A cura di Vincenzo Iucci, responsabile Information & Data Protection
Oramai lo sanno tutti.
Tra il 10 e l’11 di dicembre è stata resa nota una vulnerabilità 0-day (ovvero sconosciuta prima che fossero registrati i primi attacchi informatici che l’hanno sfruttata) che affligge la libreria Open Source Log4j di Apache Software Foundation. Si tratta di una libreria java diffusissima che viene utilizzata da un vasto numero di applicazioni e prodotti di mercato come Cisco Webex, sistemi di archiviazione NetApp, prodotti della suite Oracle, alcune distribuzioni Linux e molti altri ancora. Di fatto Log4j è ovunque.
La vulnerabilità, denominata comunemente Log4Shell, consente di eseguire codice arbitrario sul sistema che ospita la libreria ed è stata classificata con il massimo livello possibile di criticità (10/10); è inoltre sfruttabile facilmente e ad un basso costo il che la rende un’arma potente in mano a chiunque voglia arrecare danni ad un’organizzazione pur non avendo particolari competenze tecniche.
Gli impatti di Log4Shell possono essere molto gravi come ad esempio esfiltrazione di dati, veicolazione di ransomware – ovvero malware che limitano l'accesso ai dati dell’organizzazione e richiedono un riscatto da pagare per rimuovere la limitazione - , diffusione di crypto miners – cioè software che utilizzano le risorse dell’organizzazione per far guadagnare cryptomoneta agli attaccanti - o di altre tipologie di malware, controllo remoto dei sistemi.
Sin dalle prime ore si sono registrati su internet numerosissimi tentativi di sfruttamento della vulnerabilità. Oggi, trascorse circa 2 settimane, siamo ancora alle battute iniziali di questa minaccia globale.
Reagire non è facile.
Molti vendor si sono già mossi rilasciando patch di sicurezza o work-around, ma la lista dei software di mercato impattati è molto estesa e resterà provvisoria per mesi, forse anni. Vi è poi tutto il mondo delle applicazioni custom sviluppate internamente alle organizzazioni sulle quali è necessario intervenire direttamente ed in modo efficace.
L’approccio 4x4 per rispondere alla minaccia di Log4j
In questo panorama complesso NTT DATA Italia ha definito un modello operativo orientato ad individuare le azioni chiave da svolgere per verificare l’impatto della vulnerabilità all’interno di un’organizzazione, comprenderne appieno gli impatti, verificare le bonifiche attuate e calcolare il rischio residuo.
Si tratta di un framework a supporto di CISO, DPO, Security Operations e di tutte le funzioni IT ed è un approccio integrale al problema che si articola in 4 azioni fondamentali.
Compromise Assessment
Il primo step è identificare se la vulnerabilità è stata sfruttata – e da chi – all’interno dell’organizzazione mediante analisi di eventi e raccolta di informazioni dal parco IT. L’attività ha inoltre lo scopo di fornire una prima valutazione di massima degli impatti.
Discovery
Questa azione è volta a costruire la mappa degli asset potenzialmente vulnerabili dell’organizzazione e a identificare le strategie più efficaci di bonifica per applicazioni custom e prodotti di mercato. Lo scopo viene raggiunto integrando l’utilizzo di strumenti di rilevazione attiva con analisi semi-automatica di fonti informative indirette e consente di prioritizzare gli interventi di bonifica integrando nella mappa gli indicatori di rischio dell’organizzazione.
Light Forensics
L’attività consiste nell’eseguire attività di analisi live o postmortem sugli asset eventualmente compromessi al fine di misurare nel dettaglio l’ampiezza del perimetro coinvolto dall’attacco e quantificare puntualmente i relativi impatti (ad es. ricostruire i dati eventualmente esfiltrati).
Recheck
In questa fase vengono infine eseguite attività di controllo dirette ed indirette sulle contromisure effettuate al fine di verificare che gli asset sottoposti a bonifica siano effettivamente non più vulnerabili e supportare la quantificazione del rischio residuo. L’attività viene messa a terra mediante analisi di log e configurazioni, attività di ethical hacking, utilizzo di tool di terze parti e di strumenti proprietari NTT DATA.
Per fronteggiare una minaccia globale come questa occorre muoversi in modo ordinato e consapevole. Scopri di più su come NTT DATA supporta i clienti nel cammino verso la sicurezza informatica.