Log4j/Log4Shell benzersiz miydi sorusunun cevabı “hayır”dır. Log4Shell güvenlik açığının etkisi kesinlikle olağandışıydı. Ancak RCE güvenlik açıkları nadir değildir. Bunu, 2021 baharında “Hafnium” olarak bilinen grubun Microsoft Exchange'e yaptığı saldırı da gösterdi.
Pek çok uygulamada paralel olarak kullanılan ve bu nedenle geniş bir saldırı yüzeyi sunan, şu anda etkilenen kitaplık gibi yazılım bileşenleri de günlük BT yaşamının bir parçası. Bununla birlikte Log4j / Log4Shell olayının özelliği tüm bu faktörlerin bir araya gelmesidir.
Günlük BT'deki diğer zayıf noktalar
En azından bu nadiren oluyor ve benzer bir olayın tekrar yaşanması muhtemelen (umarız) biraz zaman alacak. Ancak olasılık artıyor. Bunun temel nedeni giderek daha fazla yazılımın geliştirilmesidir. Bunun hızlı bir şekilde kullanıma sunulması gerekiyor, bu nedenle geliştiriciler Log4j gibi yapı taşlarını uygulamaya zorlanıyor. Böyle bir bileşende bir güvenlik açığı tespit edilirse, etkilenen yalnızca geliştiricinin kendisi değil ("Hafnium"lu Microsoft gibi) aynı zamanda bu bileşeni uygulayan tüm üreticilerdir. Ve bu, örneğin özel olarak oluşturulmuş bir müşteri portalına sahip bireysel bir şirket olabileceği gibi, aynı zamanda yaygın olarak kullanılan bir uygulamanın sağlayıcısı da olabilir. Giderek daha fazla bileşen gerekli olduğundan, bir yazılım açığının bunlardan biri veya diğeri tarafından bilinmesi olasılığı kaçınılmaz olarak artar.
Yüksek düzeyde tehlike
Log4j/Log4Shell için İngilizlerin sahip olduğu Ulusal Siber Güvenlik Merkezi (NCSC) ilginç bir soru listesi hazırladı. Bu, şirket yöneticilerine yöneliktir ve yönetim kurullarının bu durumla nasıl başa çıkabileceği konusunda yönergeler sağlamayı amaçlamaktadır. Arka plan böyle bir güvenlik açığının şirketin varlığını tehdit etme potansiyeline sahip olmasıdır. Bunun nedeni, suç aktörlerinin sistemlere bu şekilde sızmasının kolay olmasıdır. Öte yandan, bunda "iyi" bir şey de var, çünkü güvenlik açığına saldırmak "bu kadar" kolaysa, birçok hobi suçlusu da bunu madeni para madencilerini yerleştirmek ve çok büyük bir hasara neden olmadan savunmasız sistemlere dikkat çekmek için yapıyor. Profesyonel siber suçlular ise bu açığı bir ağa sızmak için kullanıyor ve oradan hedeflerine ulaşana kadar -hiçbir dikkat çekmeden- yayılırlar. Bu zaman alır; sisteme ve şirket büyüklüğüne bağlı olarak haftalar, aylar sürebilir. Bu nedenle fidye yazılımı olaylarının Ocak ayından itibaren yeniden artması bekleniyor.
Log4j/Log4Shell sadece özel bir durum mu?
Richard Werner, Trend Micro İş Danışmanı (Resim: Trend Micro).
Yazılımın geniş dağılımı ve çeşitli kullanımları, her şirketin bir yerinde hırsıza her zaman açık bir pencere veya kapı bulunmasını sağlar. Ortaya çıkan tek soru, güvenlik açığını ilk kimin keşfedeceği ve bununla kendi yöntemiyle başa çıkacağıdır. Log4Shell, Hafnium, Kaseya ve 2021'de meydana gelen diğer siber güvenlik olaylarında olduğu gibi, hasarı engellemeye çalışan tamamen proaktif bir yaklaşımın artık uygulanmasının zor olduğunu bir kez daha gösteriyor.
Bugün bir yerlerde birisinin içeri girebileceği bir pencere bulacağını varsaymalıyız. Bir şirketin bu "hırsızı" tespit etme ve başarılı bir şekilde yakalama becerisi, verilen hasarın boyutunu belirler. Organizasyonel anlamda, acil bir durumda “Tiger Teams” veya genel olarak “Güvenlik Operasyon Merkezi (SOC)” den bahsediyoruz. Ancak teknolojik olarak ilgili faaliyetlerin çoğu, XDR gibi modern teknolojilerin kullanılması halinde son derece basitleştirilebilir.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.