Log4J propust: pogled američkih institucija
Američki Odbor za reviziju sajber bezbednosti (CSRB) objavio je „Pregled događaja Log4j u decembru 2021.“ koji je zanimljivo štivo. Izveštaj se fokusira na Log4Shell i druge ranjivosti otkrivene (i iskorišćene) prošle godine u biblioteci otvorenog koda Log4J.
Pored pregleda istorije najuticajnije ranjivosti u poslednje vreme, Odbor je zaključio da će ranjivi primeri Log4J ostati na sistemima dugi niz godina, nešto kao „endemska ranjivost“, jer toliko sistema zavisi od Log4j biblioteke .
Iako vladini zvaničnici i stručnjaci za sajber bezbednost imaju tendenciju da vide pesimističnu sliku događaja, ohrabrujuće je videti kako ovde zaključuju da je događaj Log4J rezultirao nižim nivoom napada nego što su očekivali bezbednosna industrija i stručnjaci. To znači da sajber infrastruktura postaje otpornija na pretnje.
Izveštaj CSRB-a tvrdi da je Log4j mogao da se spreči i da ispravno identifikuje neka ključna pitanja koja su ometala napredak odbrane, uključujući i činjenicu da ne postoji sveobuhvatna lista dobavljača softvera koji koriste Log4J u svojim rešenjima.
CSRB daje neke zanimljive preporuke: pored uobičajenih kao što su poboljšanje upravljanja ranjivostima i bezbedno kodiranje, izveštaj pominje neke moguće puteve za buduću regulaciju softverske industrije, uključujući:
Ispitivanje mogućnosti novog mehanizma koji se zove Cyber Safety Reporting System (CSRS).
Uspostavljanje osnovnih zahteva za transparentnost softvera za dobavljače u državnim institucijama.
Istraživanje izvodljivosti uspostavljanja Centra izvrsnosti za procenu bezbednosnog rizika softvera (Software Security Risk Assessment Center of Excellence - SSRACE).
Osnivanje radne grupe za poboljšanje identifikacije softvera sa poznatim ranjivostima.
Čini se da CSRB gleda na softversku i sajber infrastrukturu baš kao i na avio-industriju, i vrlo je moguće da će to biti put za buduću regulativu.
Saznajte više na Help Net Security.