Більшість компаній середнього розміру ще не дійшли до суті проблеми Log4j або Log4Shell. Лише 40 відсотків звернулися до проблеми. Tenable попереджає, що компанії середнього розміру все ще мають надзвичайно велику поверхню для атаки.
Як повідомляє Генеральна асоціація німецької страхової індустрії (GDV), лише 40 відсотків компаній середнього розміру перевірили своє програмне забезпечення, щоб перевірити, чи вразливе воно Log4j. Ще менше компаній (28 відсотків) заявили, що вони перевіряли свої системи на наявність шкідливого програмного забезпечення, оскільки про вразливість стало відомо в грудні 2021 року.
«Коли Log4Shell (CVE-2021-44228) було вперше ідентифіковано більше шести місяців тому, це сколихнуло спільноту ІТ-безпеки. Той факт, що понад півроку потому більше половини німецьких компаній середнього розміру все ще не знають, чи постраждало їх програмне забезпечення та, отже, ризик безпеки, викликає занепокоєння.
Значна частина середнього класу не почула це попередження
«Компанії не повинні просто ігнорувати таку вразливість і гучні та чіткі попередження про неї», — говорить генеральний менеджер GDV Йорг Асмуссен. Після того, як у грудні 2021 року стало відомо про прогалину в безпеці, Федеральне відомство з інформаційної безпеки (BSI) оголосило найвищий рівень тривоги та говорило про «надзвичайно критичну загрозливу ситуацію». «Той, хто не реагує на це, є надто недбалим, коли йдеться про ІТ-безпеку, або має занадто мало ноу-хау», — каже Асмуссен. У разі сумнівів компанії також можуть втратити кіберстраховку, якщо хакери атакуватимуть через прогалину в ІТ-безпеці, яка відома вже давно, але ще не усунена.
Великі зусилля для більшої безпеки
Проблема полягає в тому, що, незважаючи на те, що справді важко відсіяти всі програми та служби, які використовують уразливу бібліотеку, злочинцям також легко використовувати їх, якщо вони це зроблять. У грудні, коли вразливість була вперше виявлена, телеметрія Tenable виявила, що 10% усіх оцінених активів були вразливими – це не 10% організацій, а 10% розгорнутих там програм і пов’язаних пристроїв – включаючи різноманітні сервери, веб-сайти. програми, контейнери та пристрої IoT. У той час кожен десятий елемент нашої цифрової інфраструктури мав потенціал для зловживання з боку Log4Shell.
Враховуючи простоту експлуатації та широку доступну поверхню для атаки, зловмисники продовжуватимуть використовувати вразливість, щоб закріпитися, щоб ініціювати цільові порушення безпеки або автоматизувати опортуністичні атаки програм-вимагачів, якщо організації нарешті не приймуть проактивний підхід до Log4j», — сказав Роджер Шір, регіональний директор. Віце-президент по Центральній Європі Tenable.
Більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.