Log4j propust: pogled američkih institucija

Odbor za preispitivanje kibernetičke sigurnosti SAD-a (Cyber Safety Review Board - CSRB) objavio je svoj pregled "Review of the December 2021 Log4j Event" koji je zanimljivo štivo. Izvješće se fokusira na Log4Shell i druge ranjivosti otkrivene (i iskorištene) prošle godine u biblioteci otvorenog koda Log4J.

Osim pregleda povijesti najutjecajnije ranjivosti u novije vrijeme, Odbor je zaključio da će ranjive instance Log4J-a ostati u sustavima još mnogo godina, nešto kao "endemska ranjivost", jer toliko mnogo sustava ovisi o biblioteci Log4j.

Iako vladini dužnosnici i stručnjaci za kibernetičku sigurnost obično imaju tendenciju davati pesimističnu sliku događaja, ohrabrujuće je vidjeti ih kako ovdje zaključuju da je događaj Log4J rezultirao nižom razinom napada od očekivane od strane sigurnosne industrije i eksperata. To znači da cyber infrastruktura postaje ipak otpornija na prijetnje.

Izvješće CSRB-a tvrdi da se Log4j mogao spriječiti i ispravno identificira neke ključne probleme koji su ometali napredak obrane, uključujući činjenicu da ne postoji sveobuhvatan popis proizvođača softvera koji koriste Log4J u svojim rješenjima.

CSRB daje neke zanimljive preporuke: osim uobičajenih kao što su poboljšanje upravljanja ranjivostima i sigurnog kodiranja, izvješće spominje neke moguće načine za buduću regulaciju softverske industrije, uključujući:

• Ispitati mogućnost novog mehanizma pod nazivom Cyber ​​Safety Reporting System (CSRS).

• Uspostaviti osnovne zahtjeve za transparentnost softvera za dobavljače u državnim institucijama.

• Istražiti izvedivost uspostave Centra izvrsnosti za procjenu sigurnosnih rizika softvera (Software Security Risk Assessment Center of Excellence - SSRACE).

• Uspostaviti radnu skupinu za poboljšanje identifikacije softvera s poznatim ranjivostima.

Čini se da CSRB razmatra softver i kibernetičku infrastrukturu baš kao i zrakoplovnu industriju, i vrlo je moguće da će to biti put za buduću regulaciju.

Saznajte više na Help Net Security.