La risposta alla domanda se Log4j/Log4Shell fosse unico è “no”. Certamente l'impatto della vulnerabilità Log4Shell è stato insolito. Ma le vulnerabilità RCE non sono rare. Lo ha dimostrato anche l’attacco nella primavera del 2021 da parte del gruppo noto come “Hafnium” a Microsoft Exchange.
Anche i componenti software, come la libreria attualmente interessata, che vengono utilizzati parallelamente in molte applicazioni e offrono quindi un'ampia superficie di attacco, fanno parte della vita informatica quotidiana. Tuttavia, la particolarità dell’incidente Log4j / Log4Shell è che tutti questi fattori si uniscono.
Ulteriori punti deboli nell'IT quotidiano
Almeno questo accade raramente, e probabilmente (si spera) ci vorrà del tempo prima che un incidente simile si ripeta. Tuttavia, la probabilità aumenta. Ciò è dovuto principalmente al fatto che vengono sviluppati sempre più software. Questo dovrebbe essere disponibile rapidamente, motivo per cui gli sviluppatori sono costretti a implementare elementi costitutivi come Log4j. Se in un componente di questo tipo viene rilevata una lacuna nella sicurezza, non viene colpito solo lo sviluppatore stesso (come ad esempio Microsoft con "Hafnium"), ma tutti i produttori che implementano questo componente. Può trattarsi ad esempio di una singola azienda con un portale clienti appositamente realizzato, ma anche del fornitore di un'applicazione ampiamente utilizzata. Poiché sono necessari sempre più componenti, aumenta inevitabilmente la probabilità che venga a conoscenza di una lacuna software in uno o nell'altro di essi.
Alto livello di pericolo
Per Log4j/Log4Shell quello britannico ha Centro nazionale per la sicurezza informatica (NCSC) preparato un interessante elenco di domande. Questo è rivolto ai manager aziendali e ha lo scopo di fornire linee guida su come i consigli di amministrazione possono affrontare la situazione. Il contesto è che una tale lacuna nella sicurezza può potenzialmente mettere a repentaglio l'esistenza dell'azienda. Questo perché è facile per gli attori criminali infiltrarsi nei sistemi in questo modo. D’altro canto c’è qualcosa di “buono” in questo, perché se la vulnerabilità è “così” facile da attaccare, molti criminali amatoriali lo fanno anche per piazzare minatori di monete e spesso attirare l’attenzione su sistemi vulnerabili senza causare enormi danni. I criminali informatici professionisti, invece, sfruttano questa lacuna per infiltrarsi in una rete e da lì si diffondono fino a raggiungere la loro destinazione, senza attirare l'attenzione. Ciò richiede tempo: a seconda del sistema e delle dimensioni dell’azienda, possono essere necessarie settimane o mesi. È quindi prevedibile che a partire da gennaio gli incidenti ransomware aumenteranno nuovamente.
Log4j/Log4Shell è solo un caso speciale?
Richard Werner, consulente aziendale presso Trend Micro (Immagine: Trend Micro).
L'ampia diffusione dei software e i molteplici utilizzi fanno sì che in ogni azienda ci sia sempre una finestra o una porta aperta contro i ladri. L’unica domanda che sorge è chi scoprirà per primo la vulnerabilità e la affronterà a modo proprio. Log4Shell mostra ancora una volta, proprio come Hafnium, Kaseya e altri incidenti di sicurezza informatica avvenuti nel 2021, che un approccio puramente proattivo che tenta di bloccare i danni è ora difficile da implementare.
Oggi dobbiamo partire dal presupposto che da qualche parte qualcuno troverà una finestra dalla quale potrà entrare. La capacità di un'azienda di identificare e scovare con successo questo "ladro" determina l'entità del danno causato. In termini organizzativi, in caso di emergenza si parla di “Tiger Teams” o in generale di “Security Operations Center (SOC)”. Dal punto di vista tecnologico, tuttavia, molte delle attività correlate possono essere estremamente semplificate se si utilizza la tecnologia moderna come XDR.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.