Am 9. Dezember 2021 gaben Sicherheitsforscher eine Zero-Day-Schwachstelle (CVE-2021-44228) bekannt, die die weit verbreitete Java-basierte Protokollierungsbibliothek Apache Log4j betrifft. Die als Log4Shell bekannte Schwachstelle kann die unautorisierte Ausführung von Remotecode und den Zugriff auf Server ermöglichen - also eine vollständige Übernahme anfälliger Systeme.
Log4j wird in vielen Cloud-Plattformen, Webanwendungen und E-Mail-Diensten verwendet, was bedeutet, dass eine Vielzahl von Systemen durch die Sicherheitslücke gefährdet sein könnte. GitHub hat eine Liste der anfälligen Anwendungen und Systeme veröffentlicht, und Sicherheitsforscher berichten, dass Cyberangreifer bereits Hunderttausende von Versuchen unternehmen, die Sicherheitslücke jede Minute auszunutzen.
Da es weltweit in Millionen von Java-basierten Webanwendungen eingesetzt wird, ist es für Unternehmen wichtig, nicht nur ihre interne Angriffsfläche zu ermitteln, sondern auch das Risiko, dem sie durch anfällige Dritte ausgesetzt sind.
8 Fragen zur sofortigen Bestimmung Ihrer Drittanbieter-Exposition gegenüber Log4Shell
Prevalent hat eine Bewertung mit 8 Fragen erstellt, mit der Sie schnell potenzielle Auswirkungen auf Ihr Unternehmen identifizieren können, indem Sie feststellen, welche Ihrer Drittanbieter Log4j in ihren Anwendungen verwenden und welche Pläne zur Schadensbegrenzung sie haben.
| Fragen | Mögliche Antworten |
|---|---|
| 1) Hat die Organisation festgestellt, ob sie von der jüngsten Apache Remote Code Execution (RCE)-Schwachstelle in ihrem Log4j-Dienstprogramm betroffen ist?
Hilfetext: Diese Frage bezieht sich auf die kürzlich aufgetretene Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228), die das Dienstprogramm Apache Log4j in den Versionen 2.0-beta9 bis 2.14.1 betrifft. |
Bitte wählen Sie EINEN der folgenden Punkte aus:
a) Die Organisation hat geprüft und festgestellt, dass sie von der kürzlich aufgetretenen Apache Remote Code Execution Vulnerability betroffen ist. b) Die Organisation hat geprüft und festgestellt, dass sie nicht von der kürzlich aufgetretenen Apache Remote Code Execution Vulnerability betroffen ist. |
| 2) Hat die Organisation das Update auf Log4j 2.15.0 wie empfohlen durchgeführt? | Bitte wählen Sie EINEN der folgenden Punkte aus:
a) Ja, die Organisation hat es geschafft, das Programm auf die neueste Version 2.15.0 zu aktualisieren. b) Die Organisation ist nicht in der Lage, auf die neueste Log4j-Version zu aktualisieren. c) Die Organisation hat das Programm noch nicht auf die neueste Version 2.15.0 aktualisiert. |
| 3) Welche Version des Log4j-Programms wird derzeit in der Organisation eingesetzt? | Bitte wählen Sie EINEN der folgenden Punkte aus:
a) The organization uses a release >=2.7 and <=2.14.1 b) The organization uses a release >=2.0-beta9 and <=2.10.0 (proceed to question 5) |
| 4) If your current release of Apache Log4j is *>=2.7 and <=2.14.1*, and your organization has not updated to the latest version, then have the following actions been taken?
Hilfetext: Apache hat diese empfohlenen Maßnahmen zur Behebung der RCE-Schwachstelle veröffentlicht. Die empfohlenen Maßnahmen hängen von der verwendeten Version ab. |
Bitte wählen Sie ALLE zutreffenden Punkte aus:
a) Zur Schadensbegrenzung hat die Organisation entweder die Systemeigenschaft log4j2.formatMsgNoLookups oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt. b) Alle PatternLayout-Muster wurden dahingehend geändert, dass der Nachrichtenkonverter als %m{nolookups} statt nur %m angegeben wird. |
| 5) If your current release of Apache Log4j is *>=2.0-beta9 and <=2.10.0*, and your organization has not updated to the latest version, then have the following actions been taken?
Hilfetext: Apache hat diese empfohlenen Maßnahmen zur Behebung der RCE-Schwachstelle veröffentlicht. Die empfohlenen Maßnahmen hängen von der verwendeten Version ab. |
Bitte wählen Sie ALLE zutreffenden Punkte aus:
a) Zur Schadensbegrenzung hat die Organisation entweder die Systemeigenschaft log4j2.formatMsgNoLookups oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt. b) Die Klasse JndiLookup wurde aus dem Klassenpfad entfernt: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class. |
| 6) Hat sich der Cyberangriff auf wichtige Anwendungen ausgewirkt, die an Kunden geliefert oder zur Unterstützung von Kundendiensten genutzt werden?
Hilfetext: Es sollte beachtet werden, dass Client-Systeme oder solche, die Client-Informationen enthalten, das Log4j-Dienstprogramm verwenden. |
Bitte wählen Sie EINEN der folgenden Punkte aus:
a) Ja, die Schwachstelle hat Anwendungen betroffen, die an Kunden geliefert oder zur Unterstützung von Kundendiensten verwendet werden. b) Nein, die Sicherheitslücke hat keine Anwendungen betroffen, die an Kunden geliefert oder zur Unterstützung von Kundendiensten verwendet werden. |
| 7) Verfügt die Organisation über einen Untersuchungs- und Reaktionsplan für Zwischenfälle?
Hilfetext: Es sollten Verfahren zur Überwachung, Erkennung, Analyse und Meldung von Ereignissen und Vorfällen im Bereich der Informationssicherheit vorhanden sein, die es einer Organisation ermöglichen, eine klare Reaktionsstrategie für den Umgang mit erkannten Vorfällen und Ereignissen zu entwickeln. |
Bitte wählen Sie ALLE zutreffenden Punkte aus:
a) Die Organisation verfügt über eine dokumentierte Richtlinie für das Management von Zwischenfällen. b) Die Richtlinie für das Management von Zwischenfällen enthält Regeln für die Meldung von Ereignissen und Schwachstellen in der Informationssicherheit. c) Im Rahmen der Untersuchung und Wiederherstellung von Vorfällen wird ein Reaktionsplan entwickelt. d) Die Reaktionsplanung auf Vorfälle umfasst Eskalationsverfahren für interne Stellen und Kommunikationsverfahren für Kunden. |
| 8) Wer ist der Ansprechpartner, der zusätzliche Fragen beantworten kann? | Bitte geben Sie den wichtigsten Ansprechpartner für das Management von Informations- und Cybersicherheitsvorfällen an.
Name: Titel: E-Mail: Telefon: |
5 Best Practices zur Beschleunigung der Reaktion auf Vorfälle bei Drittanbietern
Prevalent empfiehlt einen umfassenden 5-stufigen Ansatz für das Risikomanagement von Drittanbietern, um bei der Ermittlung zukünftiger Schwachstellen von Drittanbietern proaktiver vorzugehen.
1. Bestandsaufnahme der Technologie Dritter
Der erste Schritt, um herauszufinden, wie anfällig Sie für Schwachstellen von Drittanbietern sind, besteht darin, festzustellen, welche Anbieter welche Technologien verwenden. Ob passiv durch externes Scannen oder aktiv durch eine dedizierte interne Bewertung ermittelt, die Ergebnisse sollten Ihr Unternehmen in die Lage versetzen, automatisch Entity Relationship Maps nach Technologien von Drittanbietern zu erstellen. Mit dieser Fähigkeit können Sie das Risiko der Technologiekonzentration bei Ihren Drittanbietern klarer darstellen und schnell erkennen, welche Anbieter bei einem Sicherheitsvorfall wie Log4Shell gefährdet sein könnten.
2. Gezielte Bewertungen für gefährdete Dritte durchführen
Der nächste Schritt besteht darin, einen speziellen Fragebogen zur Risikobewertung an potenziell gefährdete Dritte auszugeben. Aufgrund der Komplexität der meisten Sicherheitsvorfälle und der Schnelligkeit, mit der darauf reagiert werden muss, sollten Sie diese Due-Diligence-Prüfung jedoch nicht mit einer Tabelle durchführen.
Nutzen Sie stattdessen eine Plattform, die die Erfassung der Antworten von Drittanbietern auf einen Standardfragebogen automatisiert, die Ergebnisse in einem einzigen Risikoregister zentralisiert und übersichtliche Berichte erstellt, aus denen hervorgeht, welche Anbieter anfällig sind und welchen Status ihre Abhilfepläne haben.
3. Validierung der Bewertungsergebnisse mit externen Scans
In Anbetracht des Schweregrads der Log4Shell-Schwachstelle und der Folgen einer potenziellen Geschäftsunterbrechung für Ihre Anbieter ist es wichtig, die Ergebnisse der Risikobewertung zu validieren, indem die Antworten der Anbieter mit extern beobachtbaren Risiken verglichen werden, z. B. mit möglicher Malware in der IT-Infrastruktur eines Anbieters oder mit öffentlich zugänglichen Fehlkonfigurationen und anderen Web-Schwachstellen. Dies kann erreicht werden, indem die Ergebnisse der Bewertung mit den Ergebnissen von Cyber-Scans in einem einzigen Risikoregister korreliert werden, das den Ergebnissen einen Kontext verleiht. Die Alternative wäre ein arbeitsintensiver manueller Scan von Schwachstellendatenbanken - und dafür haben Sie keine Zeit!
4. Abhilfe schaffen und berichten
Sobald Sie die Antworten auf die Anbieterbewertung gesammelt, analysiert und korreliert haben, sollten Sie die Ergebnisse sortieren, um sich auf die Anbieter zu konzentrieren, die die höchste Priorität für Ihr Unternehmen haben. Die besten Lösungen für das Risikomanagement von Drittanbietern bieten eine Einstufung der Anbieter, um besser zu verstehen, welcher Anbieter am kritischsten ist, integrierte Anleitungen für Abhilfemaßnahmen für Anbieter und aufsichtsrechtliche und sicherheitsspezifische Berichtsvorlagen, um die unvermeidlichen Anfragen von Prüfern zu vereinfachen.
5. Kontinuierliche Überwachung auf Sicherheitsvorfälle
Informieren Sie sich kontinuierlich über Neuigkeiten und Updates zu Sicherheitsvorfällen. Suchen Sie nach einer automatisierten Lösung, da das bloße Beobachten von RSS-Feeds oder Nachrichtenseiten von Anbietern nicht die Tiefe und den Kontext bietet, die für eine proaktive Reaktion erforderlich sind. Gute Lösungen zur Überwachung von Datenschutzverletzungen umfassen die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen von Anbietern.
Prevalent kann helfen, die Reaktion auf Vorfälle von Dritten zu beschleunigen
Der Prevalent Third-Party Incident Response Service ist eine Lösung, die dazu beiträgt, die Auswirkungen von Sicherheitsvorfällen bei Drittanbietern wie Log4Shell schnell zu identifizieren und zu mindern, indem sie eine Plattform für die zentrale Verwaltung von Anbietern, die Durchführung gezielter ereignisspezifischer Bewertungen, die Bewertung identifizierter Risiken und den Zugriff auf Anleitungen zur Abhilfe bereitstellt. Prevalent bietet diese Lösung als verwalteten Service an, damit Ihr Team die Erfassung kritischer Reaktionsdaten auslagern kann, um sich auf die Beseitigung von Risiken und die Beschleunigung der Reaktion zu konzentrieren, um potenzielle Störungen zu minimieren.
Nächste Schritte zur Behebung der Log4j-Sicherheitslücke
Verwenden Sie diesen Fragebogen, um zu ermitteln, welche Auswirkungen die Log4Shell-Schwachstelle auf Ihr Lieferanten-Ökosystem haben könnte. Erfahren Sie dann mehr darüber, wie Prevalent Ihnen helfen kann, indem Sie ein Whitepaper zu Best Practices herunterladen oder uns für eine Demo kontaktieren!
Hinweis für Prevalent-Kunden: Wir aktualisieren die Prevalent-Plattform, um den oben genannten Fragebogen aufzunehmen. Das Cybersicherheitsteam von Prevalent hat über das Wochenende eine interne Überprüfung von Systemen, Anwendungen und Lieferanten eingeleitet, um potenzielle Schwachstellen zu bewerten und Schritte zur Schadensbegrenzung und -behebung zu verfolgen. Wir werden unsere Kunden im Verlauf der Untersuchung mit Details und Hinweisen versorgen. Bitte besuchen Sie unser Kundensupport-Portal oder wenden Sie sich an Ihren Customer Success Manager, um weitere Informationen zu erhalten.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
