- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Sårbar utan att ens veta vad Log4j är

Sedan torsdagseftermiddagen har IT-branschen arbetat febrilt med att åtgärda konsekvenserna av den kritiska säkerhetsbristen i Log4j. Trots att namnet Log4j klingar obekant i de flestas öron är Log4j en av världens mest använda mjukvaror. Log4j har bara ingen fin ikon på skrivbordet, utan är ett ramverk som andra mjukvaror förlitar sig på under ytan. Det skriver Karl Emil Nikka, författare, poddar och säkerhetsexpert, tillika Årets Säkerhetsprofil 2021.

-

Karl Emil Nikka

Sårbarheten i Log4j är bokstavligen av det värsta slaget (läs mer om detaljerna hos Cert-SE). Via sårbarheten kan angripare lura internetexponerade servrar att köra angriparnas kod. Vi ser redan attacker som pågår i stor omfattning. Det är därför av högsta vikt att alla organisationer vidtar nödvändiga åtgärder.

I större organisationer finns rutiner för hur incidenter av detta slag ska hanteras, något som ofta saknas i mindre organisationer. Det viktigaste för organisationer utan rutiner är att uppdatera allt som uppdateras kan samt att aldrig använda applikationer (eller nätverksansluten hårdvara) som inte längre underhålls av tillverkaren. Om organisationen har en inventarielista över sina applikations- och utrustningsleverantörer så är den listan guld värd i situationer som denna. Då kan personen som är ansvarig för respektive leverantör se vad leverantören skriver om sårbarheten på sin webbplats och vidta de eventuella åtgärder som behövs. På Github finns en lista med länkar till kända påverkade leverantörer och deras informationssidor.

Applikationerna som är mest akuta att uppdatera är de internetexponerade sådana. Om organisationen har egna webbapplikationer eller internetexponerade servrar bör dessa prioriteras. När det är klart följer alla applikationer som på något vis ligger åtkomliga över nätverket.

Med anledning av sårbarhetens allvarlighetsgrad (10 av 10) finns det skäl för många organisationer att vidta ytterligare åtgärder. Detta gäller framförallt organisationer som hanterar känslig data, har haft sårbara applikationer exponerade mot internet eller har hittat spår av potentiella intrång. Sådana organisationer gör klokt i att anlita hjälp för aktiv sårbarhetsskanning och intrångsdetektering.

Min förstnämnda punkt om att patcha och underhålla applikationer gäller dock samtliga organisationer. Tag därför Log4j-incidenten som ett gott skäl att inventera vilka applikationer och leverantörer som ni har. Det behöver inte vara komplicerat. Till och med de som bara har simpla inventariekalkylblad är idag glada över att de åtminstone har en sådan översikt.

Karl Emil Nikka

- Annons -
- Annons -

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

Offren för utpressningsattacker har ökat med 138 procent i Norden

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än...
- Annons -

Säkerhet och digitalisering högst prioriterat för företags betalningslösningar inför 2023

Att stärka säkerheten är den satsning som företagen prioriterar allra högst när det gäller betallösningar, visar undersökningen. På andra plats hamnar digitalisering av betalningar,...

Gömmer sig en “cyberspion” i din datainfrastruktur?

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Cyberattacker är svåra att upptäcka. I snitt tar det upp till 287 dagar att...

2Secure anställer informationssäkerhetskonsult

Erik Baumgardt är i grunden statsvetare och inriktade sig tidigt på säkerhetspolitik och integritetsfrågor.– Jag vill utvecklas och lära nytt och såklart bidra till...

Verktyg ska hjälpa att systematisera och brottsförebygga i skolor

– Tillsammans med Länsstyrelsen i Blekinge har vi på den oberoende tankesmedjan Stiftelsen Tryggare Sverige utvecklat ett verktyg som möjliggör ett kunskapsbaserat och systematiskt arbetssätt...

Stanley Security rekryterar försäljningschef till NAC

Oscar kommer närmast från Kone AB där han arbetar som försäljningschef. Oscar har många års erfarenhet av ledande roller, bland annat vid ÅF Digital...

Ny forskning för att IT-säkra bilar

Aktuell Säkerhet har tidigare rapporterat om att IT-säkerheten hos nya bilar har stora brister. Nu har Rise inlett forskning som ska fastställa hur sårbara...

Samverkan för barns trygghet online

Sedan förra året driver Bris och Statens medieråd Sveriges Safer Internet Centre, ett EU-projekt som syftar till att öka barns och ungas trygghet på...

Många läkare utsätts för hot och våld

220621 Sofia Rydgren Stale, ordförande, Svenska Läkarförbundet, under en fotografering den 21 juni 2022 i Stockholm. Foto: Simon Hastegård / BILDBYRÅN / kod SH...

Säkra byggarbetsplatser kräver oberoende kontroller

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Nyligen kunde vi läsa i Aftonbladet om att 60 arbetare på Facebooks superbygge i...

CYBERSPANING: Fler globala attacker, statlig reglering och konsolidering under 2023

Check Point Softwares cyberspaningar för 2023:Ingen minskning av ransomware: Ransomware var det största hotet mot organisationer under det första halvåret av 2022, och Check...

Varannan svensk känner inte till GDPR

– Det är oroande eftersom en förutsättning för att kunna skydda sina personuppgifter i olika sammanhang är dels att känna till att bestämmelserna finns,...

Hässleholmare tilldelas Årets branschbragd 2022

Juryn, som bestått av Joachim Källsholm (ordförande i Säkerhetsföretagen) och Mats Adman (vd Rapid), har sammanfattat motiveringen till vinsten.Att arbeta i ett säkerhetsföretag innebär...

EU stärker cybersäkerheten och resiliensen i hela unionen – antar ny lagstiftning

Det nya NIS 2-direktivet ska ersätta de nuvarande nätverks- och informationssäkerhetsreglerna (NIS-direktivet).– Tveklöst förblir cybersäkerhet en central utmaning under de kommande åren. Våra ekonomier och medborgare...