CSRB har släppt en rapport som säger att Log4j-utnyttjandet är här för att stanna på lång sikt, vilket betyder att företag bör vara redo i händelse av en cyberattack.
Cyber Safety Review Board (CSRB) kallade nyligen log4j säkerhetsexploatet som en “endemisk sårbarhet” som kommer att dröja kvar i flera år, enligt en rapport som släpptes på 11 juli 2022. Sårbarheten i sig upptäcktes redan i december 2021, vilket kräver lite eller ingen hackkompetens för att kunna dra fördel av luckan i säkerhetsåtgärder.
Måste läsa säkerhetstäckning
“Vi befinner oss i en betydande tidpunkt inom teknik- och cybersäkerhetsindustrin och CSRB:s resultat signalerar en riktning för framtiden”, säger Daniel Trauner, senior chef för säkerhet på Axonius. “Vid någon tidpunkt kommer vi att se ännu mer synlig användning av Software Bill of Materials (SBOM) rapporter. Precis som FDA förväntar sig att konsumenter ska kunna hålla sig informerade om vad de stoppar i sina kroppar genom standardiserade näringsfaktaetiketter med tydliga listor över ingredienser, kommer företag och andra enheter som använder programvara att vilja ha – och i slutändan behöva – transparens om vad går in i programvaran de använder.”
CRSB:s fynd på Log4j
Log4j-sårbarheten, även känd som Log4Shell, är ett Java-baserat loggningsramverk med öppen källkod som samlar in och hanterar information om systemaktivitet. Förutom att den är enkel att använda är filen både gratis att ladda ner och extremt effektiv. Bland Java-utvecklare har denna mjukvara också bäddats in i tusentals andra programvarupaket. Den enkla användningen har gjort att vissa hackare vill utnyttja många programvaror som ännu inte har korrigerats som en del av Log4j.
Misstaget hittades och publicerades som proof-of-concept av en ingenjör för Alibabas molnsäkerhetsteam. Detta blev ett allvarligt problem den 9 december 2021 efter att sårbarheten offentliggjordes, eftersom forskare vid Cloudflare fann att det gjordes 400 skanningar per sekund för att försöka dra fördel av komprometterade system som använder programvaran. Säkerhetsproffs sedan dess har gjort det till en prioritet att minska den potentiella risken för att denna exploatering är lätt och allmänt tillgänglig för massorna.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Tips för att skydda dig mot Log4j-missbruket
För att förbereda sig för de långsiktiga effekterna som orsakas av denna sårbarhet rekommenderar CSRB följande tips för organisationer att följa:
- Ta itu med fortsatta risker med Log4j
- Driv befintliga bästa praxis för säkerhetshygien
- Bygg ett bättre mjukvaruekosystem
- Investera i framtiden
Genom att förbereda sig för att ta itu med Log4j-sårbarheten på lång sikt kan organisationer göra ett bättre jobb med att både observera och rapportera åtgärder till rätt myndigheter för övervakningsändamål. Detta kommer att göra det möjligt för de erforderliga myndigheterna att samla in de uppgifter som behövs för att hantera exploateringen i realtid.
Även om dessa ytterligare tips borde komma till nytta, har andra cybersäkerhetsexperter kritat upp exploateringen till företag som helt enkelt har dåliga säkerhetsrutiner och -vanor. Att förstå vilken information och vilken data som skyddas kan leda till utveckling av bättre cyberförsvarsmetoder på vägen.
“Vad som ligger bakom är att de flesta organisationer har fruktansvärda kapitalförvaltningsmetoder. Enkelt uttryckt, om du inte vet vad du har kan du omöjligt säkra det”, säger Matt Chiodi, chief trust officer på Cerby. “Asset management är extremt svårt, särskilt när du tar hänsyn till molnapplikationer. När det kommer till dina egna hemodlade applikationer i molnet håller utvecklare sällan reda på vilka programvarukomponenter de använder. För SaaS-applikationer måste du räkna med att leverantören vet vad de har utvecklat och vilka programvarukomponenter som används. Det här handlar om säkerhet för mjukvaruförsörjningskedjan, som är bruten idag.”
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
Vi är nu på Telegram. Klicka här för att gå med i vår kanal (@TechiUpdate) och hålla dig uppdaterad med de senaste teknikrubrikerna.
För alla de senaste tekniknyheterna klicka här
För de senaste nyheterna och uppdateringarna, följ oss på Google Nyheter.
Läs originalartikeln här
Förnekande av ansvar! NewsAzi är en automatisk aggregator runt globala medier. Allt innehåll är tillgängligt gratis på Internet. Vi har just ordnat det i en plattform endast för utbildningsändamål. I varje innehåll anges hyperlänken till den primära källan. Alla varumärken tillhör deras rättmätiga ägare, allt material till deras upphovsmän. Om du är ägare till innehållet och inte vill att vi ska publicera ditt material på vår webbplats, vänligen kontakta oss per mejla – [email protected]. Innehållet kommer att raderas inom 24 timmar.
