وسیع پیمانے پر خطرہ جو پہلی بار 4 میں Apache Log2021j میں ظاہر ہوا۔ استحصال جاری رہے گا، ممکنہ طور پر اس سے بھی بدتر طریقوں سے جو ہم نے آج تک دیکھا ہے۔ ان خطرات کا زیادہ تشویشناک پہلو یہ ہے کہ مستقبل میں مہینوں یا سالوں تک ان کا استحصال ہوتے رہنے کا ایک اچھا موقع ہے۔
محکمہ ہوم لینڈ سیکیورٹی کے سائبر سیفٹی ریویو بورڈ نے 2021 میں ڈیبیو کیا، اور 2022 میں اپنا افتتاحی حفاظتی رپورٹ (پی ڈی ایف)۔ اس میں، بورڈ نے Log4j کو ایک "مقامی خطرے" قرار دیا، بنیادی طور پر اس لیے کہ Log4j کے لیے کوئی جامع "کسٹمر لسٹ" نہیں ہے، جس کی وجہ سے خطرات کو برقرار رکھنا قریب قریب ناممکن ہے۔ یہاں تک کہ وفاقی کابینہ کے ایک محکمے نے اپنے Log33,000j جواب پر 4 گھنٹے گزارے۔
اور مارکیٹ میں بہت سی تنظیمیں اور سیکیورٹی حل استحصال اور کمزوری کے درمیان فرق کو پہچاننے میں ناکام رہتے ہیں - حملہ آوروں کے لیے نقصان دہ سرگرمی کو انجام دینے کا موقع چھوڑ کر۔
استحصال بمقابلہ کمزوری
آج سائبرسیکیوریٹی کے ساتھ اہم مسائل میں سے ایک کمزوریوں اور ان کی شدت کے درمیان فرق کو سمجھنا ہے۔ جب استحصال بمقابلہ کمزوری کی پیمائش کی بات آتی ہے، تو اس میں بڑا فرق ہوتا ہے کہ آیا آپ کے کاروبار کے اندر سیکیورٹی خطرہ فائدہ مند ہے یا اگر یہ صرف "خطرناک" ہے اور کاروبار میں رکاوٹ نہیں بن سکتا یا کسی اہم اثاثے تک نہیں پہنچ سکتا۔ سیکیورٹی ٹیمیں ان دونوں کے درمیان فرق کو سمجھنے میں بہت زیادہ وقت صرف کرتی ہیں اور استحصال کرنے والوں کو ترجیح دینے کی بجائے ہر خطرے کو جیسے ہی آتی ہیں اسے ٹھیک کرتی ہیں۔
ہر کمپنی میں ہزاروں عام کمزوریاں اور نمائشیں (CVEs) ہوتی ہیں، جن میں سے اکثر کامن ولنریبلٹی اسکورنگ سسٹم (CVSS) پر زیادہ اسکور کرتی ہیں، اس لیے ان سب کو ٹھیک کرنا ناممکن ہے۔ اس کا مقابلہ کرنے کے لیے، امید یہ ہے کہ خطرے پر مبنی خطرے کے انتظام (RBVM) ٹولز یہ واضح کر کے ترجیح کو آسان بنائیں کہ کیا فائدہ مند ہے۔.
تاہم، حفاظتی ترجیحی نقطہ نظر جو CVSS سکور کو RBVM تھریٹ انٹیل کے ساتھ جوڑتے ہیں وہ بہترین نتائج فراہم نہیں کرتے ہیں۔ یہاں تک کہ فلٹر کرنے اور جنگل میں کیا فائدہ مند ہے اس کو دیکھنے کے بعد بھی، سیکورٹی ٹیموں کے پاس ابھی بھی بہت کچھ سنبھالنا باقی ہے کیونکہ فہرست طویل اور غیر منظم ہے۔ اور صرف اس وجہ سے کہ CVE کا آج کوئی استحصال نہیں ہے اس کا مطلب یہ نہیں ہے کہ اس کے پاس اگلے ہفتے کوئی نہیں ہوگا۔
اس کے جواب میں، کمپنیاں پیش گوئی کرنے والے رسک AI کو شامل کر رہی ہیں، جس سے صارفین کو یہ سمجھنے میں مدد مل سکتی ہے کہ آیا مستقبل میں CVE کا استحصال کیا جا سکتا ہے۔ یہ اب بھی کافی نہیں ہے اور حل کرنے کے لیے بہت سارے مسائل کا باعث بنتا ہے۔ ہزاروں کمزوریاں اب بھی استحصال کرنے کے لیے دکھائی دیں گی، لیکن بہت سے لوگوں کے پاس دیگر شرائط ہوں گی جنہیں درحقیقت مسئلہ سے فائدہ اٹھانے کے لیے پورا کرنا ہوگا۔
مثال کے طور پر، Log4j کے ساتھ، درج ذیل پیرامیٹرز کو شناخت کرنے کی ضرورت ہے:
- کیا کمزور Log4j لائبریری موجود ہے؟
- کیا یہ چلتی جاوا ایپلیکیشن سے بھری ہوئی ہے؟
- کیا JNDI تلاش فعال ہے؟
- کیا جاوا ریموٹ کنکشن سن رہا ہے، اور کیا دوسری مشینوں کے لیے کوئی کنکشن ہے؟
اگر شرائط اور پیرامیٹرز کو پورا نہیں کیا جاتا ہے، تو خطرہ اہم نہیں ہے اور اسے ترجیح نہیں دی جانی چاہیے۔ اور یہاں تک کہ اگر کسی مشین پر کمزوری کا فائدہ اٹھایا جا سکتا ہے، تو کیا؟ کیا وہ مشین انتہائی نازک ہے، یا شاید یہ کسی اہم یا حساس اثاثوں سے منسلک نہیں ہے؟
یہ بھی ممکن ہے کہ مشین اہم نہ ہو پھر بھی یہ حملہ آور کو خفیہ طریقوں سے اہم اثاثوں کی طرف جانے کے قابل بنا سکتی ہے۔ دوسرے لفظوں میں، سیاق و سباق کلیدی ہے - کیا یہ خطرہ اہم اثاثہ کے ممکنہ حملے کے راستے پر ہے؟ کیا یہ کافی ہے کہ ایک چوک پوائنٹ (ایک سے زیادہ حملے کے راستوں کا ایک چوراہے) پر کسی خطرے کو ختم کر کے حملے کے راستے کو کسی اہم اثاثے تک پہنچنے سے روکا جا سکے؟
سیکیورٹی ٹیمیں کمزوری کے عمل اور ان کے حل سے نفرت کرتی ہیں، کیونکہ زیادہ سے زیادہ خطرات ہیں — کوئی بھی کبھی بھی سلیٹ کو مکمل طور پر صاف نہیں کر سکتا۔ لیکن اگر وہ کر سکتے ہیں۔ کیا بنا سکتا ہے اس پر توجہ مرکوز کریں نقصان ایک اہم اثاثہ کے لئے، وہ اس بات کی بہتر سمجھ سکتے ہیں کہ کہاں سے آغاز کرنا ہے۔
Log4j کی کمزوریوں کا مقابلہ کرنا
اچھی خبر یہ ہے کہ خطرے کا مناسب انتظام Log4j-مرکزی حملوں کی نمائش کو کم کرنے اور اس کو درست کرنے میں مدد کر سکتا ہے کہ ممکنہ استحصال کا خطرہ کہاں موجود ہے۔
خطرے کا انتظام سائبرسیکیوریٹی کا ایک اہم پہلو ہے اور یہ سسٹم اور ڈیٹا کی سلامتی اور سالمیت کو یقینی بنانے کے لیے ضروری ہے۔ تاہم، یہ ایک مکمل عمل نہیں ہے اور ان کی شناخت اور ان کو کم کرنے کی بہترین کوششوں کے باوجود سسٹمز میں کمزوریاں اب بھی موجود رہ سکتی ہیں۔ خطرے کے انتظام کے عمل اور حکمت عملیوں کا باقاعدگی سے جائزہ لینا اور ان کو اپ ڈیٹ کرنا ضروری ہے تاکہ یہ یقینی بنایا جا سکے کہ وہ موثر ہیں اور کمزوریوں کو بروقت حل کیا جا رہا ہے۔
خطرے کے انتظام کی توجہ نہ صرف خود کمزوریوں پر، بلکہ استحصال کے ممکنہ خطرے پر بھی ہونی چاہیے۔ ان پوائنٹس کی نشاندہی کرنا ضروری ہے جہاں حملہ آور نے نیٹ ورک تک رسائی حاصل کی ہو گی، ساتھ ہی وہ راستے جو وہ اہم اثاثوں سے سمجھوتہ کرنے کے لیے اختیار کر سکتے ہیں۔ کسی خاص خطرے کے خطرات کو کم کرنے کا سب سے موثر اور سرمایہ کاری مؤثر طریقہ یہ ہے کہ کمزوریوں، غلط کنفیگریشنز، اور صارف کے رویے کے درمیان کنکشن کی نشاندہی کی جائے جن کا حملہ آور کے ذریعے فائدہ اٹھایا جا سکتا ہے، اور خطرے سے فائدہ اٹھانے سے پہلے ان مسائل کو فعال طور پر حل کرنا ہے۔ اس سے حملے میں خلل ڈالنے اور نظام کو پہنچنے والے نقصان کو روکنے میں مدد مل سکتی ہے۔
آپ کو درج ذیل کام بھی کرنا چاہیے:
- پیچ: اپنے تمام پروڈکٹس کی شناخت کریں جو Log4j کے لیے خطرناک ہیں۔ یہ دستی طور پر یا اوپن سورس اسکینرز کا استعمال کرکے کیا جاسکتا ہے۔ اگر آپ کی کمزور مصنوعات میں سے کسی ایک کے لیے متعلقہ پیچ جاری کیا جاتا ہے، تو ASAP سسٹم کو پیچ کریں۔
- کام کاج: Log4j ورژن 2.10.0 اور اس سے اوپر کے جاوا CMD لائن میں، درج ذیل سیٹ کریں: log4j2.formatMsgNoLookups=true
- بلاک: اگر ممکن ہو تو، بلاک کرنے کے لیے اپنی ویب ایپلیکیشن فائر وال میں ایک اصول شامل کریں: "jndi:"
پرفیکٹ سیکیورٹی ایک ناقابل حصول کارنامہ ہے، اس لیے اچھے کے دشمن کو کامل بنانے کا کوئی مطلب نہیں ہے۔ اس کے بجائے، ممکنہ حملے کے راستوں کو ترجیح دینے اور ان کو بند کرنے پر توجہ مرکوز کریں جو سلامتی کی حالت کو مسلسل بہتر بناتے ہیں۔ اس بات کی نشاندہی کرنا اور حقیقت پسند ہونا کہ اصل میں کیا کمزور ہے بمقابلہ استحصال کیا جا سکتا ہے، اس میں مدد مل سکتی ہے، کیونکہ یہ وسائل کو حکمت عملی کے ساتھ ان اہم علاقوں کی طرف منتقل کرنے کی صلاحیت فراہم کرے گا جو سب سے اہم ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-
- 000
- 10
- 2021
- 2022
- 7
- a
- کی صلاحیت
- ہمارے بارے میں
- اوپر
- تک رسائی حاصل
- سرگرمی
- اصل میں
- پتہ
- کے بعد
- AI
- تمام
- اور
- اپاچی
- شائع ہوا
- درخواست
- نقطہ نظر
- علاقوں
- پہلو
- اثاثے
- اثاثے
- حملہ
- حملے
- کیونکہ
- اس سے پہلے
- کیا جا رہا ہے
- BEST
- بہتر
- کے درمیان
- بگ
- بلاک
- بورڈ
- کاروبار
- کہا جاتا ہے
- نہیں کر سکتے ہیں
- لے جانے کے
- موقع
- کی روک تھام
- جمع
- کامن
- کمپنیاں
- کمپنی کے
- وسیع
- سمجھوتہ
- حالات
- منسلک
- کنکشن
- کنکشن
- سیاق و سباق
- جاری
- سرمایہ کاری مؤثر
- سکتا ہے
- اہم
- گاہک
- کٹ
- سی ای وی
- سائبر
- سائبر سیکیورٹی
- اعداد و شمار
- تاریخ
- شروع ہوا
- شعبہ
- محکمہ داخلی سیکورٹی
- کے باوجود
- فرق
- خلل ڈالنا
- نیچے
- ہر ایک
- آسان
- موثر
- ہنر
- کوششوں
- کو چالو کرنے کے
- چالو حالت میں
- کافی
- کو یقینی بنانے کے
- کو یقینی بنانے ہے
- بھی
- کبھی نہیں
- مثال کے طور پر
- موجود ہے
- دھماکہ
- استحصال
- استحصال کیا۔
- نمائش
- انتہائی
- FAIL
- کارنامے
- وفاقی
- فلٹرنگ
- فائروال
- پہلا
- درست کریں
- توجہ مرکوز
- کے بعد
- سے
- مکمل طور پر
- مستقبل
- اچھا
- ہینڈل
- مدد
- یہاں
- ہائی
- رکاوٹ
- وطن
- ہوم لینڈ سیکورٹی
- امید ہے کہ
- HOURS
- تاہم
- HTTPS
- کی نشاندہی
- شناخت
- کی نشاندہی
- اہم
- اہم پہلو
- ناممکن
- کو بہتر بنانے کے
- in
- دیگر میں
- کے بجائے
- سالمیت
- انٹیل
- چوراہا
- مسائل
- IT
- اعلی درجے کا Java
- رکھتے ہوئے
- کلیدی
- لیڈز
- چھوڑ کر
- لائبریری
- لائن
- لسٹ
- سن
- log4j
- لانگ
- تلاش
- تلاش
- مشین
- مشینیں
- بنانا
- انتظام
- انداز
- دستی طور پر
- بہت سے
- مارکیٹ
- معاملہ
- پیمائش
- شاید
- تخفیف کریں
- ماہ
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- ضروری
- ضرورت ہے
- نیٹ ورک
- خبر
- اگلے
- اگلے ہفتے
- ایک
- کھول
- اوپن سورس
- مواقع
- زیادہ سے زیادہ
- تنظیمیں
- دیگر
- پیرامیٹرز
- خاص طور پر
- پیچ
- راستہ
- کامل
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹس
- ممکن
- ممکنہ
- ممکنہ طور پر
- تیار
- حال (-)
- کی روک تھام
- ترجیحات
- ترجیح دی
- ترجیح
- مسئلہ
- عمل
- عمل
- حاصل
- مناسب
- فراہم
- تک پہنچنے
- حقیقت
- کو کم
- باقاعدگی سے
- جاری
- متعلقہ
- ریموٹ
- وسائل
- جواب
- نتائج کی نمائش
- کا جائزہ لینے کے
- رسک
- خطرات
- حکمرانی
- چل رہا ہے
- سیفٹی
- اسکورنگ
- سیکورٹی
- احساس
- حساس
- مقرر
- سیٹ
- ہونا چاہئے
- دکھائیں
- بعد
- سلیٹ
- So
- حل
- ماخذ
- خرچ
- خرچ
- شروع کریں
- رہنا
- ابھی تک
- بند کرو
- حکمت عملیوں
- کے نظام
- سسٹمز
- لے لو
- ٹاسک
- ٹیموں
- ۔
- ان
- خود
- ہزاروں
- خطرہ
- خطرات
- وقت
- کرنے کے لئے
- آج
- بھی
- اوزار
- کی طرف
- سمجھ
- افہام و تفہیم
- اپ ڈیٹ کریں
- رکن کا
- صارفین
- Ve
- بنام
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- طریقوں
- ویب
- ویب ایپلی کیشن
- ہفتے
- کیا
- کیا ہے
- چاہے
- جس
- وسیع پیمانے پر
- وائلڈ
- گے
- کے اندر
- وون
- الفاظ
- سال
- تم
- اور
- زیفیرنیٹ