Da qualche settimana il mondo del business è entrato in allarme per una vulnerabilità che minaccia di colpire ben oltre i confini della semplice tecnologia informatica. Si tratta di una vulnerabilità critica all’interno di una libreria di sviluppo software open-source molto utilizzata, denominata Log4j (o anche “Log4Shell”) in CVE-2021-44228. Andando a colpire le versioni di Log4j da 2.0-beta9 a 2.14.1, la falla ha il potenziale per causare l’esfiltrazione di dati e/o l’esecuzione di codice remoto sui server che utilizzano questo componente per la loro funzionalità di registrazione.
Il problema reale, che ha portato Log4Shell all’attenzione globale, con un impatto di enorme portata, è che a differenza di altri grandi attacchi informatici che coinvolgono uno o un numero limitato di software, Log4j è fondamentalmente incorporato in ogni prodotto o servizio web basato su Java. È utilizzato direttamente o indirettamente (tramite codici di terze parti) nelle applicazioni consumer e nei servizi aziendali più popolari del mondo. È molto difficile rimediare manualmente ma, se non controllata e rimossa, la vulnerabilità RCE (Remote Code Execution) presente al suo interno può permettere a un cybercriminale di inserire un codice Java arbitrario e prendere il controllo di un server aziendale, con tutti gli effetti che possiamo immaginare.
Ma perché Log4j è così pericolosa e come le aziende possono proteggersi in modo adeguato?
Come detto, il primo passo è la visibilità. La libreria che la contiene è molto utilizzata, presente in numerosi server Java. In quanto tale, è molto probabile che l’azienda stessa non sia immediatamente al corrente di avere in casa un problema potenzialmente esplosivo. Per questo motivo, è necessario procedere a un inventario dei propri asset software per capire se quella determinata libreria è presente, e procedere immediatamente al patching. In questo caso però l’attenzione è d’obbligo, perché non è detto che le nuove versioni di un determinato server software contengano l’aggiornamento della specifica libreria. Ci sono strumenti di scanning dell’infrastruttura informatica che consentono di identificare i singoli punti di criticità. Il supporto di una realtà specializzata in cybersecurity, che ne abbia chiari tutti i meccanismi e i processi è in questo caso fondamentale.
Un altro aspetto fondamentale è la rapidità. Per le sue caratteristiche di estrema diffusione e difficile identificazione, la vulnerabilità Log4j rappresenta un’opportunità incredibile per i cybercriminali che possono lanciare attacchi su larga scala prendendo di mira tutte le organizzazioni che hanno determinate versioni di Java, quelle che contengono la vulnerabilità identificata. Finché questa non viene sanata, le aziende sono a rischio. Servono strumenti capaci di operare ad ampio respiro, sia per analizzare un elevato numero di macchine in tempi molto brevi, che per procedere al loro aggiornamento. Un’azione di remediation su larga scala è necessaria, per bloccare sul nascere ogni prospettiva di attacco da parte dei cybercriminali.
In tutto ciò, gioca un ruolo molto importante anche la capacità di approfondimento, ovvero la possibilità da parte dell’azienda di analizzare l’infrastruttura nel dettaglio, rispetto ai principali paradigmi di sicurezza. Che siano vulnerabilità note, incongruenze di configurazione, errori nell’attribuzione dei permessi o processi operativi non sufficientemente chiari, tutto questo si può tradurre in una situazione di pericolo più o meno latente. Solo una scansione ricorrente, che riguardi le vulnerabilità ma anche i processi, può elevare in modo sensibile il livello di protezione, permettendo in caso di problemi di definire e implementare una strategia di remediation efficace. La possibilità di accedere a un SOC, con un aggiornamento continuo delle vulnerabilità e playbook ben definiti per la remediation può fare la differenza.
Infine, è fondamentale una visione di insieme da parte delle organizzazioni. Sempre più spesso, il succedersi di installazioni successive crea aree distinte, caratterizzate da situazioni di sicurezza differenti, i cosiddetti “silos”. Questo genera una doppia tipologia di problemi, da un lato la scarsa omogeneità in termini di sicurezza delle funzioni aziendali, che può portare a un mancato equilibrio complessivo della struttura. Dall’altro, la possibilità per i criminali di insinuarsi nelle aree “grigie” tra un silo e l’altro, ovvero aree non sufficientemente presidiate. Questo aspetto è affrontabile con successo solo considerando la sicurezza nel suo complesso, a livello di organizzazione. Elevandola al rango di priorità strategica aziendale e trattandola di conseguenza, non più come un “male necessario”, ma come un elemento fondante del business aziendale, al pari di altre funzioni come quella di ricerca e sviluppo o commerciale. Con la sicurezza considerata una priorità, gli investimenti in questo campo vanno dirottati su soluzioni e tecnologie in grado di garantire sempre la migliore protezione, con un monitoraggio costante della situazione, sia in termini di infrastruttura che di panorama esterno delle minacce. Solo un SOC, basato sulle tecnologie più avanzate e forte di competenze specialistiche sempre aggiornate può garantire alle aziende il livello di sicurezza necessario a operare con fiducia.