Відповідь на питання, чи був Log4j / Log4Shell унікальним, - ні. Звичайно, вплив уразливості Log4Shell був незвичайним. Але вразливості RCE не є рідкістю. Це також показала атака навесні 2021 року групи, відомої як «Гафній», на Microsoft Exchange.
Модулі програмного забезпечення, такі як бібліотека, що зараз уражена, які використовуються в багатьох програмах паралельно і, таким чином, пропонують широкий спектр точок атак, також є частиною повсякденного життя ІТ. Тим не менш, інцидент Log4j / Log4Shell є особливим у тому, що всі ці фактори поєднуються.
Інші слабкі сторони повсякденних ІТ
Це, принаймні, трапляється досить рідко, і, ймовірно, мине (сподіваюся) деякий час, перш ніж щось подібне повториться знову. Проте ймовірність зростає. Це головним чином тому, що розробляється все більше програмного забезпечення. Це має бути доступним швидко, тому розробники змушені впроваджувати будівельні блоки, такі як Log4j. Якщо потім буде виявлено прогалину в безпеці в такому компоненті, це стосується не лише розробника (наприклад, Microsoft із «Hafnium»), але й усіх виробників, які впроваджують цей компонент. І це може бути як окрема компанія, наприклад, зі спеціально створеним порталом для клієнтів, так і постачальник широкого застосування. Оскільки потрібно все більше і більше модулів, ймовірність того, що вразливість програмного забезпечення стане відомою в одному чи іншому, неминуче зростає.
Високий рівень небезпеки
Для Log4j / Log4Shell є британці Національний центр кібербезпеки (NCSC) підготували цікавий перелік питань. Це націлено на керівників компаній і має на меті надати вказівки щодо того, як ради можуть впоратися з ситуацією. Передісторія полягає в тому, що така прогалина в безпеці може бути небезпечною для життя. Це тому, що це полегшує злочинцям проникнення в системи. З іншого боку, в цьому також є щось «хороше», тому що якщо вразливість «так» легко атакувати, багато хобі-злочинців роблять те саме, щоб розмістити майнери монет і часто привертають увагу до вразливих систем, не завдаючи величезної шкоди. Професійні кіберзлочинці, з іншого боку, використовують прогалину для проникнення в мережу і поширюються звідти, поки не досягнуть місця призначення - непомітно. На це потрібен час – залежно від системи та розміру компанії це може тривати від тижнів до місяців. Тому слід очікувати, що з січня знову збільшиться кількість випадків програм-вимагачів.
Чи є Log4j / Log4Shell лише окремим випадком?
Річард Вернер, бізнес-консультант Trend Micro (Зображення: Trend Micro).
Широке розповсюдження програмного забезпечення та широкий спектр використання гарантують, що десь у кожній компанії для злодія завжди є відкрите вікно чи двері. Єдине питання, яке насправді виникає, полягає в тому, хто першим виявляє вразливість і впорається з нею в своїх інтересах. Log4Shell знову показує, як Hafnium, Kaseya та інші інциденти кібербезпеки, які сталися в 2021 році, що суто проактивний підхід, який намагається заблокувати шкоду, важко реалізувати.
Сьогодні ми маємо припускати, що десь хтось знайде вікно, через яке можна потрапити. Здатність компанії ідентифікувати та успішно вполювати цього «злодія» визначає ступінь завданої ним шкоди. Організаційно в надзвичайних ситуаціях говорять про «Команди тигрів» або, загалом, про «Операційний центр безпеки (SOC)». Проте з технологічної точки зору багато пов’язаних із цим дій можна надзвичайно спростити, якщо використовувати сучасні технології, такі як XDR.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.