Şirketlere yönelik siber saldırılar artık yaygın ve giderek daha sık görülen bir olaydır ve bu durum yönetim kurullarının finansmanı artırma ve diğer güvenlik önlemlerini etkinleştirme ihtiyacını fark etmeye ve kabul etmeye yönlendirmelidir. Ama yakın zamanda Gartner raporu yönetim kurullarının %88’inin siber güvenliği bir teknoloji riski değil, bir iş riski olarak gördüğünü, ancak yalnızca bir kısmının özel, yönetim kurulu düzeyinde bir siber güvenlik komitesine sahip olduğunu, bu da siber güvenliğin kritik bir yürütme işlevi olarak görülmediği anlamına geldiğini tespit ediyor.
Log4j’nin geçen ay güvenlikle ilgili çok fazla dikkat çekmesiyle birlikte, yalnızca siber güvenlik finansmanı görüşmesini değil, aynı zamanda yönetim kurulunun siber güvenliğe daha incelikli bir ilgi göstermesini sağlamak da zorunludur.
Log4j, bilgisayar korsanlarının savunmasız sistemlerde herhangi bir kodu çalıştırmasına veya Apache Log4j çerçevesini kullanan uygulamalara girmesine izin veren bir açık kaynak kod kitaplığıdır. Log4Shell olarak da adlandırılan güvenlik açığı gerçekten ciddi bir sorundur, o kadar ciddidir ki federal Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yayınlamıştır. Log4j’yi düzeltme konusunda rehberlik. Federal Ticaret Komisyonu (FTC) ayrıca şirketlere karşı önlem almak Bu güvenlik açığı nedeniyle tüketici verilerini maruz kalmaktan korumak için adımlar atmaz.
FTC’nin duyurusu, güvenlik pratisyenlerinden çok kurullara gerekli özeni göstermeleri ve risk etkisinin kurumsal sahipliğini üstlenmeleri gerektiği konusunda bir uyarı gönderiyor gibi görünüyor. FTC, “Güvenlik açıkları keşfedildiğinde ve istismar edildiğinde, kişisel bilgilerin kaybolması veya ihlali, mali kayıp ve diğer geri döndürülemez zararlar riski vardır. Bilinen yazılım güvenlik açıklarını azaltmak için makul adımları atma görevi, diğerlerinin yanı sıra yasaları da kapsar” dedi.
Bu nedenle, CISO’ların yönetim kurullarının önüne geçmeleri ve kayıtsızlık ve eylemsizliğin olası sonuçlarını açıklamaları gerekiyor. Çoğu insan (güvenlik uygulayıcıları dahil) büyük olasılıkla siber ihlal yorgunluğu yaşıyor ve Log4j’yi sadece ayın kusuru olarak görme eğiliminde olabilir. Bunu yapmak tehlikeli ve sorumsuz olurdu.
Kurullar, CISO’larından asla “Bilmiyorum” veya “Bu benim sorumluluğum değil” sözlerini duymak istemezler. Ve CISO’lar kesinlikle kurul önüne çıkmak ve bir sorunun kontrol altında olmadığı izlenimini vermek istemiyorlar. Ancak Log4j güvenlik açığı, Log4Shell örneklerinin tüm örneklerini algılamak, önceliklendirmek ve düzeltmek için kapsamlı çalışma zamanı analizine dayanan yeni bir yaklaşım gerektirir. CISO’lar bunu bir bütün olarak güvenlik duruşunu yükseltmek için bir fırsat olarak yeniden çerçevelemelidir.
Log4j’nin Önemi Üzerine Board Buy-In Nasıl Alınır
Artık artan sayıda CISO kurullarına sunmak güvenlik artık sadece bir teknoloji işlevi olarak görülmediğinden, çeşitli stratejik konularda Anahtar, meslekten olmayan kişilerin terimleriyle konuşmak ve bazı göze çarpan noktalara ulaşmaktır. Birincisi, Log4j’nin yavaş ama emin adımlarla kurumsal ağlarda yuvalandığını ve yakın tarihin en kritik sıfır gün güvenlik açıklarından biri olduğunu vurgulamaktır.
Kurul üyeleri siber güvenliğin operasyonel veya taktik yönleriyle ilgilenmezler; daha ziyade, güvenlik açığının oluşturduğu riskin bütünsel etkisine odaklanırlar.
Yönetim kurulunun da dikkatini çekecek olan şey, bu güvenlik açığının aşağıdakilerden bazılarını etkilemesidir. dünyanın en büyük BT şirketleri ve teknoloji satıcılarıAmazon Web Services, Oracle, Cisco, IBM, Fortinet, VMware ve diğerleri dahil.
Basit, günlük cihazlardan üst düzey uzay araçlarına kadar Log4j’nin yaygın bir dağıtımı vardır. Log4j’nin yaygınlaşması Rus yuvalama bebeklerine benziyor; panoların, güvenlik açığı örneklerinin birden çok geçişli bağımlılıkla gizlenebileceğini ve bu nedenle düzeltmeyi eşit derecede karmaşık hale getirebileceğinin farkında olması gerekir. Ve bilmedikleri şey onlara zarar verebilir.
Kurullar ayrıca Log4j’nin önümüzdeki yıllarda da var olmayı vaat eden büyüyen ve karmaşık bir güvenlik sorunu olduğunu anlamalıdır. CISO’ların bu kusuru ciddiye almamanın veri ihlali, veri kaybı, üretkenlik kaybı ve nihayetinde itibar kaybıyla sonuçlanabileceğini açıklamaları gerekir.
CISO’nun yönetim kurulu ile ele alınabilmesini sağlaması gereken bazı kilit sorular şunları içerir:
- Sorumlu kişi(ler)/kuruluş(lar) kimdir?
- Bu güvenlik açığının kuruluşumuz üzerindeki gerçek etkisini anlıyor muyuz?
- Gerçek risk ve finansal etkinin ölçülebilmesi için tüm Java tabanlı uygulamalarda görünürlüğe sahip miyiz?
- Güvenlik açıklarını tespit etmek, ele almak ve gidermek için araçlardan ve yetenek perspektiflerinden yeterli kaynağa sahip miyiz?
- Tedarik zinciri etkileniyor mu ve acil durum planları var mı?
- Yerinde bir iyileştirme planı var mı? Kesinti durumunda bir iş sürekliliği planı var mı?
Nihayetinde yönetim kurulu, Log4j’nin ani tehdidini ele almak için kısa vadeli planın ne olduğunu ve gelecekteki saldırıları önlemek için uzun vadede ne yapıldığını bilmek isteyecektir.
Ayrıca, tahtanın büyük resmi anladığından emin olun. Log4jshell bir güvenlik açığı olarak geliştikçe ve kuruluşlar saldırıları önlemek için karşı önlemler ve azaltıcı önlemler aldıkça, tehdit aktörleri de geçici çözümler ve yeni tehdit vektörleri bulmaya çalışıyor. Ağınıza erişim sağlayan tehdit aktörlerinin etkisi şu anda net olarak tanımlanamıyor.
Log4j basit bir güvenlik açığı değildir. Değişken olduğunu kanıtlıyor ve önde kalmak ve güvende olmak istiyorlarsa kuruluşların bunu ele almaya hazır olmaları gerekiyor. Sektöre bağlı olarak etki, veri kaybından fidye yazılımına, kar kaybına ve üretim sorunlarına kadar değişebilir, bu nedenle güvenlik liderlerinin bu güvenlik açığıyla başa çıkmak için ihtiyaç duydukları finansmana ve kaynaklara sahip olmaları gerekir.