I professionisti della sicurezza informatica in tutto il mondo, sul finire del 2021, hanno dovuto fare i conti con una vulnerabilità dalla scalabilità senza precedenti, conosciuta come Log4Shell o, in modo leggermente più impreciso, Log4j.
Questa vulnerabilità critica è stata scoperta per la prima volta il 9 dicembre 2021 e comporta l’esecuzione non autenticata di codice dalla utility di registrazione di Java più ampiamente utilizzata, Log4j.
Un numero considerevole di aziende è stato compromesso dall’exploit, portando a un potenziale furto di dati sensibili su larga scala.
Nelle settimane successive, è stato osservato un tasso sostenuto e costante di 2 milioni di tentativi di attacco ogni ora, e oltre la metà (il 57%) di questi proveniva da criminali informatici noti. Si sono registrati anche diversi esempi di attacchi di alto profilo che hanno sfruttato la vulnerabilità. Un esempio è l’attacco che ha costretto il Ministero della Difesa belga a chiudere una parte della sua rete.
Una situazione tanto complessa può essere sconfortante per le aziende che cercano di capire quali azioni mettere in atto per proteggersi da potenziali danni. Eppure, c’è una serie di misure che le aziende possono – e devono – attuare in casi come questo.
Vulnerability management, questo sconosciuto: cosa ci insegna il caso Log4j
Indice degli argomenti
Breve storia della vulnerabilità di Log4j e del suo impatto
Log4j è un software open source che registra eventi, come operazioni di routine o errori in un sistema, e poi comunica messaggi diagnostici agli amministratori di sistema. Non si tratta di uno strumento sofisticato, ma è utilizzato quasi ovunque, e questo ha reso quasi tutti potenziali vittime degli hacker che sfruttano la recente vulnerabilità nel codice Log4j.
I malintenzionati che la utilizzano per attaccare le aziende potrebbero ottenere l’accesso a informazioni aziendali riservate e sensibili. È quindi assolutamente essenziale che le aziende facciano tutto il possibile per proteggersi.
Stare al passo con le ultime indicazioni
Come primo passo, è importante tenere d’occhio le raccomandazioni di servizio del team di Log4j, secondo cui la patch 2.17.1 ha fornito correzioni per questo exploit. È di importanza critica anche verificare che il proprio team IT sia al passo con gli ultimi aggiornamenti.
Comprendere la propria esposizione
Una volta che ci si è assicurati che le patch urgenti sono state implementate, è possibile iniziare a valutare concretamente la propria esposizione rispetto agli altri strumenti online di terze parti di cui si serve la propria azienda. Infatti, la sfida maggiore presentata da Log4j consiste nel fatto che la vulnerabilità colpisce molteplici segmenti di software, strumenti e sistemi.
Poiché il software aziendale è sempre più costituito da diversi strati di codice di terze parti, diventa fondamentale che le aziende valutino l’esposizione al rischio non solo del proprio software, ma anche dei fornitori e dei software che essi utilizzano per assemblare il prodotto finale. Questa raccolta di informazioni è nota come “distinta base” del software (in inglese Software Bill of Materials – SBOM), e funziona come la lista di ingredienti di un pasto pronto. Un gran numero di vulnerabilità potrebbe essere “mescolato” al suo interno senza che ce ne si renda conto.
È indispensabile, quindi, avere una completa visibilità, assicurandosi che il team IT impegnato nelle valutazioni del rischio abbia il quadro completo di come il software dell’azienda è stato assemblato e dove è in esecuzione. Più esaustivo è questo quadro, più velocemente si sarà in grado di reagire in caso di attacco o esposizione ad attori malevoli.
Rafforzare i firewall
Oltre agli step di cui sopra, si dovrebbero anche implementare attivamente misure per impedire alle minacce di insinuarsi nella rete. In primo luogo, è necessario eseguire un web application firewall (WAF) sui propri server interni ed esterni, per filtrare i potenziali attacchi. Questo può essere abbinato a un firewall DNS per valutare e bloccare i payload DNS sospetti che potrebbero contenere codice dannoso, come nel caso di Log4j.
Potenziare le capacità di segmentazione
Per quanto i firewall siano preziosi, non bisogna sottovalutare il valore aggiunto che un’azienda o un’organizzazione possono guadagnare dall’introduzione della micro-segmentazione: un metodo più avanzato ed efficace di suddividere la propria rete.
Possiamo fare un paragone con la costruzione di una nave, divisa in compartimenti separati da paratie stagne, in maniera tale che, anche se alcuni compartimenti si dovessero allagare, la nave non affonderebbe. La micro-segmentazione crea delle simili paratie all’interno della rete e offre effettivamente la capacità di mettere rapidamente in quarantena i server colpiti o vulnerabili per prevenire la diffusione di comunicazioni indesiderate tra i sistemi.
In definitiva, la costruzione di una strategia di sicurezza praticabile per mitigare le vulnerabilità di registrazione di questo tipo richiede una comprensione delle linee guida più recenti e delle best-practice, così come un resoconto onesto dei propri livelli di rischio. Solo partendo da questi presupposti, è possibile rafforzare e riorganizzare efficacemente la propria postura di cyber security.
Affrontare il “prossimo Log4j”
Log4j ha sicuramente rappresentato un caso clamoroso, ma non rimarrà a lungo unico nel suo genere.
Le minacce alla sicurezza informatica sono, per loro natura, in costante movimento, il che significa che le aziende devono rimanere vigili e informate sulle criticità del settore e, al contempo, continuare a pianificare gli investimenti necessari per prevenire i costi, potenzialmente devastanti, di una violazione o di un exploit.
Solo adattandosi e sigillando i potenziali punti di ingresso e di attacco alle proprie reti, le aziende possono strappare una vittoria ai criminali informatici.