Banyak tim keamanan telah bekerja keras selama beberapa hari terakhir untuk menilai dan mengatasi paparan organisasi mereka terhadap CVE-2021-44228, alias “Log4Shell,” sebuah kelemahan yang diungkapkan dalam library logging berbasis Java Log4j yang populer.
Insiden ini adalah satu lagi dalam rangkaian panjang serangan rantai pasokan, kemungkinan besar melampaui kompromi rantai pasokan perangkat lunak SolarWinds pada akhir 2020 dalam hal dampak keseluruhannya.
Ini menyoroti nilai besar dari inventaris yang akurat dan tepat waktu, pada berbagai tingkat abstraksi. Secara khusus, terkait dengan Log4j, tantangannya signifikan; adalah perpustakaan yang digunakan secara luas yang sering kali tidak hanya ada di banyak sistem tetapi juga dapat dipanggil dari lokasi yang berbeda.
Dengan inventaris komponen perangkat lunak, pembuat perangkat lunak dapat mengambil langkah-langkah untuk mengidentifikasi masalah ini dengan cepat, dan salah satu metode tersebut adalah konsep yang disebut software bill of materials (SBOM) — deskripsi yang akurat, tepat waktu, dan mudah dikonsumsi dari blok bangunan dasar komponen perangkat lunak.
Untuk vendor, SBOM dapat membantu mereka mendapatkan informasi tepat waktu kepada pelanggan mereka tentang apakah produk tertentu terpengaruh. Untuk pengguna akhir, memiliki SBOM yang tepat untuk aplikasi utama secara signifikan memperpendek siklus triase, karena mereka berpotensi mengambil tindakan untuk membatasi akses ke aplikasi yang terpengaruh, atau bahkan menjadikannya offline, hingga perbaikan tersedia.
Prinsip-prinsip keamanan yang telah terbukti, seperti defense-in-depth dan hak istimewa yang paling rendah, juga memiliki peran yang kuat untuk dimainkan. Banyak tim keamanan memahami konsep ini dengan baik dan ingin menerapkannya pada perangkat lunak dan penyebaran solusi organisasi mereka, tetapi mereka sering mendapat penolakan dari pemangku kepentingan lain, atau kekurangan sumber daya untuk menerapkannya.
Hak istimewa terendah juga memainkan peran kunci, di tingkat host, aplikasi, dan jaringan. Di tingkat host, hak istimewa dan kemampuan aktual apa yang benar-benar dibutuhkan oleh proses yang memanfaatkan Log4j? Semakin, penggunaan prinsip-prinsip hak istimewa paling rendah ditambah pemantauan perilaku bersama perlindungan runtime dapat bertindak sebagai kombinasi yang kuat untuk menahan dampak dari sistem yang dieksploitasi.
Selengkapnya: Dark Reading