Udgivet den af Ole Schmitto

Log4J hvor langt er du?

Vulnerability management

Alle blev “taget med bukserne nede” lige inden juleferien, da sårbarheden i Log4J blev kendt.

Det gik op for alle, at dette var et kæmpe problem. Man kan jo bare følge den liste som det hollandske nationale center for cybersikkerhed har udgivet på GitHub og som stadig opdateres.

De største udfordringer.

  • Find ud af hvilke services der bruger Log4j komponenter.
  • Hvilke af disse er i brug i din virksomhed?
  • Er disse services sårbare?

Hvad blev resultaterne?

Mange har måtte konstatere, at de ikke har den indsigt i deres enheder. De kan ganske enkelt ikke se denne type detaljer om deres infrastruktur. Flere har også oplevet at enheder på internettet allerede er inficerede. Udnyttelsen af sårbarheden begyndte med det samme, via automatiserede angreb.

Virksomhedens bestyrelse blev involveret.

En bestyrelse bør jo informeres omkring kendte risici fra virksomhedens ledelse, hvad enten det er økonomi, dårlige sags tal, problemer med produktionen eller IT-SIKKERHED .

Så de virksomheder der i det mindste anerkendte, at de ikke anede, om der var et problem eller ej, informerede deres bestyrelse.

Det Engelske National Cyber Security Centre udgav en vejledning til bestyrelser Log4j critical vulnerability advice for boards – NCSC.GOV.UK. Heri skriver de også, “Hvad bør en bestyrelse spørge IT afdelingen omkring”. Og her lister de så 10 områder man kan spørge ind til.

  1. Hvem er ansvarlig for projektet?
  2. Hvad er planen?
  3. Hvordan vil vi vide, hvis vi bliver angrebet, og kan vi respondere?
  4. Hvor stor er vores procentvise viden om vores Software/servere som er identificeret med Log4J?
  5. Hvordan behandler vi de enheder, hvor vi ikke ved om de har det, og som vi ikke kender?
  6. Ved vi om vores leverandører er beskyttet?
  7. Udvikler vi selv Java kode?
  8. Hvordan kan eventuelle eksterne kontakte os, hvis de finder noget i vores infrastruktur?
  9. Hvornår checkede vi sidst vores beredskabsplan?
  10. Hvordan sikrer vi, at de ansatte der arbejder på projekter, guides og vejledes så de ikke får stress?

Du kan se listen med deres kommentarer her.

Er det overstået nu?

Nej, mange virksomheder har stadig udfordringer med at identificere hvor Log4J anvendes i deres infrastruktur. Dernæst kan det tage måneder at udbedre.

Hvad bør jeg gøre?

Vulnerability management er en “ældgammel” disiplin, som rigtig mange forsømmer. Alle ved man bør gør det regelmæssigt. Mange har idag rimelig styr på opdatering af operativsystemer, såsom Windows, og mener dermed at de kan sætte OK ved Vulnerability management.

Når bestyrelsen så kommer og spørger, om der er styr på alle også 3. parts applikationer, hvortil Log4J hører under, hvad svarer du så?

Har du et samlet overblik over software i hele infrastrukturen, hvad enten det er Klienter, Servere, Cloud løsninger, Netværk og IoT? Hvis ikke, bør du finde en løsning, som stort set i realtid kontinuerligt kan give dig den nødvendige info og status.