O final de 2021 assustou de pequenas a médias empresas, de todos os segmentos, a se deparem com a vulnerabilidade crítica Log4Shell, com nível de gravidade CVSS Common Vulnerability Scoring System 10 de 10 – o maior risco possível. Isso a classificou também como uma vulnerabilidade dia zero (0-day).
A vulnerabilidade CVE-2021-44228 gerou bastante preocupação em nível global devido ao fato de a biblioteca Log4J ser usada no mundo inteiro por desenvolvedores para fazer loggings de aplicações em Java,
Para se ter ideia do tamanho do estrago, apenas dias depois da descoberta do problema, 53% das empresas brasileiras foram atingidas por tentativas de ataques (um número maior do que o número de empresas globais atingidas, que foi de 44%).
Segundo o Google, mais de 35 mil pacotes Java (que representam mais de 8% do principal repositório Java, o repositório Maven Central) foram afetados pelo problema: “A exploração do Log4J “cativou o ecossistema de segurança da informação desde sua divulgação em 9 de dezembro por causa de sua gravidade e impacto generalizado”.
Neste post, vamos entender o problema como um todo, bem como as soluções proposta pela própria Apache e algumas propostas de recursos para que sua empresa esteja mais bem protegida para eventuais problemas de segurança no futuro.
Entenda o que é a vulnerabilidade crítica Log4Shell
A biblioteca Log4J pertence a Fundação Apache, é uma organização sem fins lucrativos criada para suportar projetos de código aberto de desenvolvedores de software. Os softwares criados pela fundação são distribuídos sob a licença Apache e são conhecidos como software livre ou open source software.
A fundação disponibiliza esta biblioteca para o uso em linguagens e frameworks, e esse pacote é utilizado, pela Apple iCloud, Google, Twitter, Steam, Minecraft - e até um dos rovers de Marte da NASA. Em resumo: todos nós podemos ser afetados por essa vulnerabilidade, uma vez que ela incide em sistemas web, mas também em a softwares de desktop que usamos no nosso dia a dia.
A partir dessa biblioteca da Apache, é realizado o processo de logging. Um arquivo de log se refere a um registro contínuo, capaz de mostrar quando um evento aconteceu, qual foi ele, e qual usuário deu início ao mesmo. Ele é criado de forma automática por softwares e sistemas de TI. Através desses arquivos, ocorrem o registro de dados referentes aos envios de informações - de processamento, das interações, dos resultados de operações ou ainda de outros dados da aplicação.
Alguns exemplos de logs são:
- Aplicações, como mudanças de contas, atividades do servidor e alterações na configuração
- Firewalls, indicando quais ações foram bloqueadas por causa da política de segurança
- Antimalwares, em que os logs conseguem identificar desde a detecção de malwares até as atualizações das assinaturas de antivírus
A finalidade desses logs armazenados é de servirem para análises e acompanhamento de alterações, bem como de inclusões, exclusões e erros. No entanto, se o dispositivo apresenta a falha Log4Shell, à medida que os logs são processados, a string pode forçar o sistema a executar um script malicioso, que garante ao invasor o controle completo de qualquer dispositivo, já que o Java é a linguagem desses recursos por padrão.
As consequências deste tipo de vulnerabilidade é que ela pode permitir a passagem e a subsequente divulgação de um arquivo. Problemas com caminhos permitem que pessoas não autorizadas acessem arquivos em um servidor da web, enganando-o ou o aplicativo da web em execução para retornar arquivos que estejam fora da pasta raiz da web.
Problemas de travessia de caminho permitem que pessoas não autorizadas acessem arquivos em um servidor da web, enganando-o ou o aplicativo da web em execução para retornar arquivos que estejam fora da pasta raiz da web. Isso se traduz em exposição a dados confidenciais, roubo de dados e disseminação de um ransonware na rede. A própria Apache liberou uma lista de todas as possíveis vulnerabilidades de segurança do Log4J, que você pode consultar aqui.
Soluções para a vulnerabilidade Log4Shell
Solução Fundação Apache
A solução dada pela Fundação Apache para a falha de segurança na biblioteca Log4j foi disponibilizar em seu site diversas versões de atualizações. A atualização da bilioteca, sozinha, supostamente já resolve o problema: a versão 2.15.0 e está disponível no Maven Central.
Solução Trend Micro
A versão 2.15.0 só funciona quando emparelhado e usando Java 8. Se você utilizada versões anteriores de Java (6 ou 7) será necessário aplicar e reaplicar as soluções temporárias descritas pela Trend Micro, durante as reinicializações em certos cenários. Esta, portanto, não é uma solução de longo prazo, a menos que a combinação adequada de Log 2.15.0+ e Java 8 seja usada.
- Para versões> = 2.10: os usuários podem definir a propriedade do sistema log4j2.formatMsgNoLookups como true
- Para versões> = 2.10: defina também a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS como true
- Para 2.0-beta9 a 2.10.0: remova JndiLookup.class do caminho de classe: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class
Verifique sempre as atualizações dos seus softwares
Outro ponto importante, é verificar a atualização de cada fornecedor dos softwares utilizados pela sua empresa. Para saber quais sofwares estão suscetíveis a esta vulnerabilidade crítica, basta consultar a lista disponibilizada no site GitHub. Também no site da Apache Foundation é possível consultar uma lista dos softwares da apache mais suscetíveis à falha.
No entanto, como nem todas as empresas têm conhecimento dessas atualizações - e de outras vulnerabilidades que são descobertas todos os dias, elas continuam suscetíveis a ataques.
Isso acontece porque em geral apenas as grandes empresas possuem uma área de TI que seja responsável por monitorar toda a rede corporativa e desenvolver soluções de gerenciamento de vulnerabilidade e segurança de aplicativos. Já as pequenas e médias empresas têm mais dificuldade para se protegerem, pois muitas vezes não contam com um profissional dedicado da área para dar suporte. Nesses casos, o ideal é terceirizar sua infraestrutura, e contratar um serviço de gerenciamento, para que essa empresa parceira seja a responsável por identificar potencias riscos de segurança, bem como atuar em casos de vulnerabilidades críticas.
Passo a passo para manter a segurança contra a vulnerabilidade Log4Shell
De uma forma simples, vamos apresentar este passo a passo para ser utilizado por empresas que utilizam a biblioteca e, consequentemente, estão vulneráveis a todos os tipos de ataques. Seguindo essa lista, você consegue neutralizar a vulnerabilidade do Log4Shell:
PASSO 1
Mapear toda a rede corporativa da empresa, investigando cada aplicativo e sistema ligado a Internet em que ocorrem fluxo de dados.
PASSO 2
Acessar as listas disponíveis tanto no GitHub quanto da própria Apache para identificar se a empresa utiliza algum dos softwares relacionados.
PASSO 3
Realizar a correção dos aplicativos vulneráveis com as atualizações dispnibilizadas pelos fabricantes dos softwares da sua listagem.
PASSO 4
Caso não tenha uma atualização para algum dos seus softwares, entre em contato com o fornecedor para ver as soluções que ele oferece. Muitas empresas divulgam as suas correções\melhorias através de canais como newsletters por e-mail, basta assina-las no site do fabricante.
PASSO 5
Se o fornecedor não apresentar uma solução satisfatória, é necessário avaliar o risco de continuar com o software em relação às possibilidades de uma troca de aplicativo.
Quais recursos podem ajudar o seu TI a manter a segurança da sua empresa?
A segurança, para o departamento de Tecnologia da Informação, está relacionada com um conjunto de estratégias utilizadas com o objetivo de gerenciamento da informação digital, ou seja, administrar os processos, recursos e políticas da empresa voltadas para prevenir, identificar, registrar e buscar soluções contra ameaças aos seus dados. Para isso, a maioria das empresas conta com uma combinação de recursos. Listamos abaixo as três principais soluções utilizadas pela grande maioria de empresas:
SOLUÇÃO 1 - Criptografia
A criptografia é um método de proteção de informações e comunicações por meio do uso de códigos, de forma que somente aqueles a quem a informação se destina possam lê-la e processá-la.
Na ciência da computação, a criptografia de dados é um método de segurança que realiza a conversão de dados eletrônicos em texto criptografado, visando garantir a segurança da transmissão de dados, uma vez que o acesso é permitido apenas para as pessoas autorizadas.Alguns exemplos de algorítmos utilizados para criptografar informações são:
- Geração de chave criptográfica
- Criação de assinatura digital
- Verificação para proteger a privacidade de dados, navegação na internet e comunicações confidenciais, como transações com cartão de crédito e e-mail
Confira abaixo os procedimentos e protocolos que atendem aos principais objetivos da criptografia:
- Confidencialidade: A informação não pode ser compreendida por ninguém que não deva ter acesso a ela.
- Integridade: As informações não podem ser alteradas no armazenamento ou trânsito entre o remetente e o destinatário pretendido sem que a alteração seja detectada.
- Não-repúdio: O criador/remetente da informação não pode negar posteriormente as suas intenções na criação ou transmissão da informação.
- Autenticação: O remetente e o destinatário podem confirmar a identidade um do outro e a origem/destino da informação.
Esses procedimentos são conhecidos como criptosistemas. Acredita-se que os criptossistemas se referem apenas a procedimentos matemáticos e programas de computador; no entanto, eles também incluem a regulação do comportamento humano, como por exemplo, escolher senhas difíceis de adivinhar, utilizar aplicativos de gerenciamento de senhas, fazer logoff de sistemas não utilizados e não discutir procedimentos confidenciais com pessoas de fora.
SOLUÇÃO 2 - Armazenamento em nuvem
À medida que mais empresas olham para a nuvem como o futuro dos negócios, a segurança na nuvem é uma necessidade absoluta.
A Segurança de nuvem é um termo amplo que engloba a tecnologia e as práticas recomendadas criadas para garantir que a infraestrutura de nuvem de uma organização esteja protegida contra ameaças de segurança cibernética internas e externas – sem isso, sua empresa não vai conseguir passar pela já consolidada “transformação digital” sem comprometer informações cruciais para o sucesso do seu negócio.
As soluções em nuvem hoje contam com 3 modelos: pública, híbrida e privada. Você provavelmente já sabe que, em termos de segurança, uma nuvem privada é a melhor opcão, uma vez que todos os seus dados trafegam em um ambiente interno, que não é compartilhado com nenhuma outra organização: o seu negócio não verá limites ou obstáculos, nem mesmo uma eventual indisponibilidade da internet.
Com o fim do armazenamento físico, onde são utilizados dispositivos físicos como HDs, pendrives, DVDs etc., os dados ficam protegidos por todas as camadas de segurança de um datacenter, que adotam as medidas mais rigorosas de Segurança da Informação. No entanto, é imprescindível que sua empresa invista na implementação de best practices de segurança.
Principais Best Practices de segurança em nuvem:
- Faça perguntas detalhadas de segurança ao seu provedor de nuvem
- Implante uma solução de gerenciamento de identidade e acesso
- Treine sua equipe
- Estabeleça e aplique políticas de segurança na nuvem
- Proteja seus endpoints
- Criptografe dados em movimento e em repouso
- Use a tecnologia de detecção e prevenção de intrusão
- Verifique novamente seus requisitos de conformidade
- Considere um fornecedor CASB
- Realize auditorias e testes de penetração
- Ative registros de segurança
SOLUÇÃO 3 – BackUp
O armazenamento em nuvem não depende de equipamentos físicos que possam sofrer avarias ou danos, sendo a solução ideal para manter os dados da sua empresa salvos em um ambiente virtual. No entanto, a solução por si só não elimina totalmente a perda de informações. É importante, ao escolher um fornecedor em nuvem, garantir que a mesma também ofereça um bom serviço de recuperação das informações contidas em computadores ou demais dispositivos de forma ágil, a partir de qualquer lugar e hora, em caso de intercorrências. É aqui que entra o backup.
O backup na nuvem é uma forma de implementação de backup externo moderna, resolvendo a necessidade de backup com a garantia de armazenamento dos dados fora da empresa, em um datacenter totalmente seguro, sem a necessidade de investimentos em softwares de backup, fitas, unidades de armazenamento e movimentação física dos dados.
Essa é uma das práticas recomendadas pela ISO 27001/27002, onde o backup deve manter uma cópia externa para complementar a segurança da informação.Esse tipo de backup é configurado e trabalha de forma automatizada, sem necessidade de intervenções e pode ser acompanhada através de relatórios para verificação do sucesso.
Com o backup realizado em nuvem, os dados estarão sempre assegurados, dos mais antigos aos mais atuais, garantindo que as informações sobre os clientes ou até mesmo os arquivos salvos pelos próprios colaboradores no último dia estejam disponíveis, a qualquer momento, para serem recuperados.
Como a EVEO pode garantir a segurança em nuvem na sua organização
O armazenamento em nuvem se tornou uma das medidas de segurança mais adotadas atualmente, principalmente por empresas que desejam se proteger de potenciais ataques maliciosos aos seus sistemas. Entretanto, as empresas ainda enfrentam uma dificuldade muito grande em relação ao gerenciamento através dos sistemas de nuvens. Isso acontece porque o processo pode ser um tanto quanto exigente no que se refere à mão de obra e por isso demanda uma atenção muito maior.
Para conseguir driblar as burocracias e resolver essas questões de uma forma simples e sem maiores entraves para os gestores, são adotados diversos tipos de softwares especializados, que têm como finalidade gerenciar os serviços de armazenamento em nuvem. As diversas ferramentas utilizadas no processo fazem parte da estratégia de multicloud, que tem crescido no mercado e se mostrado de grande valor para as empresas que dependem desses serviços de armazenagem para os seus processos.
O gerenciamento em nuvem, para ser funcional e desempenhar o seu papel, precisa contar com uma boa gestão de projetos, que ficará responsável por desenvolver todos os passos necessários para que tudo esteja de acordo e gere bons resultados.
As soluções de infraestrutura em nuvem começam na implementação, até atingir as redes de fato e levando em conta roteadores, por exemplo.A partir desse ponto, o processo pode passar por outras camadas de segurança que fazem parte da ação, chegando ao firewall e BPM, que é a camada considerada como de serviço, na qual estão os servidores nos quais serão feitas as aplicações de fato.
Além de a infraestrutura da EVEO ser de alto nível tecnológico, com o máximo de proteção possível na nuvem e nos dispositivos dos servidores de maneira geral, criamos processos 100% personalizados para cada organização, levando em consideração questões como o tamanho da empresa e a relevância dos conteúdos presentes nos servidores.
Principais benefícios de um sistema gerenciado em nuvem com a EVEO:
- Diminui os custos com funcionários de TI;
- Utiliza as tecnologias mais avançadas para o seu negócio;
- Obtém um serviço personalizado para o gerenciamento da sua rede corporativa;
- Oferece acesso aos dados centralizados na mesma rede, em tempo real;
- Notificações de falhas ou problemas detectados que afetem sua rede corporativa.
É fácil perceber como a contratação do servidor gerenciado em nuvem é muito mais atrativo para uma empresa. Visto que além de oferecer uma solução baseada em TI também garante a segurança de todos os dados da rede corporativa. Contribui, inclusive, para elevar a produtividade dos funcionários da empresa e o fluxo de informações entre todos os setores da organização.
Para mais informações a respeito dos serviços de gerenciamento de servidores em nuvem, fale agora com um especialista EVEO e encontre a melhor solução para a sua empresa!
Deixe um comentário