آسیب‌پذیری Log4Shell: چگونه Pros DevSecOps می‌توانند ریسک را کاهش دهند

یک آسیب‌پذیری حیاتی در کتابخانه منبع باز Apache Log4j که بر برنامه‌ها و سیستم‌های بی‌شماری در سراسر جهان تأثیر می‌گذارد، در 10 دسامبر به‌طور عمومی گزارش شد.

طبق گزارش آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISAآسیب‌پذیری Log4j که به نام Log4Shell شناخته می‌شود، می‌تواند «یک بازیگر راه دور تأیید نشده» را فعال کند. [to] از این آسیب‌پذیری برای در دست گرفتن کنترل سیستم آسیب‌دیده استفاده کنید.»

آسیب پذیری که به آن نیز معروف است CVE-2021-44228، قبلاً توسط پروژه منبع باز وصله شده است، اما این به سازمان ها، ارائه دهندگان برنامه و توسعه دهندگان بستگی دارد که این وصله را اجرا کنند – یعنی اگر حتی بدانند که در وهله اول از کتابخانه آسیب پذیر استفاده می کنند.

در حالی که آسیب‌پذیری Log4j Log4Shell شدید است، اما اولین آسیب‌پذیری نیست و احتمالاً آخرین نیز نخواهد بود که شامل نوعی کتابخانه کد اساسی است که به طور گسترده استفاده می‌شود.

اصلاح مولفه آسیب‌پذیر در تولید و همچنین استقرار یک شبکه یا سرویس فایروال برنامه کاربردی وب مبتنی بر ابر (WAF) هر دو اشکال کاهشی هستند که می‌توانند کمک کنند. در سطح عمیق‌تر، تعدادی از بهترین شیوه‌ها وجود دارد که سازمان‌ها و تیم‌های DevSecOps می‌توانند برای محدود کردن خطر CVE-2021-44228 و هر آسیب‌پذیری دیگری مانند آن استفاده کنند.

در زیر چند توصیه کلیدی برای متخصصان DevSecOps برای کمک به ایجاد انعطاف‌پذیری لازم برای جلوگیری و کاهش نقص‌هایی مانند CVE-2021-44228 از تأثیر شدید وجود دارد.

DevOps را با SecOps پل بزنید

با یک تهدید فعال مانند آسیب‌پذیری Log4Shell، تیم‌های عملیات امنیتی باید به طور فعال با تیم‌های DevOps همکاری کنند. یک رویکرد رایج در DevSecOps این است کهتغییر سمت چپ” – افزودن امنیت در مراحل اولیه توسعه با یک تهدید فعال، موضوع در کد است و همچنین در حال تولید است و نیاز به رویکرد جامع تری دارد.

“پل سمت چپ CI / CD Sandeep Lahane، بنیانگذار و مدیر عامل در دیپفنس، گفت ITPro امروز. هزاران آسیب‌پذیری ایجاد شده در طول اسکن‌های CI/CD در چنین مواقعی کمک چندانی نمی‌کنند، زیرا Ops مجبور است هزاران گره را تحت فشار زمان شدید اصلاح کند.

Lahane پیشنهاد می‌کند که تیم‌های DevSecOps قابلیت‌های خود را با ابزارهای زمان اجرا که از زمینه ترافیک برای شمارش، تجسم و بستن مسیرهای حمله استفاده می‌کنند، تقویت کنند.

از تست امنیت برنامه برای شناسایی ایرادات رایج استفاده کنید

آسیب‌پذیری Log4Shell یک نوع رایج نقص است که می‌توانست در طول توسعه شناسایی شود، اگر کد با نوع ابزار مناسب اسکن می‌شد.

به گفته جف ویلیامز، یکی از بنیانگذاران و CTO در امنیت کنتراست، تست امنیت برنامه (AST) توسعه دهندگان را از انجام انواع اشتباهاتی که منجر به بهره برداری می شود جلوگیری می کند.

ویلیامز گفت: «در این مورد، توسعه‌دهندگان داده‌ها را قبل از ورود به سیستم اعتبارسنجی یا فرار نکردند، مشکلی به نام log-injection. ITPro امروز. “حذف این مشکل، حملات Log4Shell را از رسیدن به کتابخانه آسیب پذیر متوقف می کرد.”

از تجزیه و تحلیل ترکیب نرم افزار استفاده کنید

به گفته تحلیلگر Forrester، از دیدگاه DevSecOps، محدود کردن ریسک ناشی از Log4Shell و آسیب‌پذیری‌های آینده مانند آن به این معنی است که بدانید چه چیزی در نرم‌افزار شما وجود دارد و اتوماسیونی را در اختیار داشته باشید تا به راحتی آن را ارتقا دهید. سندی کاریلی.

Carielli گفت که برای درک و کنترل نرم افزارهای موجود در برنامه های یک سازمان، تیم های DevSecOps باید خطوط لوله توسعه را با ابزارهایی ادغام کنند که:

1. گزارش های مربوط به کتابخانه های آسیب پذیر در نرم افزار
2. راهنمایی در مورد چگونگی رفع این مشکلات ارائه می دهد
3. زمانی که می‌خواهید کتابخانه‌های آسیب‌پذیر یا پرخطر را به پروژه خود اضافه کنید، سیاست‌هایی را برای مسدود کردن و هشدار تنظیم می‌کند.

“تحلیل ترکیب نرم افزار [SCA] ابزاری است که تیم های امنیتی برای درک مولفه های منبع باز و اغلب اجزای تجاری در نرم افزار شما استفاده می کنند.” ITPro امروز. یک راه حل SCA که به خوبی اجرا شده است، با خط لوله CI/CD، از جمله با مخزن کد منبع، ادغام می شود تا اجزای مخرب شناخته شده را مسدود کند، کتابخانه های آسیب پذیر و نحوه استفاده از آنها را شناسایی کند، و ارتقاها و وصله ها را به طور خودکار توصیه و کمک کند.»

او اضافه کرد که امروزه بسیاری از فناوری‌های SCA در حال گسترش به مسائل زنجیره تامین گسترده‌تر هستند و توصیه می‌کنند زمانی که قطعات قدیمی هستند، قدیمی هستند یا به خوبی نگهداری نمی‌شوند، به‌روزرسانی شوند. بسیاری از ابزارهای SCA نیز اکنون تولید و تجزیه و تحلیل می کنند صورتحساب های مواد نرم افزاری (SBOMs).

“در مورد Log4j، یک ابزار SCA به خوبی یکپارچه باید همه موارد آسیب پذیر Log4j را پیدا کند، آنها را بر اساس نحوه فراخوانی کامپوننت توسط محصول شما اولویت بندی کند، ارتقا را به نسخه ثابت توصیه کند و اتوماسیونی را ارائه دهد تا این ارتقا به همان اندازه یکپارچه شود. کاریلی گفت.