Log4j:10 pertanyaan yang perlu Anda tanyakan

Pusat Keamanan Siber Nasional Inggris (NCSC) mendesak dewan perusahaan untuk mulai mengajukan pertanyaan kunci tentang seberapa siap mereka untuk mengurangi dan memulihkan kelemahan Log4Shell yang meluas dan kritis dalam komponen pencatatan kesalahan aplikasi berbasis Java, Log4j.

NCSC menyebut Log4Shell "kerentanan komputer paling parah dalam beberapa tahun" dan meminta dewan perusahaan untuk menangani bug ini dengan segera. Ini menekankan bug Log4j - juga dikenal sebagai Log4Shell - adalah komponen perangkat lunak daripada bagian dari perangkat lunak, yang berarti akan jauh lebih rumit untuk ditambal.

Log4Shell adalah berita buruk hari ini dan kemungkinan akan mengintai di sistem perusahaan selama bertahun-tahun meskipun ada upaya besar dari pemerintah AS, kontributor teknologi besar dan sumber terbuka untuk mengatasi kekurangan dalam proyek Log4J versi 2 asli, implementasinya dalam produk perangkat lunak utama, dan penerapannya di ratusan juta aplikasi perusahaan, server, dan perangkat yang terhubung ke internet.

Ada upaya berkelanjutan melalui Apache Foundation untuk menambal proyek inti Log4j, serta upaya hilir oleh IBM, Cisco, Oracle, VMware, dan lainnya untuk menambal produk yang berisi versi rentan dari komponen Log4j. Google juga telah merilis alat untuk mencegah pengembang menggunakan versi Log4j yang rentan dalam versi baru perangkat lunak sumber terbuka. Dan pemerintah AS telah memerintahkan semua agen federal untuk menambal atau mengurangi Log4Shell sebelum Natal.

Peretas yang disponsori negara telah mulai memeriksa bug untuk kemungkinan serangan di kemudian hari, menurut Microsoft dan Google, sementara penjahat dunia maya mencari cara untuk mengambil untung darinya. Sementara itu, Kementerian Pertahanan Belgia mengkonfirmasi serangan pada jaringannya menggunakan bug Log4j.

Tantangan utama NCSC mencakup organisasi yang mencari tahu layanan apa yang menggunakan Log4j; mengidentifikasi layanan mana yang digunakan organisasi; dan kemudian mencari tahu apakah layanan ini rentan. CISA telah mewajibkan semua agen federal AS untuk menghitung perangkat yang menghadap ke luar dengan Log4j terpasang. Itu bukan tugas kecil, terutama mengingat jumlah produk yang terpengaruh dari Cisco, IBM, Oracle, dan VMware. Karena penggunaan komponen secara luas di produk lain, CISA memperkirakan ratusan juta perangkat di seluruh dunia terpapar.

Meskipun Microsoft belum menemukan contoh ransomware yang dioperasikan manusia yang lebih berbahaya menggunakan kerentanan, Microsoft telah melihat aktor ancaman Iran bersiap untuk menggunakannya untuk serangan ransomware.

NCSC telah mengajukan 10 pertanyaan untuk dewan yang khawatir tentang kekurangannya:

1. Who is leading on our response?
2. What is our plan?
3. How will we know if we're being attacked and can we respond?
4. What percentage visibility of our software/servers do we have?
5. How are we addressing shadow IT/appliances?
6. Do we know if key providers are covering themselves?
7. Does anyone in our organisation develop Java code?
8. How will people report issues they find to us?
9. When did we last check our business continuity plans and crisis response?
10. How are we preventing teams from burning out?

• zdnet.com