O que é o Log4j?

O Log4j é uma biblioteca de software desenvolvida em Java que é usada por milhões de computadores em todo o mundo em serviços online. É descrita como uma vulnerabilidade de dia zero (0 day) e classificada com a maior gravidade no Common Vulnerability Scoring System (CVSS; CVE-2021-44228). Foi classificada como 10 de 10 no CVSS, devido ao impacto potencial que pode ter se explorada por invasores. Essa vulnerabilidade permite que invasores controlem e executem código remotamente em máquinas vulneráveis.

Embora o Log4j seja mantido pela Apache, ele é utilizado em muitos aplicativos e dispositivos de fornecedores, além de sistemas personalizados. A seguinte referência lista os fornecedores conhecidos afetados até 12 de dezembro de 2021, mas não deve ser considerada definitiva. As organizações devem entrar em contato diretamente com os fornecedores para obter informações adicionais.

• CISA Vendor DB
• BleepingComputer
• GitHub: Dutch NCSC List of affected Software
• GitHub: SwitHak

Por que é crucial para as organizações levar isso a sério?

Essa vulnerabilidade, também conhecida como Log4Shell, permite a execução remota de código em muitos aplicativos por meio de solicitações web, sem autenticação, o que compromete toda a infraestrutura de tecnologia da informação (TI) e tecnologia operacional (TO).

A vulnerabilidade do Log4j, que é independente de fornecedores e afeta tanto software proprietário quanto de código aberto, deixará várias indústrias expostas a explorações remotas, incluindo energia elétrica, água, alimentos e bebidas, manufatura e transporte.

O Log4j é amplamente utilizado em uma variedade de serviços, sites e aplicativos de consumo e empresas, além de produtos de TO, para registrar informações de segurança e desempenho. A agência identificou que um invasor remoto não autenticado poderia explorar essa vulnerabilidade para assumir o controle de um sistema afetado.

Riscos possíveis para a TO:

• Possíveis impactos organizacionais que variam de mínimos a um ataque paralisante e possível roubo de informações, bem como perda de serviço.
• Disrupção das operações comerciais.
• A necessidade de divulgar onde os dados pessoais foram afetados.
• Custos associados à resposta a incidentes e recuperação.
• Danos à reputação.

Como se proteger?

Identificar, Acessar, Priorizar e Agir: Esses são os 4 pilares que ajudarão qualquer indústria de TO a lidar com essa vulnerabilidade de maneira bem abordada. A gravidade da vulnerabilidade do Apache Log4j está começando a se desdobrar no setor industrial, à medida que os fornecedores começam a identificar a presença da vulnerabilidade transversal em suas linhas de produtos.

• Identifique todos os ativos, incluindo aqueles voltados para a internet e os isolados, que permitem a entrada de dados e o uso da biblioteca Java Log4j em qualquer parte da pilha de comunicação.
• Acesse a paisagem da TO em sua organização e entenda a abordagem de risco versus remediação. Atualize ou isole o ativo afetado com base nesse resultado.
• Priorize as áreas críticas em comparação com as não críticas e trabalhe em estratégias de mitigação, como monitorar padrões de tráfego estranhos (por exemplo, tráfego de saída JDNI LDAP/RMI, sistemas DMZ iniciando conexões de saída, etc.). Instale ou modifique um Firewall de Aplicativos da Web (WAF) existente com regras para detectar a presença de vulnerabilidades.
• Crie uma equipe de ação que conduzirá a resposta a incidentes em todos os níveis e envolva as partes interessadas-chave em todas as atividades.

É importante observar que essa vulnerabilidade afeta tanto a TI quanto a TO, que usam Java em sua base de código, e com a gravidade dessa vulnerabilidade, surgirão variações mais sofisticadas de explorações do Log4j com uma probabilidade maior de impactar diretamente as redes da TO.

As organizações precisarão conduzir a abordagem de baixo para cima, pois, uma vez que as redes e aplicativos forem identificados, a paisagem poderá ser especificada e o plano de ação poderá ser elaborado. Tenha em mente que é imprescindível sempre se manter atualizado com os avisos, pois eles estão em constante atualização.

Leia a versão original em inglês no site da ISA: https://gca.isa.org/blog/log4j-vulnerability-what-why-and-how

Os usuários humanos são mais vulneráveis à ação de cibercriminosos do que as máquinas. Por esse motivo, as organizações investem ? ou deveriam fazê-lo ?- em campanhas de consciência cibernética.

Se você já realiza esse tipo de iniciativa, confira nosso artigo e saiba se está atingindo seus objetivos.

O fator humano é responsável por 82% das violações de dados. É o que aponta um relatório da Verizon, de 2022. Por esse motivo, é de extrema importância que as empresas invistam na conscientização dos seus colaboradores sobre segurança cibernética.

Também é indispensável medir a eficácia do programa de conscientização, a fim de aprimorá-lo, garantindo o alcance dos objetivos. Porém, apenas 70% das organizações adotam essa conduta, sendo que somente um terço possui confiança em usar as métricas certas.

Pensando nisso, preparamos este artigo para mostrar como avaliar o sucesso de sua campanha.

1. Analise o percentual de usuários que participam da campanha

Uma campanha de consciência cibernética só pode ser bem-sucedida se contar com a massiva adesão do time de colaboradores. Nesse caso, uma das primeiras métricas a se avaliar é o percentual de funcionários que participam de programas do tipo.

2. Colha o feedback dos usuários

Para avaliar a eficiência da campanha de segurança cibernética, é essencial solicitar feedbacks dos funcionários. Pensando neste objetivo, o RH ou o consultor de segurança podem aplicar um questionário de conscientização, com exercícios que permitam analisar o impacto dos treinamentos oferecidos, ao testar a capacidade do empregado em identificar uma situação de risco.

3. Atenção à frequência de treinamento e simulações em conscientização

Também é de suma importância promover treinamentos contínuos e simulações periódicas que possibilitem avaliar se o funcionário, de fato, absorveu o conteúdo.
Para engajá-los, é possível ainda oferecer bonificações e incentivos durante o treinamento, mostrando aos funcionários o investimento realizado para promover a segurança digital.

4. Analise os resultados dos testes de treinamento de conscientização e simulação

Os resultados dos testes de treinamento de conscientização e simulação têm a finalidade de mostrar como seu time está se saindo nas capacitações promovidas por sua empresa.

Por isso, fique atento à pontuação de cada funcionário para descobrir se é necessário aprimorar os treinamentos por meio de uma abordagem mais didática ou de exercícios práticos.

5. Verifique as taxas de clique em simulações de phishing e engenharia social

Ataques de engenharia social, incluindo phishing, estão entre os principais problemas de segurança cibernética enfrentados pelas organizações. Por esse motivo, é essencial aplicar simulações utilizando esse tipo de ameaça e avaliar as taxas de cliques nos supostos links infectados.

Conclusão

Neste artigo, mostramos como medir o sucesso de uma campanha cibernética em sua empresa. Se você gostou do nosso conteúdo, compartilhe com alguém!