Log4j propust: pogled američkih institucija
Američki odbor za reviziju kibernetičke sigurnosti (CSRB) objavio je „Pregled događaja Log4j u decembru 2021.“ koji je zanimljivo štivo. Izvještaj se fokusira na Log4Shell i druge ranjivosti otkrivene (i iskorišćene) prošle godine u biblioteci otvorenog koda Log4J.
Pored pregleda istorije najuticajnije ranjivosti u posljednje vrijeme, Odbor je zaključio da će ranjivi primjeri Log4J ostati na sistemima dugi niz godina, nešto kao "endemska ranjivost", jer toliko sistema zavisi od Log4j biblioteke .
Iako vladini zvaničnici i stručnjaci za kibernetičku sigurnost imaju tendenciju da vide pesimističnu sliku događaja, ohrabrujuće je vidjeti kako ovdje zaključuju da je događaj Log4J rezultirao nižim nivoom napada nego što su očekivali sigurnosna industrija i stručnjaci. To znači da sajber infrastruktura postaje otpornija na prijetnje.
Izvještaj CSRB-a tvrdi da se Log4j mogao spriječiti i ispravno identificira neke ključne probleme koji su ometali napredak odbrane, uključujući činjenicu da ne postoji sveobuhvatna lista dobavljača softvera koji koriste Log4J u svojim rješenjima.
CSRB daje nekoliko zanimljivih preporuka: pored uobičajenih kao što su poboljšanje upravljanja ranjivostima i sigurnog kodiranja, u izvještaju se spominju neki mogući putevi za buduću regulaciju softverske industrije, uključujući:
Ispitati mogućnost novog mehanizma nazvanog Cyber System izvještavanja o sigurnosti (Cyber Safety Reporting System (CSRS).
Uspostaviti osnovne zahtjeve za transparentnost softvera za dobavljače u državnim institucijama.
Istražiti izvodljivost uspostavljanja Centra izvrsnosti za procjenu rizika sigurnosti softvera (Software Security Risk Assessment Center of Excellence - SSRACE).
Uspostaviti radnu grupu za poboljšanje identifikacije softvera sa poznatim ranjivostima.
Čini se da CSRB gleda na softver i sajber infrastrukturu baš kao i avioindustriju, i vrlo je moguće da će to biti put za buduću regulativu.
Saznajte više na Help Net Security.
