Forrester:攻击者可能会利用Log4j脆弱性数月
Log4j的脆弱性,一个流行的软件工具所使用的大多数互联网,给攻击者哪个系统上运行自己的代码的能力目标。虽然我们还没有看到完整的不利影响此漏洞,攻击者可能会利用这几年,与攻击的形式展示自己ransomware或其他类型的网络攻击。
此外,数以百万计的应用程序使用Log4j。因此,如果一个软件使用的许多应用程序有漏洞,那么所有应用程序使用该软件在风险。鉴于Log4j的全球影响,许多应用程序使用定期受到影响,包括Minecraft, Cloudflare iCloud。
作为回应,Forrester分析师大纲Log4j漏洞的危害和安全团队应该采取的步骤来保护自己免受攻击。
Forrester副总裁和首席分析师杰夫•波拉德:
“CISOs, Log4j公司使用的产品和服务,构建,和销售。当任何触动那些方面的公司,董事会将提问。不要等到他们来你和反应。而不是主动配备他们需要的信息。包括底漆为什么Log4j事项包括:
- 它有多普遍。
- 到目前为止采取的行动。
- 行动开始。
- 行动计划。
- 任何障碍你预见和所需要解决这些问题。
“这些项目向董事会提供上下文在三个方面:你的公司的地位;你的客户的状态;和你的合作伙伴的地位。这说明你的方法如何安全包含了你的公司运作的生态系统和整体重视业务的潜在影响,不仅对安全计划的影响。”
Forrester分析师艾莉Mellen:
“这个漏洞太危险,因为它的大规模;数以百万计的应用程序使用Log4j。应用程序在互联网上是一个复杂的系统的互联性,这使得它很难知道应用程序可能会受到影响,甚至你自己的。即使你的软件并不直接使用Log4j,你可以用别人的软件,和不知道。
“这个漏洞将用几个月甚至几年来攻击企业,这就是为什么安全团队必须趁热打铁。补丁任何国产软件,使用Log4j和协调与所有供应商,以确保他们不受影响或得到及时修补。给你的安全操作中心(SOC)的态势感知它需要知道应用程序和资产影响,应对每一个警报,从其中的一个系统。
“到目前为止,我们已经看到这个漏洞被攻击者利用希望部署cryptominers或建立僵尸网络。这仅仅是冰山的一角,可以肯定的是攻击者是构建更复杂的攻击链进一步利用此漏洞和攻击小偷ransomware和信息。
“有大量的安全都是跨职能团队。应对这个漏洞,我们建议安全团队在三个桶分而治之:预防和检测、供应商风险管理和沟通:
- 接触它,DevOps识别所有本土应用程序受到这个漏洞补丁这些系统和建立一个计划。
- 参与,您的业务应用程序团队接触供应商找出如果他们受到这种脆弱性的影响,如果是这样,他们修补时间表是什么样子。它和安全必须共同努力开发自己的修补和测试计划来确保任何更新不会影响业务连续性。
- 任何客户沟通任何面临的外部应用程序的状态,以确保他们知道系统可能受到影响,哪些不是。沟通策略,组织和董事会。直接从CISO的沟通是至关重要的与其他组织和继续建设的领导。
“最近宣布,联邦贸易委员会组织必须解决Log4j漏洞,避免法律诉讼。他们用公告的Equifax结算作为一个例子。除非一个巨大,公共违反大公司通过利用这个漏洞,执行这个警告将会是一个复杂的任务。然而,它的潜在影响的另一个方面是利用此漏洞,企业应当三思而后行。是至关重要的,以确保您的组织使用的软件是对这个漏洞打补丁的更多的原因而不是一个。我们还没有见过美国联邦贸易委员会主动预警公司应该针对特定的漏洞修补或风险法律行动在发生违反…直到现在。这个动作由联邦政府提出的组织和推动他们优先考虑改善企业安全,否则将面临法律诉讼,可以终止企业的事件。”
Forrester Seni或分析人员真主安拉瓦伦特:
”更多的细节肯定会出现在未来的几周内,但从我们知道现在有一件事是清楚的:开源软件风险管理已经跟不上开源使用公共和私营部门之间的繁荣。没有风险管理策略,公司没有预算或他们需要的资源,而且,事后,他们应该能够有效地处理Log4j。”
Forrester首席分析师桑迪Carielli:
“从DevSecOps角度来说,限制风险Log4j和未来的弱点意味着知道什么是在你的软件和自动化来轻松升级。理解和控制软件在你的产品,你需要集成开发管道工具:脆弱的库报告在你的软件;在如何解决这些问题提供指导;和制定政策来阻止和警报当你试图脆弱或高风险库添加到您的项目。
“在Log4J的情况下,一个完整的软件成分分析(SCA)工具应该找到所有脆弱Log4J的实例,优先考虑他们基于你的产品如何调用组件,建议升级到固定版本,提供自动化做出尽可能无缝升级,做所有的开发人员的原生环境。许多SCA解决方案扩展到更广泛的供应链问题推荐升级组件失效时,过时或凋敝。
“在保护方面,web应用程序防火墙(WAF)供应商迅速推出新规则来帮助检测和阻止Log4j利用未遂。接受并自动快速激活这些新规则——如果可能的话。如果你有部署运行时应用程序自我保护(锉)在任何应用程序的了解,解决方案可能已经检测和阻止代码执行。”
安排这些Forrester分析师的采访,请联系press@forrester.com。