की संभावना थी।
शोषण की आसानी और व्यापक हमले की सतह को देखते हुए, हमलावर लक्षित सुरक्षा उल्लंघनों को ट्रिगर करने या अवसरवादी रैंसमवेयर हमलों को स्वचालित करने के लिए पैर जमाने के लिए भेद्यता का उपयोग करना जारी रखेंगे, जब तक कि संगठन अंततः Log4j के लिए एक सक्रिय दृष्टिकोण नहीं अपनाते हैं। ”रोजर शीर, क्षेत्रीय ने कहा। Tenable में मध्य यूरोप के उपाध्यक्ष।
Tenable.com पर अधिक
टेनेबल के बारे में टेनेबल साइबर एक्सपोजर कंपनी है। दुनिया भर में 24.000 से अधिक कंपनियां साइबर जोखिम को समझने और कम करने में सक्षम हैं। Nessus के आविष्कारकों ने Tenable.io में अपनी भेद्यता विशेषज्ञता को संयोजित किया है, जो उद्योग का पहला प्लेटफ़ॉर्म प्रदान करता है जो किसी भी कंप्यूटिंग प्लेटफ़ॉर्म पर किसी भी संपत्ति को रीयल-टाइम दृश्यता प्रदान करता है और सुरक्षित करता है। टेनेबल के ग्राहक आधार में फॉर्च्यून 53 का 500 प्रतिशत, ग्लोबल 29 का 2000 प्रतिशत और बड़ी सरकारी एजेंसियां शामिल हैं।