Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 21 december 2021 | Ämne: Säkerhet 
UK National Cyber Security Center (NCSC) uppmanar företagsstyrelser att börja ställa viktiga frågor om hur förberedda de är att mildra och åtgärda det utbredda, kritiska Log4Shell-felet i Java-baserad applikationsfelloggningskomponent Log4j.
NCSC kallar Log4Shell “potentiellt den allvarligaste datorsårbarheten på flera år” och uppmanade företagsstyrelser att behandla detta fel med brådska. Det betonar att Log4j-buggen – även känd som Log4Shell – är en mjukvarukomponent snarare än en mjukvara, vilket betyder att det kommer att vara mycket mer komplicerat att korrigera.
Log4Shell är dåliga nyheter idag och kommer sannolikt att lura i företagssystem i flera år trots stora ansträngningar från amerikanska regeringen, stora tekniker och bidragsgivare med öppen källkod för att åtgärda brister i det ursprungliga Log4J version 2-projektet, dess implementering i stora mjukvaruprodukter och dess implementering i hundratals miljoner företagsapplikationer, servrar och internetanslutna enheter.
LOG4J-FELSTÄCKNING – VAD DU BEHÖVER VETA NU
Log4j-fel: Angripare gör tusentals försök att utnyttja denna allvarliga sårbarhet
Säkerhetsvarning : Ny zero-day i Log4j Java-biblioteket utnyttjas redan
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet
Det pågår pågående ansträngningar via Apache Foundation för att korrigera Log4j-projektet, såväl som nedströms ansträngningar från IBM, Cisco, Oracle, VMware och andra för att korrigera produkter som innehåller sårbara versioner av Log4j-komponenten. Google har också släppt verktyg för att förhindra att utvecklare använder sårbara Log4j-versioner i nya versioner av programvara med öppen källkod. Och den amerikanska regeringen har beordrat alla federala myndigheter att korrigera eller mildra Log4Shell till jul.
Brådskandet är berättigat. Statssponsrade hackare har börjat undersöka buggen för potentiella framtida attacker, enligt Microsoft och Google, medan cyberbrottslingar tar reda på hur de kan tjäna på det. Samtidigt bekräftade det belgiska försvarsministeriet en attack mot sitt nätverk med Log4j-felet.
Viktiga utmaningar som NCSC skisserar inkluderar organisationer som tar reda på vilka tjänster som använder Log4j; identifiera vilka av dessa tjänster en organisation använder; och sedan ta reda på om dessa tjänster är sårbara. CISA har redan krävt att alla amerikanska federala myndigheter ska räkna upp alla externa enheter med Log4j installerat. Det är ingen liten uppgift, särskilt med tanke på antalet berörda produkter från Cisco, IBM, Oracle och VMware. På grund av komponentens utbredda användning i andra produkter, uppskattar CISA att hundratals miljoner enheter över hela världen är exponerade.
“Hur oroliga bör styrelser vara?” frågar NCSC.
Mycket, om inte ett företag har råd med störningar i sin verksamhet från ransomware. Även om Microsoft inte har hittat instanser av den farligare mänskligt drivna ransomware som använder sårbarheten, har de sett iranska hotaktörer göra sig redo för att använda den för ransomware-attacker.
NCSC har ställt 10 frågor till styrelser som är oroliga för felet:
Vem leder i vårt svar?Vad är vår plan?Hur vet vi om vi blir attackerade och kan vi svara?Vilken procentuell synlighet av vår programvara/servrar har vi?Hur tar vi itu med skugg-IT/apparater?Går vi till vet om nyckelleverantörer täcker sig? Är det någon i vår organisation som utvecklar Java-kod? Hur kommer människor att rapportera problem de hittar till oss? När kontrollerade vi senast våra affärskontinuitetsplaner och krishantering? Hur förhindrar vi att team brinner ut?< p>Styrelser bör också överväga Log4Shells inverkan om företaget behöver avslöja var personuppgifter har påverkats, såväl som eventuella kostnader kopplade till incidentrespons och återhämtning, och skada på rykte.
“Att hantera den här risken kräver ett starkt ledarskap, med högre chefer som arbetar tillsammans med tekniska team för att initialt förstå sin organisations exponering och sedan vidta lämpliga åtgärder.”
NCSC säger att Log4Shell garanterar att organisationer skapar ett “tigerteam” kärnpersonal, inklusive en ledare, för att ta itu med hotet. Styrelser bör också fråga “vad är vår plan?”, och för att förstå hur Log4j-problem kommer att åtgärdas. Styrelser bör förstå att detta kommer att ta veckor eller månader att åtgärda, inte dagar.
Styrelser bör veta hur företaget är berett att reagera på en Log4Shell-attack om och när den inträffar, och om företaget kan upptäcka om en sådan attack skulle äga rum. Den betonar att styrelser bör förstå vilken synlighet deras team har för sårbar programvara och servrar, inklusive IT-tillgångar som är centralt hanterade och ohanterade.
LOG4J FELTETÄCKNING – HUR DU HÅLLER DITT FÖRETAG SÄKERT
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig
Säkerhetsvarning: Ny nolldag i Log4j Java-biblioteket utnyttjas redan
Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”
Programvaruförsörjningskedjan är en annan viktig faktor. NSCS rekommenderar organisationer att ha en “öppen och ärlig konversation” med mjukvaruleverantörer som kanske också försöker få grepp om vilka av deras produkter som berörs.
Java är ett enormt populärt programmeringsspråk inom företags-IT som används av uppskattningsvis 12 miljoner utvecklare över hela världen.
“Java-utvecklare kan ha använt Log4j på ett legitimt sätt, så det är viktigt att se till att all programvara som skrivs inte är sårbar”, noterar NCSC. Som det tidigare har noterats levereras Log4j version 2 med Log4j version 2 (Log4j2) populära Apache-ramverk inklusive Struts2, Solr, Druid, Flink och Swift.
Slutligen, efter två år av stöd för fjärrarbete under pandemin, ett år av professionella attacker mot ransomware och statligt sponsrade attacker på mjukvaruförsörjningskedjan och av de kritiska Exchange Server nolldagars sårbarheter, varnar NCSC för att vissa cybersäkerhetsteam kan drabbas av utbrändhet under Log4Shell-sanering. Detta är ett problem på styrelsenivå.
“Att åtgärda det här problemet kommer sannolikt att ta veckor eller månader för större organisationer. Kombinationen av en ständigt föränderlig situation (och potentialen för allvarliga konsekvenser) kan leda till utbrändhet i försvarare, om de inte stöds av ledarskap,” betonade NSCS.
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig Ransomware 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjas för att sprida Emotet skadlig programvara Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Datahantering | CXO | Datacenter