Tientallen miljoenen getroffen toestellen, 840.000 aanvallen in de eerste 72 uur en honderden populaire services, zoals iCloud, Twitter en Steam die plots extreem kwetsbaar waren (bron, bron, bron) — Log4Shell was én is een gigantisch probleem voor wereldwijde cybersecurity. Volgens Ars Technica was ‘t zelfs “misschien wel de meest ernstige kwetsbaarheid ooit”.
Hoewel het stof wat is gezakt sinds de Log4Shell-exploit op 9 december publiek werd gemaakt – en direct de hoogste dreiging score mogelijk kreeg – kunnen we er nog altijd lessen uit trekken.
Daarom kijken we in deze Alert terug én vooruit. Wat was Log4Shell en wat leert het ons over cybersecurity om veiliger online te blijven ondernemen?
Wat was Log4Shell?
Cybersecurity laat zich niet altijd even makkelijk uitleggen en zonder uitgebreide computerkennis kan Log4Shell klinken als abracadabra, maar laat ons proberen het probleem kort toe te lichten.
Log4Shell draait om een softwaremodule genaamd Log4j, die eind 2021 kwetsbaar bleek voor aanvallen van buitenaf. Log4j is een module die onderdeel is van veel op Java gebaseerde software en helpt om gebeurtenissen te loggen, ofwel: bijhouden wat er allemaal gebeurt in een applicatie. Logging is voor developers essentieel en daarom wordt Log4j in zoveel services gebruikt.
Het probleem bij Log4j ontstond in een functionaliteit die toegevoegd was om het loggen makkelijker te maken.
Laten we dit proberen uit te leggen met een analogie.
Jouw bedrijf zit in een kantoorpand die je beveiligt met een receptionist bij de deur. Iedereen die het pand binnenkomt wordt gecontroleerd: wat kom je hier doen en wat neem je mee naar binnen? Antwoorden op die vragen worden in een systeem geregistreerd en de bezoeker krijgt een bezoekerspas. Jarenlang leek dat goed te gaan.
Tot werd ontdekt dat bij het invoeren van die gegevens speciale tekens konden worden gebruikt om het systeem te misleiden. Zo kon gezorgd worden dat de bezoekerspas ineens toegang gaf tot alle ruimtes, inclusief de zwaarbeveiligde kluis.
Hackers waren in staat om Log4j vanaf het internet code te laten downloaden en dit op de server uit te laten voeren. En hackers de mogelijkheid geven elk stuk code dat ze willen uit te voeren is alsof je jouw kantoor ‘s nachts open laat met alle lampen aan. Vandaar dat er in de eerste 72 uur al meer dan 840.000 aanvallen werden uitgevoerd.
De grote vraag is, wat kunnen wij, en jij als ondernemer, leren van deze Log4Shell-exploit?
Wat kunnen we leren van Log4Shell
- Update, update, update
De eerste is direct het meest simpel, maar we kunnen het echt niet vaak genoeg blijven zeggen: update, update, update. Nieuwe releases van de software en plugins die je gebruikt worden niet zonder reden gemaakt en bevatten vaak de plug die een lek dichten.
Het is belangrijk dat je op de hoogte blijft van dit soort belangrijke updates. De Apache Foundation achter Log4j maakte de kwetsbaarheid pas openbaar toen ze al een update voor de module hadden ontwikkeld. Bedrijven die bijvoorbeeld de nieuwsbrief van Apache ontvangen waren als eerste op de hoogte en konden direct overgaan tot actie.
Ook onze Attic Alerts helpen je hierbij, wij zullen ons best blijven doen je altijd zo snel mogelijk op de hoogte te stellen van zaken als Log4Shell. Toch raden we je aan hier altijd proactief in te zijn en niet afhankelijk te zijn van één bron.
- Asset Management; Weten wat je gebruikt
Het is ongelooflijk belangrijk dat je weet welke apparatuur, software en modules er binnen je organisatie worden gebruikt. Want als je niet weet wat je gebruikt: hoe weet je dan of er updates voor nodig zijn? Door een goed beeld te hebben van wat er in je organisatie wordt gebruikt, kan je snel vaststellen of je kwetsbaar bent zodra een leverancier nieuws naar buiten brengen over een nieuwe kwetsbaarheid.
Het idee van dit proces, wat we ook wel Asset Management noemen, is simpel. Tegelijkertijd is dit het belangrijkste probleem gebleken in de Log4Shell-crisis, omdat het voor veel bedrijven ingewikkeld was om vast te stellen welke apparatuur het kwetsbare Log4j allemaal bevatte. Dat kwam met name doordat de kwetsbaarheid soms diep verstopt zat in subcomponenten van apparatuur, zoals WiFi accesspoints of printers.
Asset Management is een basisbeginsel van IT organisaties, maar tegelijkertijd veel te vaak nauwelijks onder controle. Door Log4Shell zien we nogmaals hoe belangrijk het is om hiermee aan de slag te gaan.
- De noodzaak van zero-trust cybersecurity
Het gebrekkige overzicht door missend asset management binnen organisaties wordt versterkt door het effect van de supply chain. Veel diensten worden tegenwoordig kant en klaar afgenomen van online dienstverleners, zoals bijvoorbeeld Microsoft 365. Zo’n dienst kan op zichzelf onkwetsbaar zijn, maar wat als de dienstverlener die deze service voor je beheert apparatuur heeft die wel kwetsbaar is?
Al via één kwetsbare printer bij een dienstverlener in jouw supply chain kan een exploit als Log4Shell jou schade berokkenen.
Door Log4Shell zien we dat in deze tijd, waarin alles en iedereen met elkaar verbonden is, volledige controle een utopie is. Om de hieruit voortvloeiende problemen te minimaliseren kan overgegaan worden op zero-trust security.
Wat is zero-trust cybersecurity?
Stel je voor dat je wil inloggen op database van jouw organisatie. Eerder werd jouw systeem mogelijk alleen als onbetrouwbaar aangemerkt wanneer je vanuit huis werkte, maar met zero-trust security wordt elke inlogpoging gezien als een dreiging. Of je nou bij een vertrouwde dienstverlener, of op het hoofdkantoor zit. Zo beschermen we het systeem, want wat als je inlogt met een gehackte machine?
Vervolgens wordt er gebruik gemaakt van sterke authenticatie om je alsnog toegang te geven tot de database. IJzersterke authenticatie, gescheiden netwerken en goede monitoring en response zijn belangrijke factoren in een wereld met zero-trust cybersecurity.
Tegelijkertijd moeten we opletten dat zero-trust ook als buzzword gebruikt kan worden, omdat het extreem veilig klinkt. Echter, het is niet eenvoudig te implementeren. Toch werkt het goed om dit als basisidee in je achterhoofd te houden. Het helpt je om keuzes te maken bij de inrichting van jullie informatiebeveiliging.
En daar helpen we met Attic graag bij!
—
Ben je na het lezen van deze Alert benieuwd of jij eigenlijk nog kwetsbaar bent voor de Log4Shell-exploit? Neem dan contact met ons op, we helpen je graag veilig verder.