Log4j sårbarheten: Frågor varje ledningsgrupp bör ställa sig

Säkerhetsteam runt om i världen försöker ta itu med Log4J2-sårbarheten (CVE-2021-44228), kallad "Log4Shell", som enkelt kan utnyttjas för att ta kontroll över sårbara system på distans. Detta gör sårbarheten till en av de allvarligaste sårbarheterna på flera år.

De tekniska råden är tydliga: Patcha, kontrollera att dina patchar fungerar, kontrollera loggar för försök och möjliga intrång. Det är dock viktigt att notera att enbart uppdatering av Log4j inte löser problemen om en organisation redan är utsatt. Med andra ord, en uppdatering till den senaste versionen av någon programvara kommer inte att ta bort åtkomster som erhållits av motståndare eller ytterligare skadliga funktioner som tappas i offermiljön. Så frågan är, hur applicerar ledningen en strategi för verksamheten och hur arbetar man för att se till att man hantera rätt risker och tillsätter rätt åtgärder?

De utmaningar som organisationer står inför idag är att:

• kartlägga vilka tjänster som nyttjar Log4j komponenten
• identifiera vilka tjänster din organisation använder
• analysera om dessa tjänster är sårbara

Identifiera vilka risker sårbarheten medför till din organisation

Log4j-problemet har potential att orsaka allvarliga konsekvenser för många organisationer. Flera rapporterar om hur angripare utnyttjar sårbarheten, senast genom att inkludera fjärrstyrd skadlig programvara och ransomware. Utmaningen för många organisationer är att få verksamheten att anpassa sig i det ständigt föränderliga läget som tillkommer i.om. sårbarhetens framfart. Hotbilden av att drabbas av ransomware är inget nytt, genom att systematiskt arbeta med risk- och sårbarhetsanalys för att reducera risker och minska konsekvenserna av sårbarheten kan man förbättrat förmågan att motstå och hantera risker. Ransomware kan resultera i mycket allvarliga konsekvenser om man inte agerat förebyggande, ex:

• Utpressningsvirus kan göra att informationen blir otillgänglig
• Allvarliga it-driftstörningar med verksamhetspåverkan (tillgänglighetstörningar, förknippat med höga kostnader och i värsta fal ha påverkan på liv/hälsa)
• Informationspåverkan kan skapa misstro till organisationen (anseendeskada)
• Kostnader förknippade med incidenthantering och återhämtning
• Allvarligt informationsläckage (skyddsvärd info, personuppgifter m.m.)

Det krävs ett aktivt och starkt agerande från ledningen för att hantera risker då en organisation behöver samarbeta över flera verksamhetsgränser, på såväl strategisk som operativ nivå. Genom att etablera ett tekniskt team som samarbetar med en strategisk resurs kan man initialt förstå problembilden inom informationssäkerhet och se till att rätt åtgärder vidtas.

Utöver det går det inte att påtrycka tillräckligt mycket om vikten att etablera goda kommunikationskanaler för samtliga involverade intressenter som berörs av informationssäkerhet, detta kommer vara avgörande faktor för organisationens förmåga att fatta snabba beslut.

Hur vet vi att rätt åtgärder införs och hur skall vi organisera oss

Reaktionsförmågan hos din IT och säkerhetsorganisation är av vital vikt vid allvarliga säkerhetsincidenter, men medan IT bär det operativa ansvaret att säkra/återställa miljön är det viktigt att man utser en åtgärdsansvarig (ex. informationssäkerhetssamordnare/CISO) vars primära ansvar är att ta fram en strategi/återställningsplan och förankra den ut till alla områden av verksamheten.

Eventuellt ta fram en roll i form av ”Singel-Point-of-Contact” som kommer styra strategin i samråd med ledning och verksamhet, den bör hålla sig flytande genom hela organisationen och rapportera förebyggande åtgärder såväl risker/konsekvenser vid införande av åtgärder.

Efter att ni etablerat er åtgärdsorganisation kan ni starta ert systematiska arbete och göra kontinuerliga uppföljningar av krisledning/incidenthantering/riskhantering m.fl.

Så vad bör en ledning begära för svar av sitt åtgärdsteam?

• Är omfattningen av drabbade system kartlagd?
• Vem inom organisationen driver vårt åtgärdsteam?
• Har vi kommunicerat ut verksamhetspåverkan internt och hur kan medarbetare rapportera in sårbarheter/tillgänglighetsproblem?
• Vad är vår åtgärdsplan? (kortsiktigt/långsiktigt)
• Hur får vi veta om vi blivit utsatta för en attack och kan vi skydda oss mot den?
• Hur hanterar vi IT-projekt som hanteras utanför företagets IT-avdelning eller utan att IT-avdelningen vet vad som händer (shadow IT)?
• Har vi kartlagt alla våra tjänsteleverantörer och applicerat deras patchåtgärder?
• Arbetar vi enligt vår kontinuitetsplan?
• Hur förhindrar vi att vårt åtgärdsteam inte bränner ut sig?

Det är tydligt att vi kommer behöva förhålla oss till den här sårbarheten en tid framöver och då är det viktigt att man agerar som en gemensam enhet och inte överlåter allt arbetet till alla hårt arbetande tekniker. Applicera en strategi, för det är genom att införa ett strukturerat säkerhetsarbete arbete som ger er en uppfattning om nuläget och börläget, för att sedan hantera GAP:et med rätt åtgärder.

Målet är ingenting, resan är allt.