Это должно измениться, причем быстро! Мы знаем проблемы и ответы. Так почему же так мало организаций действуют?
Год назад недавно обнаруженная уязвимость нулевого дня потрясла мир кибербезопасности, но спустя 12 месяцев появились явные признаки того, что жизненно важные уроки не были усвоены.
CVE-2021-44228 была и остается легко эксплуатируемой уязвимостью в широко используемой Java-библиотеке протоколирования Apache Log4j, которая позволяет злоумышленникам удаленно получать доступ и брать под контроль машины и серверы.
После обнаружения она вызвала серьезную обеспокоенность, поскольку вездесущий характер библиотеки Log4j означал, что она была и остается встроенной в огромное количество приложений, сервисов и корпоративных программных инструментов, написанных на Java и используемых организациями и частными лицами по всему миру.
Опасность Log4j была настолько велика, что Национальный институт стандартов и технологий (NIST) присвоил уязвимости 10 баллов по Общей системе оценки уязвимостей (CVSS), отнеся ее к категории очень серьезных, критических уязвимостей, и уже через несколько часов после раскрытия информации киберпреступники начали ее использовать.
Неудивительно, что глава CISA Джен Истерли назвала уязвимость Log4j «одной из самых серьезных за всю мою карьеру, если не самой серьезной» - она затронула сотни миллионов устройств.
Обновления безопасности и средства защиты были быстро распространены, однако спустя год после первоначального раскрытия Log4j по-прежнему представляет угрозу, поскольку многие организации и их поставщики все еще не применили обновления.
Многие могут даже не знать, что библиотека протоколирования является частью экосистемы их программного обеспечения.
Однако неоднократные предупреждения ясно дали понять, что критические уязвимости представляют угрозу - и хакерские группы, начиная от киберпреступных группировок и групп шифровальщиков и заканчивая операциями кибершпионажа, поддерживаемыми национальными государствами, активно использовали уязвимость Log4j и продолжают это делать.
Только в прошлом месяце - почти год спустя после первоначального раскрытия информации - CISA и ФБР выпустили предупреждение о безопасности о том, что если организации еще не исправили или не устранили уязвимость Log4j, они должны считать, что их сеть скомпрометирована, и действовать соответствующим образом.
Предупреждение появилось после расследования кибератаки на организацию, которую CISA и ФБР назвали «федеральной гражданской организацией исполнительной власти». Если правительственный орган не может правильно заткнуть дыры в безопасности, то какие шансы у других организаций?
Кибербезопасность развивается быстро - это тяжелая работа, и команды информационной безопасности регулярно сталкиваются с проблемой выгорания, потому что всегда есть новая уязвимость или новое обновление, которое необходимо применить. Но киберпреступники не забывают о старых багах и уязвимостях безопасности - и до тех пор, пока экземпляры Log4j остаются необновленными, их будут атаковать.
Это означает, что организации не могут просто игнорировать уязвимости и проблемы и надеяться, что они просто исчезнут. Устранение этих проблем - сложная задача, но обращать внимание на предупреждения и сигналы безопасности, чтобы обеспечить защиту сети, просто необходимо.
Это лишь одна из причин, по которой организации любого размера должны ответственно подойти к вопросу выделения бюджета на содержание соответствующей команды информационной безопасности, которая поможет обнаружить и смягчить угрозы до того, как они повлияют на ваш бизнес и его клиентов.
Источник: https://www.zdnet.com