آسیب پذیری گسترده ای که برای اولین بار در Apache Log4j در سال 2021 ظاهر شد همچنان مورد بهره برداری قرار خواهد گرفت، به طور بالقوه حتی به روش هایی بدتر از آنچه تا به امروز دیده ایم. جنبه نگرانکنندهتر این تهدیدها این است که این احتمال وجود دارد که ماهها یا سالها در آینده مورد بهرهبرداری قرار گیرند.
هیئت بررسی ایمنی سایبری وزارت امنیت داخلی در سال 2021 آغاز به کار کرد و در سال 2022 آن را منتشر کرد. گزارش ایمنی افتتاحیه (PDF). در آن، هیئت مدیره Log4j را یک «آسیبپذیری بومی» نامید، عمدتاً به این دلیل که «فهرست مشتریان» جامعی برای Log4j وجود ندارد و حفظ آسیبپذیریها را یک کار تقریباً غیرممکن میسازد. یک بخش کابینه فدرال حتی 33,000 ساعت را برای پاسخ Log4j خود صرف کرد.
بسیاری از سازمانها و راهحلهای امنیتی موجود در بازار قادر به شناسایی تفاوت بین قابلیت بهرهبرداری و آسیبپذیری نیستند و فرصتی را برای مهاجمان ایجاد میکند تا فعالیتهای مخرب را انجام دهند.
بهره برداری در مقابل آسیب پذیری
امروزه یکی از مسائل کلیدی امنیت سایبری، درک تفاوت بین آسیبپذیریها و شدت آنها است. وقتی نوبت به اندازهگیری قابلیت بهرهبرداری در مقابل آسیبپذیری میرسد، تفاوت زیادی بین اینکه آیا یک تهدید امنیتی در کسب و کار شما قابل بهرهبرداری است یا اینکه فقط «آسیبپذیر» است و نمیتواند مانع کسبوکار شود یا به یک دارایی حیاتی برسد، وجود دارد. تیمهای امنیتی زمان زیادی را صرف درک تفاوت بین این دو نمیکنند و هر آسیبپذیری را بهجای اولویتبندی آسیبپذیریهایی که قابل بهرهبرداری هستند، برطرف میکنند.
هر شرکتی هزاران آسیبپذیری و مواجهه مشترک (CVE) دارد که بسیاری از آنها در سیستم امتیازدهی رایج آسیبپذیری (CVSS) امتیاز بالایی کسب میکنند، بنابراین رفع همه آنها غیرممکن است. برای مبارزه با این، امید این است که ابزارهای مدیریت آسیبپذیری مبتنی بر ریسک (RBVM) با روشن کردن موارد قابل بهره برداری، اولویت بندی را آسان تر کنید.
با این حال، رویکردهای اولویتبندی امنیتی که امتیازات CVSS را با اطلاعات تهدید RBVM ترکیب میکنند، نتایج مطلوبی را ارائه نمیدهند. حتی پس از فیلتر کردن و نگاه کردن به مواردی که در طبیعت قابل بهره برداری است، تیم های امنیتی هنوز کارهای زیادی برای رسیدگی دارند زیرا لیست طولانی و غیرقابل مدیریت است. و فقط به این دلیل که یک CVE امروز یک اکسپلویت ندارد، به این معنی نیست که هفته آینده آن را نخواهد داشت.
در پاسخ، شرکتها هوش مصنوعی ریسک پیشبینیکننده را اضافه کردهاند که میتواند به کاربران کمک کند تا درک کنند که آیا CVE ممکن است در آینده مورد سوء استفاده قرار گیرد یا خیر. این هنوز کافی نیست و منجر به مشکلات زیادی برای رفع می شود. هزاران آسیبپذیری همچنان نشان میدهند که دارای یک اکسپلویت هستند، اما بسیاری از آنها مجموعههای دیگری از شرایط را خواهند داشت که برای بهرهبرداری واقعی از مشکل باید برآورده شوند.
به عنوان مثال، با Log4j، پارامترهای زیر باید شناسایی شوند:
- آیا کتابخانه آسیب پذیر Log4j وجود دارد؟
- آیا توسط یک برنامه جاوا در حال اجرا بارگذاری می شود؟
- آیا جستجوی JNDI فعال است؟
- آیا جاوا به اتصالات از راه دور گوش می دهد و آیا اتصالی برای ماشین های دیگر وجود دارد؟
اگر شرایط و پارامترها برآورده نشدند، آسیب پذیری حیاتی نیست و نباید اولویت بندی شود. و حتی اگر یک آسیب پذیری می تواند روی یک ماشین قابل سوء استفاده باشد، پس چه؟ آیا آن ماشین بسیار حیاتی است، یا شاید به هیچ دارایی حساس یا مهمی متصل نیست؟
همچنین ممکن است دستگاه مهم نباشد اما بتواند مهاجم را قادر سازد تا به سمت دارایی های حیاتی به روش های مخفیانه تر ادامه دهد. به عبارت دیگر، زمینه کلیدی است - آیا این آسیبپذیری در مسیر حمله احتمالی به دارایی حیاتی است؟ آیا برای جلوگیری از رسیدن مسیر حمله به یک دارایی حیاتی، قطع کردن یک آسیبپذیری در یک نقطه خفه (تقاطع مسیرهای حمله متعدد) کافی است؟
تیمهای امنیتی از فرآیندهای آسیبپذیری و راهحلهای آن متنفرند، زیرا آسیبپذیریهای روزافزونی وجود دارد – هیچکس نمیتواند بهطور کامل صفحه را پاک کند. اما اگر بتوانند تمرکز بر آنچه می تواند ایجاد کند خسارت به یک دارایی حیاتی، آنها می توانند درک بهتری از کجا شروع کنند.
مبارزه با آسیب پذیری های Log4j
خبر خوب این است که مدیریت صحیح آسیبپذیری میتواند به کاهش و رفع قرار گرفتن در معرض حملات Log4j محور با شناسایی مکانهایی که خطر سوءاستفاده بالقوه وجود دارد، کمک کند.
مدیریت آسیب پذیری یکی از جنبه های مهم امنیت سایبری است و برای تضمین امنیت و یکپارچگی سیستم ها و داده ها ضروری است. با این حال، این یک فرآیند کامل نیست و با وجود بهترین تلاشها برای شناسایی و کاهش آنها، آسیبپذیریها همچنان در سیستمها وجود دارند. مهم است که به طور منظم فرآیندها و استراتژی های مدیریت آسیب پذیری را بررسی و به روز کنید تا مطمئن شوید که آنها موثر هستند و آسیب پذیری ها به موقع برطرف می شوند.
تمرکز مدیریت آسیبپذیری نه تنها باید بر روی خود آسیبپذیریها باشد، بلکه باید روی خطر بالقوه بهرهبرداری نیز متمرکز شود. شناسایی نقاطی که مهاجم ممکن است به شبکه دسترسی پیدا کرده باشد و همچنین مسیرهایی که ممکن است برای به خطر انداختن دارایی های حیاتی طی کند، مهم است. کارآمدترین و مقرون به صرفه ترین راه برای کاهش خطرات یک آسیب پذیری خاص، شناسایی ارتباطات بین آسیب پذیری ها، پیکربندی های نادرست و رفتار کاربر است که می تواند توسط یک مهاجم مورد سوء استفاده قرار گیرد، و به طور فعالانه به این مسائل قبل از سوء استفاده از آسیب پذیری رسیدگی شود. این می تواند به اختلال در حمله و جلوگیری از آسیب به سیستم کمک کند.
همچنین باید موارد زیر را انجام دهید:
- پچ: تمام محصولات خود را که در برابر Log4j آسیب پذیر هستند شناسایی کنید. این کار را می توان به صورت دستی یا با استفاده از اسکنرهای منبع باز انجام داد. اگر پچ مربوطه برای یکی از محصولات آسیب پذیر شما منتشر شد، سیستم را در اسرع وقت وصله کنید.
- راه حل: در نسخه های Log4j 2.10.0 و بالاتر، در خط Java CMD، موارد زیر را تنظیم کنید: log4j2.formatMsgNoLookups=true
- مسدود کردن: در صورت امکان، یک قاعده به فایروال برنامه وب خود اضافه کنید تا "jndi:" را مسدود کند.
امنیت کامل یک شاهکار دست نیافتنی است، بنابراین معنایی ندارد که دشمن خوبی را کامل کنیم. در عوض، روی اولویتبندی و قفل کردن مسیرهای حمله احتمالی تمرکز کنید که به طور مداوم وضعیت امنیتی را بهبود میبخشد. شناسایی و واقع بینانه بودن در مورد آنچه واقعاً آسیب پذیر است در مقابل آنچه قابل بهره برداری است می تواند به انجام این کار کمک کند، زیرا امکان هدایت استراتژیک منابع به سمت مناطق حیاتی که بیشترین اهمیت را دارند را فراهم می کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-
- 000
- 10
- 2021
- 2022
- 7
- a
- توانایی
- درباره ما
- بالاتر
- دسترسی
- فعالیت
- واقعا
- نشانی
- پس از
- AI
- معرفی
- و
- آپاچی
- به نظر می رسد
- کاربرد
- رویکردها
- مناطق
- ظاهر
- دارایی
- دارایی
- حمله
- حمله
- زیرا
- قبل از
- بودن
- بهترین
- بهتر
- میان
- بزرگ
- مسدود کردن
- تخته
- کسب و کار
- نام
- نمی توان
- حمل
- شانس
- مبارزه با
- ترکیب
- مشترک
- شرکت
- شرکت
- جامع
- سازش
- شرایط
- متصل
- ارتباط
- اتصالات
- زمینه
- ادامه دادن
- مقرون به صرفه
- میتوانست
- بحرانی
- مشتری
- برش
- cve
- سایبر
- امنیت سایبری
- داده ها
- تاریخ
- عرضه شد
- بخش
- اداره امنیت میهن
- با وجود
- تفاوت
- مختل کردن
- پایین
- هر
- آسان تر
- موثر
- موثر
- تلاش
- قادر ساختن
- فعال
- کافی
- اطمینان حاصل شود
- حصول اطمینان از
- حتی
- تا کنون
- مثال
- وجود دارد
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- ارائه
- خیلی
- FAIL
- شاهکار
- فدرال
- فیلتر
- فایروال
- نام خانوادگی
- رفع
- تمرکز
- پیروی
- از جانب
- کاملا
- آینده
- خوب
- دسته
- کمک
- اینجا کلیک نمایید
- زیاد
- مانع
- وطن
- امنیت میهن
- امید
- ساعت ها
- اما
- HTTPS
- شناسایی
- شناسایی
- شناسایی
- مهم
- جنبه مهم
- غیر ممکن
- بهبود
- in
- در دیگر
- در عوض
- تمامیت
- اینتل
- تقاطع
- مسائل
- IT
- جاوه
- نگهداری
- کلید
- منجر می شود
- ترک
- کتابخانه
- لاین
- فهرست
- استماع
- log4j
- طولانی
- به دنبال
- مراجعه
- دستگاه
- ماشین آلات
- ساخت
- مدیریت
- روش
- دستی
- بسیاری
- بازار
- ماده
- اندازه گیری
- قدرت
- کاهش
- ماه
- بیش
- اکثر
- چندگانه
- لازم
- نیاز
- شبکه
- اخبار
- بعد
- هفته بعد
- ONE
- باز کن
- منبع باز
- فرصت
- بهینه
- سازمان های
- دیگر
- پارامترهای
- ویژه
- وصله
- مسیر
- کامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- ممکن
- پتانسیل
- بالقوه
- آماده شده
- در حال حاضر
- جلوگیری از
- اولویت بندی
- اولویت بندی شده
- اولویت بندی
- مشکل
- روند
- فرآیندهای
- محصولات
- مناسب
- ارائه
- رسیدن به
- واقع بینانه
- كاهش دادن
- به طور منظم
- منتشر شد
- مربوط
- دور
- منابع
- پاسخ
- نتایج
- این فایل نقد می نویسید:
- خطر
- خطرات
- قانون
- در حال اجرا
- ایمنی
- به ثمر رساندن
- تیم امنیت لاتاری
- حس
- حساس
- تنظیم
- مجموعه
- باید
- نشان
- پس از
- تخته سنگ
- So
- مزایا
- منبع
- خرج کردن
- صرف
- شروع
- ماندن
- هنوز
- توقف
- استراتژی ها
- سیستم
- سیستم های
- گرفتن
- کار
- تیم ها
- La
- شان
- خودشان
- هزاران نفر
- تهدید
- تهدید
- زمان
- به
- امروز
- هم
- ابزار
- نسبت به
- فهمیدن
- درک
- بروزرسانی
- کاربر
- کاربران
- Ve
- در مقابل
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- راه
- وب
- برنامه تحت وب
- هفته
- چی
- چه شده است
- چه
- که
- بطور گسترده
- وحشی
- اراده
- در داخل
- برنده شد
- کلمات
- سال
- شما
- شما
- زفیرنت