A resposta à questão de saber se Log4j/Log4Shell era único é “não”. Certamente o impacto da vulnerabilidade Log4Shell foi incomum. Mas as vulnerabilidades RCE não são incomuns. Isto também foi demonstrado pelo ataque na primavera de 2021 pelo grupo conhecido como “Hafnium” ao Microsoft Exchange.
Componentes de software, como a biblioteca atualmente afetada, que são usados em paralelo em muitas aplicações e, portanto, oferecem uma ampla superfície de ataque, também fazem parte da vida cotidiana da TI. No entanto – o que há de especial no incidente Log4j/Log4Shell é que todos esses fatores se unem.
Outros pontos fracos na TI cotidiana
Pelo menos isso raramente acontece e provavelmente (espero) levará algum tempo até que um incidente semelhante ocorra novamente. No entanto, a probabilidade aumenta. Isto ocorre principalmente porque cada vez mais software está sendo desenvolvido. Isso deve estar disponível rapidamente, e é por isso que os desenvolvedores são forçados a implementar blocos de construção como o Log4j. Se uma falha de segurança for descoberta dentro de tal componente, não será apenas o próprio desenvolvedor que será afetado (como a Microsoft com “Hafnium”), mas todos os fabricantes que implementam este componente. E pode ser uma empresa individual, por exemplo, com um portal de clientes especialmente construído, mas também o fornecedor de uma aplicação amplamente utilizada. Como são necessários cada vez mais componentes, a probabilidade de uma lacuna de software se tornar conhecida por um ou outro aumenta inevitavelmente.
Alto nível de perigo
Para Log4j/Log4Shell o britânico tem Centro Nacional de Segurança Cibernética (NCSC) preparou uma lista interessante de perguntas. Destina-se aos gestores das empresas e tem como objetivo fornecer orientações sobre como os conselhos podem lidar com a situação. O pano de fundo é que tal lacuna de segurança tem o potencial de ameaçar a existência da empresa. Isso ocorre porque é fácil para os criminosos se infiltrarem nos sistemas dessa forma. Por outro lado, há algo de “bom” nisso, porque se a vulnerabilidade é “tão” fácil de atacar, muitos criminosos amadores também fazem isso para colocar mineradores de moedas e muitas vezes chamam a atenção para sistemas vulneráveis sem causar enormes danos. Os cibercriminosos profissionais, por outro lado, aproveitam a lacuna para se infiltrar em uma rede e se espalham a partir daí até chegarem ao destino - sem chamar a atenção. Isto leva tempo – dependendo do sistema e do tamanho da empresa, pode levar semanas ou meses. Portanto, é de se esperar que os incidentes de ransomware aumentem novamente a partir de janeiro.
Log4j/Log4Shell é apenas um caso especial?
A ampla distribuição de software e os diversos usos garantem que haja sempre uma janela ou porta aberta para o ladrão em algum lugar de cada empresa. A única questão que surge é quem descobrirá primeiro a vulnerabilidade e lidará com ela à sua maneira. Log4Shell mostra mais uma vez, assim como Hafnium, Kaseya e outros incidentes de segurança cibernética que ocorreram em 2021, que uma abordagem puramente proativa que tenta bloquear danos é agora difícil de implementar.
Hoje temos que assumir que em algum lugar alguém encontrará uma janela pela qual poderá entrar. A capacidade de uma empresa identificar e caçar com sucesso esse “ladrão” determina a extensão dos danos causados. Em termos organizacionais, em caso de emergência falamos de “Tiger Teams” ou geralmente “Security Operations Center (SOC)”. Tecnologicamente, no entanto, muitas das atividades associadas podem ser extremamente simplificadas se for utilizada tecnologia moderna como o XDR.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.