Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 21. desember 2021 | Emne: Sikkerhet 
Det britiske nasjonale cybersikkerhetssenteret (NCSC) oppfordrer selskapsstyrene til å begynne å stille viktige spørsmål om hvor forberedt de er. er å dempe og utbedre den utbredte, kritiske Log4Shell-feilen i Java-basert applikasjonsfeilloggingskomponent Log4j.
NCSC kaller Log4Shell «potensielt den mest alvorlige datamaskinsårbarheten på mange år» og oppfordret selskapsstyrene til å behandle denne feilen med hast. Det understreker at Log4j-feilen – også kjent som Log4Shell – er en programvarekomponent i stedet for et stykke programvare, noe som betyr at det vil være mye mer komplisert å lappe.
Log4Shell er dårlige nyheter i dag og vil sannsynligvis lure i bedriftssystemer i årevis til tross for store anstrengelser fra amerikanske myndigheter, store teknologiske bidragsytere og open source-bidragsytere for å rette opp feilene i det originale Log4J versjon 2-prosjektet, dets implementering i store programvareprodukter og dets utrulling i hundrevis av millioner av bedriftsapplikasjoner, servere og internettvendte enheter.
LOG4J-FEILDEKNING – DET DU TRENGER Å VITE NÅ
Log4j-feil: Angripere gjør tusenvis av forsøk på å utnytte denne alvorlige sårbarheten
Sikkerhetsadvarsel : Ny zero-day i Log4j Java-biblioteket blir allerede utnyttet
Log4j RCE-aktivitet begynte 1. desember da botnett begynner å bruke sårbarhet
Det er pågående innsats via Apache Foundation for å lappe kjernen i Log4j-prosjektet, samt nedstrømsarbeid fra IBM, Cisco, Oracle, VMware og andre for å lappe produkter som inneholder sårbare versjoner av Log4j-komponenten. Google har også gitt ut verktøy for å forhindre at utviklere bruker sårbare Log4j-versjoner i nye bygg av åpen kildekode-programvare. Og den amerikanske regjeringen har beordret alle føderale byråer til å lappe eller redusere Log4Shell innen jul.
Det haster er berettiget. Statssponsede hackere har begynt å finne feilen for potensielle fremtidige angrep, ifølge Microsoft og Google, mens cyberkriminelle finner ut hvordan de kan tjene på den. I mellomtiden bekreftet det belgiske forsvarsdepartementet et angrep på nettverket ved hjelp av Log4j-feilen.
Nøkkelutfordringer NCSC skisserer inkluderer organisasjoner som finner ut hvilke tjenester som bruker Log4j; identifisere hvilke av disse tjenestene en organisasjon bruker; og deretter finne ut om disse tjenestene er sårbare. CISA har allerede krevd at alle amerikanske føderale byråer skal telle opp eksterne enheter med Log4j installert. Det er ingen liten oppgave, spesielt med tanke på antallet berørte produkter fra Cisco, IBM, Oracle og VMware. På grunn av komponentens utbredte bruk i andre produkter, anslår CISA at hundrevis av millioner enheter over hele verden er eksponert.
“Hvor bekymret bør tavler være?” spør NCSC.
Veldig, med mindre en bedrift har råd til forstyrrelser i driften fra løsepengevare. Mens Microsoft ikke har funnet forekomster av den mer farlige menneske-opererte løsepengevaren som bruker sikkerhetsproblemet, har de sett iranske trusselaktører forberede seg for å bruke den til løsepenge-angrep.
NCSC har stilt 10 spørsmål til styrene som er bekymret for feilen:
Hvem leder på responsen vår?Hva er planen vår?Hvordan vet vi om vi blir angrepet og kan vi reagere?Hvilken prosentandel av synlighet av programvaren/serverne våre har vi?Hvordan tar vi tak i skygge-IT/apparater?Gjør vi vite om nøkkelleverandører dekker seg?Er det noen i organisasjonen vår som utvikler Java-kode?Hvordan vil folk rapportere problemer de finner til oss?Når sjekket vi sist våre forretningskontinuitetsplaner og kriserespons?Hvordan forhindrer vi at team brenner ut?< p>Styrene bør også vurdere Log4Shells innvirkning dersom virksomheten trenger å avsløre hvor personopplysninger ble berørt, samt eventuelle kostnader knyttet til hendelsesrespons og gjenoppretting, og skade på omdømme.
“Å håndtere denne risikoen krever sterkt lederskap, med seniorledere som jobber sammen med tekniske team for å først forstå organisasjonens eksponering, og deretter for å iverksette passende handlinger.”
NCSC sier Log4Shell garanterer at organisasjoner oppretter et “tigerteam” av kjernepersonalet, inkludert en leder, for å møte trusselen. Styrer bør også spørre “hva er planen vår?”, og for å forstå hvordan Log4j-problemer vil bli løst. Styrene bør forstå at dette vil ta uker eller måneder å utbedre, ikke dager.
Styrer bør vite hvordan selskapet er forberedt på å reagere på et Log4Shell-angrep hvis og når det skjer, og om selskapet kan oppdage om et slikt angrep skulle finne sted. Den understreker at styrene bør forstå hvilken synlighet teamene deres har av sårbar programvare og servere, inkludert IT-ressurser som er sentralt administrert og ikke-administrert.
LOG4J FEILDEKNING – HVORDAN HOLDE SELSKAPET DIN SIKKER
Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytter deg selv
Sikkerhetsadvarsel: Ny zero-day i Log4j Java-biblioteket blir allerede utnyttet
Log4j-feil kan være et problem for industrielle nettverk «i årene som kommer»
Programvareforsyningskjeden er en annen viktig faktor. NSCS anbefaler organisasjoner å ha en “åpen og ærlig samtale” med programvare-som-en-tjenesteleverandører som kanskje også prøver å få grep om hvilke av deres produkter som er berørt.
Java er et enormt populært programmeringsspråk i bedrifts-IT som brukes av anslagsvis 12 millioner utviklere over hele verden.
“Java-utviklere kan ha lovlig brukt Log4j, så det er viktig å sikre at all programvare som er skrevet ikke er sårbar,” bemerker NCSC. Som det er tidligere nevnt, leveres Log4j versjon 2 med Log4j versjon 2 (Log4j2) populære Apache-rammeverk inkludert Struts2, Solr, Druid, Flink og Swift.
Til slutt, etter to år med støtte for eksternt arbeid under pandemien, et år med profesjonelle løsepengevare-angrep og statssponsede angrep på programvareforsyningskjeden og kritiske Exchange Server zero-day-sårbarheter, advarer NCSC om at enkelte cybersikkerhetsteam kan lide av utbrenthet under Log4Shell-sanering. Dette er en bekymring på styrenivå.
“Å rette opp dette problemet vil sannsynligvis ta uker eller måneder for større organisasjoner. Kombinasjonen av en situasjon i stadig utvikling (og potensialet for alvorlige konsekvenser) kan føre til utbrenthet i forsvarere, hvis de ikke støttes av lederskap,” understreket NSCS.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre