Donna professionista IT su un tablet

Tôi chắc rằng bạn đã nghe về lỗ hổng Logj4. Đây là một trong những sự kiện bảo mật lớn đã định hình các cuộc thảo luận về bảo mật trong vài tháng qua. Nó đã được đưa tin, xoay quanh cái mà tôi gọi là vòng đời sợ hãi, không chắc chắn và nghi ngờ. Điều này có nghĩa là chúng tôi nêu rõ vấn đề và sau đó cố gắng bán thứ gì đó dựa trên vấn đề đó. Một đồng nghiệp của tôi, Chris Cochran, gọi những động tác này là vũ điệu báo động an ninh. Thật xấu hổ, vì lỗ hổng Log4j nên được xem xét rất nghiêm túc.

Log4j là gì?

Log4j là một tiện ích ghi nhật ký mạnh mẽ được sử dụng để giám sát và theo dõi các cuộc gọi hệ thống trong máy chủ web (và các công cụ khác) để ghi lại các hoạt động. Mã Log4j được tạo bởi một dự án mã nguồn mở do Apache Software Foundation quản lý.

Mã được nhúng sâu vào các hệ thống và công cụ mà tất cả chúng ta sử dụng hàng ngày. Nó phổ biến như nó là mơ hồ. Mặc dù bạn có thể chưa bao giờ nghe nói về nó cho đến tháng 12 năm 2021, nhưng nó đã – và sẽ tiếp tục – được sử dụng bởi hàng triệu máy chủ web, nền tảng trò chơi và các dịch vụ khác trên mạng. Nó được tìm thấy trong các máy chủ web Apache Tomcat, nền tảng trò chơi Minecraft, Apple iCloud, Amazon Web Services (AWS) và hơn thế nữa.

Các tổ chức sử dụng Apache Tomcat bao gồm hàng triệu người. Chúng ta đang nói về hầu như mọi chính phủ, công ty lớn và doanh nghiệp nhỏ trong mọi thị trường dọc. Các ngân hàng và nhà sản xuất lớn sử dụng các dịch vụ sử dụng Log4j ngày này qua ngày khác. Nó đại diện cho một bề mặt tấn công lớn, có tác động trên mọi lĩnh vực, từ tài chính đến chuỗi cung ứng sản xuất.

Tại sao lỗ hổng Log4j lại là vấn đề lớn?

Lỗ hổng Logj4 là một sự kiện rất quan trọng. Đây là một lỗ hổng và mối đe dọa nghiêm trọng sinh ra phần mềm khai thác thực sự và dẫn đến các sự cố bảo mật thực tế. Nhưng nó quan trọng vì hai lý do nữa, đó là:

  1. Kẻ xúi giục chính đầu tiên của sự mệt mỏi cảnh báo an ninh
  2. Cơ hội để cộng đồng CNTT và nhà phát triển thực hiện một vài thay đổi

Log4j và Năm điều kiện lớn

Một lỗ hổng như Log4j trở thành một vấn đề nghiêm trọng khi nó đáp ứng các điều kiện sau:

  1. Tính phổ biến: Nếu bạn là kẻ tấn công, bạn thường muốn khai thác mã được tìm thấy ở mọi nơi.
  2. Tác động: Những kẻ tấn công thích mã cho phép chúng thực thi mã ngẫu nhiên theo ý muốn. Trong trường hợp này, có thể sử dụng khai thác Log4j để thực hiện một số cuộc tấn công mạnh mẽ, bao gồm khả năng đánh cắp dữ liệu, thao túng dữ liệu hoặc tiến hành các cuộc tấn công DDoS.
  3. Dễ sử dụng: Khi kẻ tấn công xác định được Log4j, việc tạo mã để khai thác nó tương đối dễ dàng.
  4. Khả năng mở rộng: Có thể tự động hóa quá trình quét và tấn công Log4j bằng cách sử dụng tập lệnh đơn giản hoặc quá trình quét hỗ trợ AI tinh vi.
  5. Ít người biết: Với lỗ hổng log4j, sự cố xảy ra trong một cơ sở ghi nhật ký không rõ ràng được nhúng sâu trong máy chủ web. Lỗ hổng cụ thể này không hiển thị hoặc dễ dàng nhận ra như lỗ hổng EternalBlue, vốn dễ dàng liên kết với các hệ điều hành Windows cụ thể hơn. Với Log4j, vấn đề khó xác định, cách ly và loại bỏ hơn.

Với các yếu tố trên, phạm vi của lỗ hổng dẫn đến rất nhiều lo lắng chính đáng. Nó cũng dẫn đến rất nhiều sợ hãi, không chắc chắn và nghi ngờ bên cạnh các động tác an ninh điển hình mà nhiều người đã cố gắng khai thác.

Những bước nhảy an ninh tiêu biểu

Bất cứ khi nào phát hiện ra lỗ hổng, bước nhảy đầu tiên là đổ lỗi cho ai đó. Trong những năm qua, động thái này trông giống như:

  • Công ty hoặc dự án tạo ra phần mềm đó là nguyên nhân
  • Mã nguồn mở là thủ phạm
  • Nguồn đóng là thủ phạm
  • Đó là một vấn đề chuỗi cung ứng
  • Những người không cập nhật là vấn đề
  • Mua thứ gì đó để giải quyết vấn đề Đã đến lúc vượt ra ngoài những bước nhảy đơn giản này và chuyển sang một số động tác độc đáo.

Vượt qua sợ hãi, không chắc chắn và nghi ngờ

Nếu tổ chức của bạn đã tương đối trưởng thành và đã có sẵn một vài trong số những điều trên, thì bạn có thể theo dõi và giảm thiểu vấn đề này. Vấn đề là, không phải mọi tổ chức đều có các quy trình trưởng thành, và thậm chí tệ hơn, nhiều tổ chức nghĩ rằng họ có các quy trình trưởng thành, nhưng không phải vậy. Tôi nhận thấy rằng việc thoát khỏi vũ điệu cảnh báo bảo mật liên quan đến các giải pháp ngắn hạn, dài hạn và thậm chí dài hạn hơn.

Các giải pháp ngắn hạn bao gồm khả năng:

  • Theo dõi và trực quan hóa: Chúng tôi cần các nhà phân tích bảo mật biết cách tìm kiếm các dấu hiệu thỏa hiệp. Điều đó quan trọng hơn việc vá phần mềm hoặc cập nhật hệ thống phát hiện xâm nhập. Giám sát và phản hồi tinh vi là những cách hiệu quả nhất để chống lại các cuộc tấn công bắt nguồn từ các lỗ hổng bảo mật mà chúng tôi buộc phải tiếp tục tìm kiếm trong phần mềm ít người biết đến nhưng hữu ích.
  • Vá lỗi: Vâng, chúng tôi phải tiếp tục vá lỗi. Nhưng nó không phải là giải pháp duy nhất.
  • Tự động hóa: Chúng tôi cần những nhân viên biết cách tự động hóa nhanh chóng cả quy trình vá lỗi và quy trình cảnh báo bảo mật. Các giải pháp dài hạn bao gồm:
  • Phân đoạn vi mô: Tôi không nói về việc chỉ sử dụng mạng LAN ảo hoặc sử dụng các giải pháp Tường lửa Ứng dụng Web (WAF) điển hình. Phân đoạn vi mô cho phép các tổ chức tạo ra nhiều cơ hội kiểm tra chi tiết hơn đối với các ứng dụng và dữ liệu. Nó cải thiện và hoàn thiện quá trình giám sát và trực quan hóa.
  • Kiểm tra nghiêm ngặt hơn: Chúng tôi cần những người kiểm tra bút và nhà phân tích bảo mật giỏi tham gia vào quá trình làm mờ và kiểm tra các ứng dụng để tìm ra các lỗi phần mềm ẩn sâu này.

Các giải pháp dài hạn hoàn thiện hơn

Giải pháp phức tạp hơn là hoàn thiện vòng đời phát triển. Chúng ta cần giành quyền kiểm soát quá trình phát triển phần mềm. Điều này, tất nhiên, có thể mất một thời gian.

Thực tế là hầu hết các nhà phát triển không biết về bảo mật hoặc không có đủ thời gian trong các dự án để thực hiện các thực hành mã hóa an toàn là vấn đề. Bỏ qua động lực này đã tạo ra phần lớn cơn ác mộng bảo mật hiện tại của chúng tôi.

Nhiều năm trước, Eric Raymond đã cho chúng ta Định luật Linus trong cuốn sách The Cathedral and the Bazaar của ông. Nó nói rằng, Cho đủ mắt, tất cả các lỗi đều nông cạn. Trong trường hợp này, có vẻ như một số nhà lãnh đạo dự án nguồn mở đã không dành đủ sự quan tâm cho mã của họ.

Nhưng các nhà phát triển không thực sự biết những gì để tìm kiếm. Đôi mắt của họ không được giáo dục đủ để thực sự nhận ra những gì họ đang nhìn thấy. Các nhà phân tích bảo mật cũng gặp khó khăn trong việc hình dung những gì đang diễn ra.

Đây là lý do tại sao nhiều nhà phát triển hiện đang được đào tạo về bảo mật. Nghiên cứu gần đây về các chứng chỉ bảo mật CompTIA cho thấy rằng nhiều nhà phát triển hơn bao giờ hết đã lấy CompTIA Security+ chẳng hạn. Tại sao? Bởi vì điều quan trọng đối với các nhà phát triển là hiểu được ý nghĩa bảo mật và quyền riêng tư của các quyết định mà họ đưa ra khi họ viết mã.

Giải pháp dài hạn này cho phép các nhà phân tích bảo mật, chuyên gia đánh giá lỗ hổng và kiểm tra bút (VAPT), nhà phát triển và chuyên gia vận hành làm việc cùng nhau hiệu quả hơn. Khi điều đó xảy ra, cuối cùng chúng ta sẽ có thể tránh tham gia vào vũ điệu cảnh báo an ninh.

Trên đây là thông tin về Beyond The Security Alert Dance: Learn Some Useful Steps. làm cho correcty.net biết trong phần nhận xét cái nào phù hợp với bạn. Tương tự như vậy, tất cả các truy vấn của bạn đều được hoan nghênh trong phần bình luận bên dưới.