Wat de Log4Shell-kwetsbaarheid betekent voor bedrijven

Wat de Log4Shell-kwetsbaarheid betekent voor bedrijven

Afgelopen week is een significante kwetsbaarheid gevonden in de Apache / Java open-source logging tool, Log4j 2. Deze tool wordt gebruikt voor cloudservers en bedrijfssoftware in alle sectoren. De exploit geeft externe partijen toegang tot interne netwerken met het risico op gegevensverlies, de implantatie van ransomware of andere kwaadaardige programma's en diefstal van data.

Wat is er gebeurd?

Er is een kwetsbaarheid ontdekt in een veelgebruikte Java-logboekbibliotheek - Apache Log4j. Deze kwetsbaarheid kan gemakkelijk worden misbruikt, door uitvoering van niet-geverifieerde externe code toe te staan, wat ertoe kan leiden dat actoren volledige controle kunnen krijgen over de getroffen servers. Systemen en services die bepaalde versies van de tool gebruiken, kunnen door het beveiligingslek worden getroffen.

Wat de impact?

Zoals hierboven vermeld, kunnen de kwetsbaarheden, ook bekend als CVE-2021-44228 en CVE 2021-45046, invloed hebben op bepaalde versies van Log4j 2. Zonder oplossing geeft het externe partijen mogelijk toegang tot interne netwerken met het risico op gegevensverlies, de implantatie van ransomware of andere kwaadaardige programma's en diefstal. Het kan van invloed zijn op elk device waarop het geïnstalleerd is en heeft naar schatting wereldwijd meer dan 3 miljard systemen getroffen. Actoren scannen actief naar de kwetsbaarheid en zoeken naar manieren om deze te misbruiken.

Verschillende nationale cyberbeveiligingscentra in Europa hebben nuttige richtlijnen uitgegeven over het beheer van de kwetsbaarheid voor organisaties, evenals technische details over mitigatie, scantools en bekende kwetsbaarheden, voor Nederland is dit: NCSC Netherlands

Hoe kunnen bedrijven reageren?

Het wordt aanbevolen om de bovengenoemde bron te volgen en continu te controleren voor richtlijnen voor respons en mitigatie, maar hieronder vindt u enkele belangrijke stappen om te overwegen om zo snel mogelijk te implementeren:

Gebruik open-source scantools om de actuele lijst met kwetsbare software te controleren. Zie NCSC Netherlands
Er is een aantal tools dat kan worden gebruikt om te bepalen of een systeem mogelijk is gecompromitteerd. Zie NCSC Netherlands
Werk alle implementaties van log4j zo snel mogelijk bij naar de nieuwste versie.
Zorg ervoor dat netwerkbeveiligingstechnologie actief alle bekende indicatoren met betrekking tot de kwetsbaarheid blokkeert en dat end-point detectie- en responstechnologie (EDR) op alle servers draait.
Monitor logbestanden. Verdachte logs kunnen scanactiviteit vertegenwoordigen, wat een vroege indicator kan zijn van een compromittering van het systeem.
De betreffende Apache-software is vaak ingebed in programma's van derden, die alleen door hun eigenaren kunnen worden bijgewerkt. Dit betekent dat u risico loopt als uw serviceproviders niet patchen. U moet er daarom voor zorgen dat alle toepassingen van derden die mogelijk worden getroffen, worden bijgewerkt naar de nieuwste versie, en vragen om zo snel mogelijk schriftelijke bevestiging van alle serviceproviders met toegang tot netwerken of gegevens, dat dit beveiligingslek is verholpen.
Als u leverancier bent van mogelijk getroffen software, moet u met klanten communiceren om hen in staat te stellen mitigerende maatregelen toe te passen of updates te installeren waar deze beschikbaar zijn.

Voor CISO / IT-beveiligingsteam:

Apparaat detectie en patching

Identificeer alle devices waarop de getroffen versies van Log4j worden uitgevoerd en upgrade ze zo snel mogelijk naar de nieuwste versie.

Als u implementaties van Log4j 2 heeft die niet kunnen worden gepatcht, raadpleeg dan de aanbevelingen voor mitigatie die door Apache op hun Website zijn vermeld.

Onderzoek of uw systemen zijn gecompromitteerd. Als er herstelacties nodig zijn, is het belangrijk om ervoor te zorgen dat digitaal bewijs voor de getroffen systemen wordt bewaard.

Verzekeraars vereisen vaak dat de verzekeringnemer in de aanvraagfase bevestigt hoe snel kritieke softwarekwetsbaarheden worden gepatcht zodra deze zijn gepubliceerd. Als u te laat patcht, loopt u het risico dat toekomstige claims worden afgewezen na een incident waarbij misbruik wordt gemaakt van dit beveiligingslek.

Bereid u voor op ernstige aanvallen

Momenteel wordt vooral waargenomen dat de kwetsbaarheid door actoren wordt gebruikt om een eerste voet aan de grond te krijgen in de IT-systemen van kwetsbare organisaties. Dergelijke toegang kan in een later stadium door de criminelen worden gebruikt om de aanval voort te zetten. Dienovereenkomstig wordt aanbevolen dat organisaties die een mogelijk gecompromitteerde versie van Log4j gebruiken, zich ook voorbereiden op het ergste geval - alsof er een ransomware-aanval op handen is. Bedrijven moeten gegevens zo dicht mogelijk bij realtime back-uppen en ervoor zorgen dat de back-up wordt gesegmenteerd van het domein. Eindpuntoplossingen voor het detecteren van kwaadaardige gebeurtenissen en code kunnen nuttig zijn bij het detecteren en verslaan van bedreigingen. Zorg dat u een incidentresponsplan klaar heeft liggen voor uw organisatie.

Voor de risicomanager:

Overweeg of u getroffen bent en of u een cyberverzekering heeft om uw volgende stappen te bepalen.

Als uw organisatie is getroffen en u een cyberverzekering heeft, moet u uw verzekaar onmiddellijk op de hoogte stellen. Marsh kan u hierbij helpen.

Een cyberverzekering dekt doorgaans de kosten voor het onderzoeken van en reageren op cyberincidenten. Na melding wordt een eerste triage uitgevoerd door de aangestelde Incident Response Manager (IRM). De IRM zal dan bepalen of leveranciers van een verzekeraarspanel - zoals forensische IT-diensten - moeten worden ingeschakeld.
Let op: als uw organisatie niet is getroffen, hoeft u uw cyberverzekeraar niet op de hoogte te stellen.
Als uw organisatie getroffen is maar u geen cyberverzekeringspolis heeft, kan het Marsh Cyber Incident Management-team begeleiding en aanbevelingen geven met betrekking tot middelen om u te helpen bij uw volledige onderzoek en reactie.
Als u niet zeker weet of uw organisatie is getroffen en u een duidelijke beslissing wilt nemen, raden we u aan de hierboven beschreven best practices te volgen en uw verzekeraar op de hoogte te stellen van een omstandigheid die aanleiding zou kunnen geven tot een claim onder de polis. Marsh kan u hierbij helpen.
Tot slot, als u een aanstaande verlenging van uw cyberverzekering heeft, wees dan voorbereid op het beantwoorden van vragen over deze kwetsbaarheid. Nadere details zullen te zijner tijd door uw Marsh-makelaar worden verstrekt.

Wat betekent dit voor de komende tijd?

Deze situatie toont aan hoe snel cyberdreigingen worden gebruikt om wijdverbreide misdaad op te zetten. Over het algemeen benadrukt het huidige landschap de noodzaak van flexibel cyberrisicobeheer. De cyberrisicoadviseurs van Marsh kunnen u helpen uw organisatie weerbaarder en beter voorbereid te maken op cyberdreigingen.

Bovendien moeten organisaties cyberweerbaar zijn door cyberbeveiligingsoplossingen in combinatie met informatie over bedreigingen, snelle patching van kritieke kwetsbaarheden en regelmatige gegevensback-up. Ten slotte, aangezien cyberrisico's niet volledig kunnen worden geëlimineerd, is het essentieel om een goed opgezet cyberverzekeringsprogramma te hebben om het resterende financiële risico te dekken.

Marsh kan u helpen:

Het Cyber-team van Marsh staat op elk moment voor u klaar om de beste antwoorden, service en oplossingen te bieden voor respons en beheer van cyberincidenten, beoordeling of plaatsing van cyberdekking en planning en optimalisatie van cyberrisicobeheer. Neem voor meer informatie contact op met uw Marsh-vertegenwoordiger of een lid van het Nederlandse Marsh-cyberteam.

Gregory.vandenTop@marsh.com - Cyber Risk Consulting Leader Nederland

Sjaak.Schouteren@marsh.com - Cyber Develement Leader Nederland