Siber güvenlik panelinden gelen açılış raporu, önemli güvenlik açığının ortaya çıkardığı güçlü ve zayıf yönleri özetliyor
Açık kaynak kütüphanesi Log4j’deki ‘Log4Shell’ güvenlik açığı “endemik” oranlara ulaştı ve çığır açan bir ABD hükümetinin raporuna göre artçı sarsıntı “on yıl veya daha uzun süre” yankılanabilir.
Siber Güvenlik İnceleme Kurulu (CSRB) tarafından hazırlanan açılış raporu, kuruluşların ve devlet kurumlarının ağlarını ve uygulamalarını tehdide karşı nasıl destekleyebileceklerine ilişkin 19 öneri sağladı.
CSRB, Şubat 2022’de, bir yıl önce Başkan Biden tarafından imzalanan siber güvenlik odaklı bir Yürütme Kararı uyarınca İç Güvenlik Bakanlığı (DHS) tarafından kuruldu.
Kamu-özel girişimi, ciddi siber güvenlik olaylarını gözden geçirmek ve hükümete, sektöre ve bilgi güvenliği topluluğuna stratejik öneriler sunmakla görevlendirilmiştir.
‘Dönüşüm kurumu’
Aralık 2021’de ortaya çıkan Log4Shell güvenlik açığı, maksimum CVSS önem puanı 10 olan süper kritiklik ve Log4j’nin sayısız uygulamaya Java tabanlı günlük kaydı sağlama konusunda neredeyse her yerde bulunması nedeniyle muazzam saldırı yüzeyinin güçlü bir kombinasyonunu sunuyor.
İç Güvenlik Bakanı Alejandro Mayorkas, CSRB’nin “siber direncimizi benzeri görülmemiş şekillerde geliştirecek dönüştürücü bir kurum” olduğunu ve raporunun “siber direncimizi güçlendirmeye ve toplu güvenliğimiz için hayati önem taşıyan kamu-özel ortaklığını ilerletmeye yardımcı olacağını” söyledi. ”.
Synopsys Siber Güvenlik Araştırma Merkezi’nin baş güvenlik stratejisti Tim Mackey, raporun “bir siber olayın bu kadar hızlı bir şekilde etkisinin ve temel nedenlerinin kapsamlı bir incelemesini” sağlaması açısından olağandışı olduğunu söyledi.
OKUMAYI UNUTMAYIN Blitz.js’deki prototip kirliliği uzaktan kod yürütülmesine neden oluyor
14 Temmuz’da yayınlanan CSRB raporu (PDF), “Log4j’nin savunmasız örnekleri, önümüzdeki yıllarda, belki de on yıl veya daha uzun süre sistemlerde kalacaktır. Önemli risk devam ediyor.”
Log4j’nin bakımını yapan Apache Software Foundation, “iyi kurulmuş yazılım geliştirme yaşam döngüsü” ve hızlı bir şekilde yamalar yayınlamada “sorunun kritikliğini fark ettiği için” övgüyle karşılandı.
Rapor ayrıca, satıcılar ve hükümetler tarafından etkili rehberlik, araçlar ve tehdit bilgilerinin hızlı bir şekilde üretilmesini de övdü.
Bununla birlikte, tedarik zincirinin daha aşağılarında, “kuruluşlar hala olaya yanıt vermekte zorlanıyor ve savunmasız yazılımları yükseltmenin zor işi birçok kuruluşta tamamlanmış olmaktan çok uzak”.
Ayrıca etkinlik, CSRB’nin hem kamu hem de özel sektör paydaşlarından daha fazla desteğe ihtiyaç duyduğunu söylediği “zayıf kaynaklı, gönüllü tabanlı açık kaynak topluluğuna özgü güvenlik risklerini” vurguladı.
‘İnanması zor’
Rapor, CSRB’nin “kritik altyapı sistemlerine yönelik önemli Log4j tabanlı saldırıların farkında olmadığını” ve düşmanca istismarın “birçok uzmanın tahmin ettiğinden daha düşük seviyelerde gerçekleştiğini” söyledi.
Bununla birlikte, güvenlik sağlayıcısı Cerby’nin baş güven görevlisi Matt Chiodi, bu iddiaları “inanması çok zor” buldu ve – CSRB’nin kendisinin de kabul ettiği gibi – kuruluşların ciddi güvenlik açıklarından yararlanıldığını bildirmek zorunda olmadığını belirtti.
En son Log4j güvenlik açığı haberlerini ve analizlerini okuyun
Chiodi ayrıca, devam eden Log4j risklerini azaltmayı ve proaktif bir güvenlik açığı yönetim modeline geçişi kapsayan tavsiyelerin “şirketlerin mevcut formlarında uygulayamayacakları kadar anlaşılmaz” olduğunu da söyledi.
Kuruluşlara “varlıklarınızı tanıma ve sıfır güven mimarisine geçme konusunda son derece ciddi olmalarını” tavsiye etti ve “çoğu kuruluşun, özellikle “bulutta yerel uygulamalar” ile ilgili olarak korkunç varlık yönetimi uygulamalarına sahip olduğunu belirtti.
Bu arada Mackey, “tüketicileri bir sorun hakkında uyarmak için ticari bir satıcıya güvenmek, satıcının açık kaynak kullanımlarını düzgün bir şekilde yönettiğini ve etkilenen yazılımlarının tüm kullanıcılarını tanımlayabildiğini ve uyarabildiğini varsayar – destek olsa bile – uyarıda bulundu. o yazılım sona erdi.”
Bunu akılda tutarak, “yazılım tüketicileri, kendilerine verilen yazılımın yamalanmamış güvenlik açıkları içerip içermediğini doğrulamak için bir güven ama doğrula modeli uygulamalıdır”.
İLİŞKİLİ Süper kritik güvenlik açıkları için erken uyarı sistemi sağlamak üzere Hata Uyarısı başlatıldı