Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 21. december 2021 | Emne: Sikkerhed 
Det britiske nationale cybersikkerhedscenter (NCSC) opfordrer virksomhedernes bestyrelser til at begynde at stille vigtige spørgsmål om, hvor forberedt de er. skal afhjælpe og afhjælpe den udbredte, kritiske Log4Shell-fejl i Java-baseret applikationsfejllogningskomponent Log4j.
NCSC kalder Log4Shell “potentielt den mest alvorlige computersårbarhed i årevis” og opfordrede virksomhedsbestyrelser til at behandle denne fejl med hast. Det understreger, at Log4j-fejlen – også kendt som Log4Shell – er en softwarekomponent snarere end et stykke software, hvilket betyder, at det vil være meget mere kompliceret at lappe.
Log4Shell er dårlige nyheder i dag og vil sandsynligvis lure i virksomhedssystemer i årevis på trods af store bestræbelser fra den amerikanske regering, store teknologiske bidragydere og open source-bidragydere for at afhjælpe mangler i det originale Log4J version 2-projekt, dets implementering i store softwareprodukter og dets udrulning i hundredvis af millioner af virksomhedsapplikationer, servere og internetvendte enheder.
LOG4J FEJLDÆKNING – HVAD DU SKAL VIDE NU
Log4j-fejl: Angribere gør tusindvis af forsøg på at udnytte denne alvorlige sårbarhed
Sikkerhedsadvarsel : Ny nul-dag i Log4j Java-biblioteket bliver allerede udnyttet
Log4j RCE-aktivitet begyndte den 1. december, da botnets begynder at bruge sårbarhed
Der er løbende bestræbelser via Apache Foundation på at patche kerne Log4j-projektet, såvel som downstream-bestræbelser fra IBM, Cisco, Oracle, VMware og andre for at patche produkter, der indeholder sårbare versioner af Log4j-komponenten. Google har også udgivet værktøjer til at forhindre udviklere i at bruge sårbare Log4j-versioner i nye builds af open source-software. Og den amerikanske regering har beordret alle føderale agenturer til at lappe eller afbøde Log4Shell inden jul.
Det haster er berettiget. Statssponserede hackere er begyndt at undersøge fejlen for potentielle fremtidige angreb, ifølge Microsoft og Google, mens cyberkriminelle er ved at finde ud af, hvordan de kan drage fordel af det. I mellemtiden bekræftede det belgiske forsvarsministerium et angreb på dets netværk ved hjælp af Log4j-fejlen.
Nøgleudfordringer NCSC skitserer omfatter organisationer, der finder ud af, hvilke tjenester der bruger Log4j; identificere hvilke af disse tjenester en organisation bruger; og derefter finde ud af, om disse tjenester er sårbare. CISA har allerede krævet, at alle amerikanske føderale agenturer opregner alle eksternt vendte enheder med Log4j installeret. Det er ikke en lille opgave, især i betragtning af antallet af berørte produkter fra Cisco, IBM, Oracle og VMware. På grund af komponentens udbredte brug i andre produkter, vurderer CISA, at hundredvis af millioner af enheder verden over er eksponeret.
“Hvor bekymrede skal boards være?” spørger NCSC.
Meget, medmindre en virksomhed har råd til forstyrrelser i sin drift fra ransomware. Selvom Microsoft ikke har fundet forekomster af den mere farlige menneske-drevne ransomware, der bruger sårbarheden, har det set iranske trusselsaktører forberede sig på at bruge det til ransomware-angreb.
NCSC har stillet 10 spørgsmål til bestyrelser, der er bekymrede over fejlen:
Hvem leder i vores reaktion? Hvad er vores plan? Hvordan ved vi, om vi bliver angrebet, og kan vi reagere? Hvilken procentdel af synlighed af vores software/servere har vi? Hvordan håndterer vi skygge-it/apparater? ved, om nøgleudbydere dækker sig selv?Er der nogen i vores organisation, der udvikler Java-kode?Hvordan vil folk rapportere problemer, de finder til os?Hvornår tjekkede vi sidst vores forretningskontinuitetsplaner og kriserespons?Hvordan forhindrer vi teams i at brænde ud?< p>Bestyrelser bør også overveje Log4Shells indvirkning, hvis virksomheden har behov for at afsløre, hvor personlige data blev påvirket, såvel som eventuelle omkostninger forbundet med hændelsesreaktion og genopretning og skade på omdømme.
“At håndtere denne risiko kræver stærkt lederskab, hvor seniorledere arbejder sammen med tekniske teams for i første omgang at forstå deres organisations eksponering og derefter tage passende handlinger.”
NCSC siger, at Log4Shell garanterer, at organisationer skaber et “tigerhold” af kernepersonalet, herunder en leder, for at imødegå truslen. Bestyrelser bør også spørge 'hvad er vores plan?', og for at forstå, hvordan Log4j-problemer vil blive afhjulpet. Bestyrelser bør forstå, at det vil tage uger eller måneder at afhjælpe, ikke dage.
Bestyrelser bør vide, hvordan virksomheden er parat til at reagere på et Log4Shell-angreb, hvis og hvornår det sker, og om virksomheden kan opdage, hvis et sådant angreb finder sted. Det understreger, at bestyrelser bør forstå, hvilken synlighed dens teams har af sårbar software og servere, herunder it-aktiver, der er centralt administreret og ikke-administreret.
LOG4J FEJLDÆKNING – SÅDAN HOLDER DU DIN VIRKSOMHED SIKKER
Log4j zero-day-fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv
Sikkerhedsadvarsel: Ny nul-dag i Log4j Java-biblioteket bliver allerede udnyttet
Log4j-fejl kan være et problem for industrielle netværk “i mange år fremover”
Softwareforsyningskæden er en anden vigtig overvejelse. NSCS anbefaler organisationer at have en “åben og ærlig samtale” med software-as-a-service-leverandører, der måske også forsøger at få styr på, hvilke af deres produkter der er berørt.
Java er et enormt populært programmeringssprog inden for virksomheds-IT, der bruges af anslået 12 millioner udviklere verden over.
“Java-udviklere kan have lovligt brugt Log4j, så det er vigtigt at sikre, at enhver software, der er skrevet, ikke er sårbar,” bemærker NCSC. Som det tidligere er nævnt, leveres Log4j version 2 med Log4j version 2 (Log4j2) populære Apache-frameworks inklusive Struts2, Solr, Druid, Flink og Swift.
Endelig, efter to års understøttelse af fjernarbejde under pandemien, et år med professionelle ransomware-angreb og statssponsorerede angreb på softwareforsyningskæden og de kritiske Exchange Server zero-day sårbarheder, advarer NCSC om, at nogle cybersikkerhedsteams kan lide udbrændthed under Log4Shell-sanering. Dette er en bekymring på bestyrelsesniveau.
“At afhjælpe dette problem vil sandsynligvis tage uger eller måneder for større organisationer. Kombinationen af en situation i konstant udvikling (og potentialet for alvorlige påvirkninger) kan føre til udbrændthed i forsvarere, hvis de ikke er støttet af lederskab,” understregede NSCS.
Sikkerhed
Log4j-trussel: Hvad du har brug for at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle skruet Microsoft Patch tirsdag: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og 'flere ugers' udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Datastyring | CXO | Datacentre