Log4j の脆弱性は今後も続く — 準備はできていますか?

4 年に Apache Log2021j に最初に出現した広範な脆弱性 搾取され続けるだろう、これまでに見たよりも悪い方法でさえある可能性があります。 これらの脅威のさらに懸念される点は、今後数か月または数年にわたって悪用され続ける可能性が高いことです。

国土安全保障省のサイバー安全審査委員会は 2021 年にデビューし、2022 年にその 初の安全報告 (PDF). その中で理事会は、Log4j を「固有の脆弱性」と呼びました。主な理由は、Log4j の包括的な「顧客リスト」がなく、脆弱性に対応することがほぼ不可能な作業になっているためです。 ある連邦内閣の部門では、Log33,000j の対応に 4 時間も費やしました。

また、市場に出回っている多くの組織やセキュリティ ソリューションは、悪用可能性と脆弱性の違いを識別できず、攻撃者が悪意のある活動を実行する機会を残しています。

悪用可能性と脆弱性

今日のサイバーセキュリティの重要な問題の XNUMX つは、脆弱性とその深刻度の違いを理解することです。 悪用可能性と脆弱性を測定する場合、セキュリティ脅威がビジネス内で悪用可能かどうか、または単に「脆弱」であり、ビジネスを妨げたり、重要な資産に到達したりできないかどうかには大きな違いがあります。 セキュリティ チームは、この XNUMX つの違いを理解せずに多くの時間を費やしており、悪用可能な脆弱性を優先する代わりに、脆弱性が発生するたびに修正しています。

どの企業にも数千の一般的な脆弱性と露出 (CVE) があり、その多くは Common Vulnerability Scoring System (CVSS) で高いスコアを獲得しているため、すべてを修正することは不可能です。 これに対抗するために、リスクベースの脆弱性管理 (RBVM) ツールが 悪用可能なものを明確にすることで優先順位付けを容易にする.

ただし、CVSS スコアと RBVM 脅威インテリジェンスを組み合わせたセキュリティ優先順位付けアプローチでは、最適な結果が得られません。 実際に悪用される可能性があるものだけをフィルタリングして調べた後でも、リストが長くて管理できないため、セキュリティ チームはまだ処理しなければならないことが多すぎます。 また、今日 CVE にエクスプロイトがないからといって、来週もエクスプロイトがないということにはなりません。

これに対応して、企業は、CVE が将来悪用される可能性があるかどうかをユーザーが理解するのに役立つ予測リスク AI を追加しています。 これはまだ十分ではなく、修正すべき問題が多すぎます。 何千もの脆弱性がエクスプロイトを持っていることが示されますが、多くは実際に問題をエクスプロイトするために満たさなければならない他の条件のセットを持っています.

たとえば、Log4j では、次のパラメーターを特定する必要があります。

• 脆弱な Log4j ライブラリは存在しますか?
• 実行中の Java アプリケーションによってロードされますか?
• JNDI ルックアップは有効になっていますか?
• Java はリモート接続をリッスンしていますか? また、他のマシンへの接続はありますか?

条件とパラメーターが満たされていない場合、脆弱性は重大ではなく、優先すべきではありません。 また、脆弱性がマシン上で悪用される可能性がある場合でも、それは何ですか? そのマシンは非常に重要ですか、それとも重要または機密の資産に接続されていない可能性がありますか?

また、マシンが重要でなくても、攻撃者がよりステルスな方法で重要な資産を狙うことができる可能性もあります。 つまり、コンテキストが鍵となります。この脆弱性は、重要な資産への潜在的な攻撃経路上にあるのでしょうか? 脆弱性をチョークポイント (複数の攻撃パスの交差点) で遮断するだけで、攻撃パスが重要な資産に到達するのを阻止できますか?

セキュリティ チームは、脆弱性のプロセスとそのソリューションを嫌っています。脆弱性がますます増えているためです。誰も完全に一掃することはできません。 しかし、彼らができるなら 作成できるものに焦点を当てる 損傷 重要な資産に、どこから始めるべきかをよりよく理解することができます。

Log4j の脆弱性との戦い

幸いなことに、適切な脆弱性管理は、潜在的な悪用のリスクがどこに存在するかを特定することにより、Log4j 中心の攻撃への露出を減らして修正するのに役立ちます。

脆弱性管理はサイバーセキュリティの重要な側面であり、システムとデータのセキュリティと完全性を確保するために必要です。 ただし、これは完璧なプロセスではなく、脆弱性を特定して軽減するための最善の努力にもかかわらず、脆弱性がシステムに存在する可能性があります。 脆弱性管理プロセスと戦略を定期的に見直して更新し、それらが効果的であり、脆弱性がタイムリーに対処されていることを確認することが重要です。

脆弱性管理の焦点は、脆弱性自体だけでなく、悪用の潜在的なリスクにもある必要があります。 攻撃者がネットワークへのアクセスを取得した可能性のあるポイントと、重要な資産を侵害するためにたどる可能性のあるパスを特定することが重要です。 特定の脆弱性のリスクを軽減するための最も効率的で費用対効果の高い方法は、攻撃者によって悪用される可能性のある脆弱性、構成ミス、およびユーザーの行動の間の関係を特定し、脆弱性が悪用される前にこれらの問題に積極的に対処することです。 これにより、攻撃を妨害し、システムへの損傷を防ぐことができます。

次のことも行う必要があります。

• パッチ： Log4j に対して脆弱なすべての製品を特定します。 これは、手動またはオープン ソース スキャナーを使用して行うことができます。 脆弱な製品のいずれかに関連するパッチがリリースされている場合は、できるだけ早くシステムにパッチを適用してください。
• 回避策： Log4j バージョン 2.10.0 以降では、Java CMD 行で次のように設定します。 log4j2.formatMsgNoLookups=true
• ブロック： 可能であれば、「jndi:」をブロックするルールを Web アプリケーション ファイアウォールに追加します。

完全なセキュリティは達成不可能な偉業であるため、善の敵を完全にする意味はありません。 代わりに、セキュリティ体制を継続的に改善する潜在的な攻撃経路の優先順位付けとロックダウンに重点を置いてください。 実際に脆弱なものと悪用可能なものを特定し、現実的になることは、最も重要な重要な領域にリソースを戦略的に注ぎ込むことができるため、これを行うのに役立ちます.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-