Rose debug info
---------------

Блог Start X

Как не допускать проблем класса Log4Shell




Андрей Жаркевич
редактор


Артемий Богданов
технический директор

О чем речь

  1. В библиотеке Apache log4j обнаружена критическая уязвимость CVE-2021-44228, которой присвоен максимальный уровень опасности — 10 из 10 баллов по шкале CVSS.
  2. Ее эксплуатация не требует выдающихся технических навыков и укладывается в одну строчку кода.
  3. Выпущенное Apache Software Foundation экстренное обновление безопасности не исправило ситуацию.
  4. CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java.
  5. Тысячи компаний остаются уязвимы для атак Log4Shell прямо сейчас.

Как исключить влияние этой и аналогичных уязвимостей

— Это же 0-day уязвимость, что можно сделать заранее?
— А вот что:

Software Composition Analysis — это класс решений, позволяющий оценивать риски, связанные с использованием стороннего и открытого программного обеспечения в ваших проектах. На момент применения данной практики ни о какой уязвимости в log4j не было известно, но при правильной реализации процесса компонентного анализа можно быстро выявить все ПО, имеющее уязвимые сторонние компоненты.

Для всего разрабатываемого в компании ПО должны применяться AppSec практики, а для этого лучше всего подходят решения Application security requirements and threat management (ASRTM):

  1. С помощью ASRTM заранее формируются требования о необходимости подключения к инструменту компонентного анализа или другим актуальным инструментам и практикам для контроля компонентов.
  2. После получения информации об уязвимости можно быстро описать шаги для устранения данной уязвимости и за одну минуту сформировать это как новое требование для всех команд, которые разрабатывают ПО с использованием log4j.
  3. Далее автоматически сформируется задача в Jira с наивысшим приоритетом для каждой команды разработки.



Продукт Антифишинг. START относится к решениям ASRTM и позволяет не только управлять требованиями по ИБ, но и обучать ваши команды безопасной разработке.

Напишите нам на devsecops@antiphish.ru, мы поможем разобраться в основах AppSec практик и покажем, как наши продукты способствуют организации процессов безопасной разработки.

Поделиться
Отправить
Запинить
 306   2021   статьи
Ctrl ←Антифишинг-дайджест № 252 с 10 по 16 декабря 2021 года
Ctrl →Антифишинг-дайджест № 253 с 17 по 23 декабря 2021 года
О компании Start X
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры атак для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Start X
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.




© Start X, 2016...2024 РСС
Движок — Эгея