Log4j Keşfi İçin 4 Pratik Strateji
Kuruluşlarını Log4j istismarına karşı güvenceye almak için çabalayan güvenlik ekipleri için ilk ve en zorlu görevlerden biri, Log4j'nin ortamlarında nerede bulunduğunu anlamaktır. Bu anlayış olmadan, herhangi bir iyileştirme çabası, hareket halindeyken engellenecektir. Elbette, Log4j binlerce üründe temsil edildiğinden, bu tür bir varlık yönetimi son derece zor olabilir.
Yine de, savunmasız bir Log4j örneğini kaçırmak bile bir kuruluşu risk altında bırakabilir; bu nedenle keşif, iyileştirme sürecindeki en önemli adımlardan biridir. Aşağıda, savunmasız Log4j uygulamaları için bir ortamı değerlendirmek üzere kullanılabilecek, uygulaması kolay dört güvenlik açığı bulma stratejisi yer almaktadır.
Tam bağlantı noktası güvenlik açığı taraması yapın
İlk olarak, kuruluşlar, hizmet parmak izi etkinleştirilmiş olarak tam bağlantı noktası güvenlik açığı taraması yapmalıdır. Nmap gibi tarama araçları , güvenlik ekiplerinin HTTP ve Uzak Yöntem Çağırma (RMI) gibi yaygın olarak kötüye kullanılan protokolleri belirlemesine olanak tanır. Güvenlik açığı tarama araçları, Java uygulamaları tarafından barındırılan RMI hizmetlerini de tanımlayabilir. Ekipler ayrıca, en üstteki HTTP Başlık ekleme noktalarına enjekte ederek savunmasız Log4j örneklerini belirlemek için Nessus veya Nexpose gibi araçlarla sunucu katmanı güvenlik açığı taraması yapabilir. Bu işlem, tek bir konumdan yürütülürse minimum çaba gerektirir.
Bir adım daha ileri gitmek için uzmanlar , mevcut web sitelerinin ekran kazımasını gerçekleştirmek için EyeWitness , WitnessMe veya Aquatone gibi bir aracı yapılandırmak için Nessus veya Nmap çıktısını kullanabilir. Bu, daha sonra daha kapsamlı testler için hedeflenmesi gerekebilecek web uygulamalarını belirlemek için kullanılabilecek, gözden geçirilecek bir web sitesi kataloğu oluşturmaya yardımcı olacaktır. Web uygulamaları listesi oluşturulduktan sonra ekipler, savunmasız Log4j örneklerini belirlemek için Log4Shell Tarayıcı eklentisi ile Burp Suite Pro gibi bir araç kullanabilir. Bu, kullanıcıya eşleyebileceği web uygulamasının tüm dinamik öğelerine geri aramalar başlatmak için yararlanılabilir dizeler enjekte edilerek gerçekleştirilir.
Log4j'ye özgü hedef dosyalar
Log4j açık kaynak kodludur, yani ücretsiz, pratik, kolay dağıtılabilir ve değiştirilebilir olması nedeniyle uygulamalarda kullanımı yaygındır. Bununla birlikte, Log4j'nin açık kaynaklı doğası, keşif aşamasında da faydalı olabilir. Güvenlik ekipleri Log4j'yi kolayca indirebilir ve paket tarafından kullanılan tüm dosyaların bir envanterini oluşturabilir ve buradan Log4j'ye özgü dosyaları hedefleyebilir.
Bu envanter geliştirildikten sonra, güvenlik ekipleri, Log4j'nin savunmasız örneklerini belirlemek için bir kuruluşun güvenlik ortamında zaten mevcut olan uç nokta algılama ve yanıt (EDR), dosya bütünlüğü izleme (FIM) ve yapılandırma yönetimi araçlarıyla bundan yararlanabilir. Ek olarak, teoride aynı envanter, web sunucularına karşı bir sözlük olarak kullanılabilir. Güvenlik ekipleri bu stratejiyi kullanarak, mevcut otomasyon araçlarını verimli bir şekilde kullanabilir ve daha sonra gerçek düzeltme görevinde kullanılabilecek zamandan ve kaynaklardan tasarruf edebilir.
Geliştirme ekiplerinizle işbirliği yapın
Güvenlik herkesin sorumluluğundadır. Bir kuruluşun gerçekten güvenli olmasını sağlamak için güvenlik ve geliştirici ekipleri birlikte çalışmalıdır. Log4j risklerini başarılı bir şekilde azaltmak için kapsamlı içgörü gereklidir. Bu süreç, tüm Log4j örneklerinin gerçekten ortaya çıkarılmasını sağlamak için iş birimleri ve geliştirme ekipleriyle derinlemesine işbirliği gerektirir. Bazı durumlarda, bir kuruluşun ağlarında net sahibi olmayan “kara kutular” olduğunda bu zor olabilir.
Güvenlik ekipleri, dahili olarak geliştirilen tüm uygulamaların ve ilgili uygulama sahiplerinin bir listesini oluşturmak için önce geliştirme ekipleriyle birlikte çalışmalıdır. Ardından, uygulama sahipleriyle bağlantı kurmalı ve belirli bir uygulamanın Log4j kullanıp kullanmadığını belirlemelidirler. Bunu yapanlar için, güvenlik ekibi ve uygulama sahiplerinin gerekli yamaları uygulamak için birlikte çalışması gerekecek. Bu strateji daha uygulamalı bir yaklaşım gerektirse de, bulunması daha zor olan Log4j uygulamalarını iyileştirme açısından önemli faydalar sunacaktır.
Satıcı risk yönetiminizi destekleyin
Üçüncü taraf yazılım sağlayıcıları, son on yılda kuruluşlar için siber güvenlik riskinin ana kaynaklarından biri olduğunu kanıtladı. Log4j bir istisna değildir. Güvenlik ekipleri, Log4j'nin harici uygulamalarla olan ilişkisini belirlemek, hangi satıcıların ve hizmetlerin Log4j'den yararlandığını, bu kuruluşların keşif ve düzeltme için gerekli adımları atıp atmadığını ve ağlarını başarılı kullanım veya talimatlar için test edip etmediklerini belirlemek için satıcılarla iletişim kurmalıdır.
Bu amaçla satıcılarla iletişim mümkün olan en kısa sürede başlatılmalıdır, böylece ekipler hangi hizmetleri yalıtmaları veya kullanmayı bırakmaları gerektiğini ve bunun kuruluşlarının işlevlerini veya hizmetlerini nasıl etkileyebileceğini bilirler.
Log4j keşfi ilk engeldir
Log4j'nin her yerde hazır ve nazır doğası, siber güvenlik uzmanları için açık bir zorluk teşkil ediyor ve birçok güvenlik ekibinin zaten az sayıda personeli olduğu için, olası tüm güvenlik açıklarını bulmak aşılmaz bir zorluk gibi görünüyor. Bir keşif stratejisi oluşturmak, zorluğun üstesinden gelmenin ilk adımıdır. Basit bir strateji ve net iletişim ve işbirliği ile ekipler hizmet ettikleri kuruluşları koruyabilir ve korumaya devam edecektir.
Kaynak: https://www.helpnetsecurity.com/2021/12/27/log4j-discovery/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.