Security-Experten zur Log4j-Sicherheitslücke
Log4Shell: Was jetzt zu tun ist
Fortsetzung des Artikels von Teil 1
Kurzfristige Reaktion, langfristige Strategie
Dass ein Eingreifen dringend erforderlich ist, bestätigt auch Lothar Hänsler, COO beim Wiener MSSP Radar Cyber Security: „Die Schwachstelle lässt sich verhältnismäßig einfach auszunutzen, Angriffe können leicht verschleiert werden.“ Verteidigungsmaßnahmen seien aber nicht einfach umzusetzen: „Dies liegt unter anderem daran, dass alle Mitigationsstrategien Risiken und Nebenwirkungen für die Applikationen haben können, die von der Schwachstelle betroffen sind.“ Deshalb gebe es in Fachkreisen auch „unterschiedliche Sichtweisen zu den Mitigationsstrategien“.
Security-Dienstleister weltweit haben deshalb ein stressiges Wochenende hinter sich. Radar Cyber Security zum Beispiel hat laut Hänsler am Wochenende zunächst die Datenlage analysiert, die Auswirkungen abgeschätzt, diverse Informationsquellen von internationalen Plattformen wie etwa von CERTs (Computer Emergency Response Teams) herangezogen und eine Strategie für den Umgang mit dieser Bedrohung entworfen. „Montagfrüh haben wir schließlich ein Security Advisory an all unsere Kunden verschickt“, berichtet Hänsler. Man habe das hauseigene Cyber Defense Center in den „High-Alert“-Modus gesetzt und die Erkennungsmodule aktualisiert, um die Ausnutzung dieser Schwachstelle verifizieren und an Kunden melden zu können.
Der US-Security-Anbieter Mandiant wiederum hat auf GitHub kostenlose Tools veröffentlicht, mit denen Unternehmen Regeln für die systematische Suche nach Deserialisierungs-Exploits und anderen Arten von Zero-Day-Exploits erstellen können. Dazu gehören auch Regeln für die Suche nach dem JNDI Code Injection Zero-Day für Log4j.
Jenseits aktuell anstehender Mitigationsmaßnahmen empfehlen Sicherheitsfachleute den Unternehmen, ihre Security-Strategie zu überdenken (siehe auch der Tenable-Kommentar hier). „Gerade jetzt zeigt sich auch für kleine und mittlere Unternehmen die Notwendigkeit, Network Detection and Response und Endpoint Detection and Response gemeinsam als umfassende Abwehrstrategie zu denken“, sagt zum Beispiel Paul Smit von ForeNova. „EDR sieht, ob die Malware installiert wurde, und organisiert die Abwehr auf dem Endpunkt. Mit NDR kann man in Logging-Daten auch rückwirkend sehen, auf welche Systeme von außen Hacker zuzugreifen versuchten.“ Eine NDR-Lösung erkenne den typischen Datenverkehr, der aus einem solchen Zugriffsversuch resultiert, analysiere die Telemetriedaten von Endpunkten und könne auch Lösungen von Drittanbietern antriggern, betroffene Systeme und Netzwerkabschnitte zu blocken. Andere Fachleute raten zu sogenannten XDR-Lösungen (Extended Detection and Response), also zu Software, die Erkennungs- und Reaktionsinformationen EDR/NDR-übergreifend unternehmensweit zusammenführt.
- Log4Shell: Was jetzt zu tun ist
- Kurzfristige Reaktion, langfristige Strategie
Lesen Sie mehr zum Thema
