Log4j’nin oluşturduğu tehdidi tamamen ortadan kaldırmak yıllar, hatta belki on yıl alacak. (yeni sekmede açılır) güvenlik uzmanları uyardı.
ABD Hükümeti Siber Güvenlik İnceleme Kurulu, Log4j hatasına neyin neden olduğunu analiz etti ve etkilenen işletmeler için çözümler, dersler ve diğer önemli çıkarımlar bulmaya çalıştı.
Ulusal Güvenlik’in bir parçası olan 15 güçlü bağımsız organ, ABD Başkanı Joe Biden tarafından 2021’de ülkenin siber güvenlik standartlarını denemek ve yükseltmek için kuruldu ve son beş aydır Log4j’yi araştırıyor.
Araştırmasının bulguları arasında, yama uygulanmamış uç noktaların (yeni sekmede açılır) on yıl olmasa da yıllarca oyalanacak ve onlarla birlikte istismar tehdidi.
“Bu olay bitmedi. Risk devam ediyor. DHS’deki politika müsteşarı ve panel başkanı Rob Silvers, Çarşamba günü bir konferans görüşmesi sırasında gazetecilere verdiği demeçte, ağ savunucuları uyanık kalmalı, ”dedi. Kayıt bildirildi.
Silvers’a göre, rapor için endüstri, yabancı hükümet ve güvenlik uzmanlarının yanı sıra yaklaşık 80 işletmeyle röportaj yapıldı. Bunu ilk keşfeden Alibaba mühendisleri olduğu için Çin hükümeti de işin içindeydi.
Her zamanki gibi, Çinliler hemen bulgularından yararlanmaya çalışmakla suçlandılar, ancak rapor, bu tür iddiaları destekleyecek hiçbir kanıt bulunmadığını söylüyor.
Sonuç olarak, rapor, kuruluşların Log4j güvenlik açığının oluşturduğu riskten korunmalarına yardımcı olacak neredeyse iki düzine tavsiye verdi. Kurul ayrıca, işletmelerin siber güvenlik çözümleri ve güvenlik duvarları gibi savunmalar açısından bahsi yükseltmesi gerektiğini savunuyor. (yeni sekmede açılır) ve sıfır güven.
Log4j yardımcı programı, milyonlarca uç noktayı veri hırsızlığı riskine sokan büyük bir kusurun keşfedilmesinden sonra geçen yılın sonunda bir medya fırtınasının merkezindeydi.
Keşfedildiği sırada, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, bunu tüm kariyeri boyunca gördüğü “en ciddi” kusurlardan biri olarak nitelendirdi, “en ciddi olmasa da”.
Aracılığıyla: Kayıt (yeni sekmede açılır)