Få av oss som arbetar med cybersäkerhet hade vid början av december kunnat förutse hur vägen mot jul skulle bli. Log4Shell och efterföljande sårbarheter i Log4j ledde till veckor av sömnlösa nätter och oroliga videomöten. Så här efteråt kan vi konstatera att loggningsverktyg används i så pass stor utsträckning, i princip överallt, att dessa hot kommer finnas kvar under månader och rentav år framöver.
Men det tar inte slut här. Log4Shell kan vara starten på en extremt ovälkommen trend: en cyberpandemi driven av sårbarheter i öppen källkod.
Log4Shell ses som en av de värsta sårbarheterna på flera år, kanske rentav någonsin. Med sitt CVSS-poäng på 10,0 ser vi en bugg som är relativt lätt att utnyttja, finns i ett mycket vanligt förekommande Java-baserat loggningsverktyg, som kan vara svår att lokalisera, och som även gör det möjligt att fjärrköra kod. Upptäckten av Log4Shell följdes snabbt av fyndet av ytterligare fyra sårbarheter i samma paket, av varierande allvarsgrad.
Antalet sårbarheter som upptäckts i öppen källkod, och i mjukvara generellt, ökar stadigt och 2021 var ett rekordår för CVE:er (Common Vulnerabilities and Exposures) för femte året i rad.
Utmaningen med DevOps
Den stora utmaningen med just öppen källkod är hur den används. Programvaruutvecklare idag har en enorm press på sig att skynda produkter till marknaden, ofta utan en noggrann granskning av eventuella säkerhetsbrister. För att snabbt få ut produkter använder sig många utvecklare av förbyggda paket med öppen källkod, och det sägs att under 2021 efterfrågades över 2,2 biljoner paket med öppen källkod från de fyra vanligaste programplattformarna: Java, JavaScript, Python och .NET.
Problemet är att det som laddas ner ibland innehåller bristfällig kod, vilket omedvetet skapar en risk för cyberattacker vid bakdörren. En studie från en leverantör till oss menar att attacker där hackare proaktivt lägger in buggar i programkod uppströms i källarkivet och sedan utnyttjar dem innan de upptäcks har ökat med 650 procent 2021 jämfört med året innan.
Vad som behöver hända under 2022
Dessvärre visar en av våra undersökningar att hela 97 procent av svenska IT-beslutsfattare (90 procent globalt) är beredda att kompromissa med säkerheten för att nå mål inom andra områden så som digital transformation eller produktivitet. Detta måste förändras, och det behöver inte bli en stor kompromiss.
- Känn till ditt register av programvarutillgångar – vilken databasprogramvara körs bakom X/Y?
- Förstå risken förenad med varje applikation – vet du verkligen vilken data som kan vara exponerad i varje applikation och konsekvenserna för verksamheten om den attackeras?
- Vilken är den laterala risken baserat på om en applikation attackeras? Kan du segmentera ditt nätverk ytterligare för att reducera den? Kan det vara vettigt med en zero trust-strategi för att minska tillfälliga och reaktiva åtgärder?
- Börja från vänster – utvärdera proaktivt koden och dess källa i början av ditt bygge för att säkerställa att du inte lägger till kända sårbarheter i dina applikationer. Och se till att dina utvärderingsverktyg i efterhand kan kontrollera om nyupptäckta sårbarheter tillkännages.
- När du styr vänster, baka in automatiserad säkerhet i DevOps-kedjan via API:er för minimal rubbning och maximal effekt. Säkerhetsteam är redan överarbetade, och den stora kompetensbristen som finns globalt bådar inte gott, med tanke på återkommande larm om sårbarheter och ökande cyberhot.
Vi står högst troligt inför ännu ett tufft cybersäkerhetsår, inte minst vartefter hotlandskapet kring öppen källkod fortsätter utvecklas. Med rätt angreppssätt är det dock inte omöjligt att få såväl säker kod som produkter levererade i tid, men vi behöver förstå riskerna och hur de bäst hanteras för att vi ska kunna bromsa en eventuell cyberpandemi driven av öppen källkod.
Jean Diarbakerli, säkerhetsrådgivare Trend Micro Sverige.
