Vulnérabilité de Log4j : 8 questions à poser à vos fournisseurs

Utilisez ce questionnaire gratuit pour déterminer l'exposition de votre organisation au risque de tiers à la vulnérabilité Apache Log4j. Ensuite, suivez ces meilleures pratiques pour accélérer la réponse aux incidents futurs.
Par :
Scott Lang
,
VP, Marketing produit
13 décembre 2021
Partager :
Blog de la vulnérabilité de log4j 1221

Le 9 décembre 2021, des chercheurs en sécurité ont annoncé une vulnérabilité de type "zero-day", CVE-2021-44228, qui affecte la bibliothèque de journalisation Apache Log4j basée sur Java, largement utilisée. Connue sous le nom de Log4Shell, cette vulnérabilité peut permettre l'exécution de code à distance non authentifié et l'accès aux serveurs - en fait, une prise de contrôle complète des systèmes vulnérables.

Log4j est utilisé dans de nombreuses plateformes de cloud computing, applications web et services de messagerie, ce qui signifie qu'un large éventail de systèmes pourrait être menacé par la vulnérabilité. GitHub a publié une liste des applications et des systèmes vulnérables, et les chercheurs en sécurité signalent que cyber attaquants font déjà des centaines de milliers de tentatives d'exploitation de la vulnérabilité chaque minute.

Parce qu'il est déployé dans des millions d'applications web basées sur Java dans le monde entier, il est important pour les organisations de déterminer non seulement leur surface d'attaque interne, mais aussi le risque auquel elles sont confrontées de la part de tiers vulnérables.

8 questions pour déterminer immédiatement l'exposition de vos tiers à Log4Shell

Prevalent a élaboré une évaluation en 8 questions qui peut être utilisée pour identifier rapidement tout impact potentiel sur votre entreprise en déterminant quels tiers utilisent Log4j dans leurs applications, et quels sont leurs plans d'atténuation.

Questions Réponses potentielles

1) L'organisation a-t-elle déterminé si elle est touchée par la récente vulnérabilité Apache Remote Code Execution (RCE) sur son programme utilitaire Log4j ?

Texte d'aide : Cette question concerne la récente vulnérabilité d'exécution de code à distance (RCE) (CVE-2021-44228) affectant le programme utilitaire Apache Log4j, sur les versions 2.0-beta9 à 2.14.1

Veuillez choisir UNE des options suivantes :

a) L'organisation a examiné et identifié qu'elle est touchée par la récente vulnérabilité d'exécution de code à distance d'Apache.

b) L'organisation a examiné et identifié qu'elle n'est pas touchée par la récente vulnérabilité d'exécution de code à distance d'Apache.

2) L'organisation a-t-elle réussi à mettre à jour vers Log4j 2.15.0 comme recommandé ?

Veuillez choisir UNE des options suivantes :

a) Oui, l'organisation a réussi à mettre à jour le programme à la dernière version 2.15.0.

b) L'organisation n'est pas en mesure de mettre à jour la dernière version de Log4j.

c) L'organisation n'a pas encore mis à jour le programme à la dernière version 2.15.0.

3) Quelle version du programme Log4j l'organisation utilise-t-elle actuellement ?

Veuillez choisir UNE des options suivantes :

a) The organization uses a release >=2.7 and <=2.14.1

b) The organization uses a release >=2.0-beta9 and <=2.10.0 (proceed to question 5)

4) If your current release of Apache Log4j is >=2.7 and <=2.14.1, and your organization has not updated to the latest version, then have the following actions been taken?

Texte d'aide : Apache a publié ces actions recommandées pour résoudre la vulnérabilité RCE. Les actions recommandées sont basées sur la version utilisée.

Veuillez sélectionner TOUTES les réponses qui s'appliquent :

a) Pour l'atténuation, l'organisation a défini la propriété système log4j2.formatMsgNoLookups ou la variable d'environnement LOG4J_FORMAT_MSG_NO_LOOKUPS à true.

b) Tous les patrons PatternLayout ont été modifiés pour spécifier le convertisseur de message en tant que %m{nolookups} au lieu de simplement %m.

5) If your current release of Apache Log4j is >=2.0-beta9 and <=2.10.0, and your organization has not updated to the latest version, then have the following actions been taken?

Texte d'aide : Apache a publié ces actions recommandées pour résoudre la vulnérabilité RCE. Les actions recommandées sont basées sur la version utilisée.

Veuillez sélectionner TOUTES les réponses qui s'appliquent :

a) Pour l'atténuation, l'organisation a défini la propriété système log4j2.formatMsgNoLookups ou la variable d'environnement LOG4J_FORMAT_MSG_NO_LOOKUPS à true.

b) La classe JndiLookup a été supprimée du classpath : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

6) L'attaque de cyber a-t-elle affecté les applications critiques fournies aux services clients ou utilisées pour les soutenir ?

Texte d'aide : Il faut tenir compte du fait que les systèmes clients, ou ceux qui détiennent des informations sur les clients, utilisent le programme utilitaire Log4j.

Veuillez choisir UNE des options suivantes :

a) Oui, la vulnérabilité a affecté les applications fournies aux services clients ou utilisées pour les soutenir.

b) Non, la vulnérabilité n'a pas affecté les applications fournies aux services clients ou utilisées pour les soutenir.

7) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ?

Texte d'aide : Des procédures de surveillance, de détection, d'analyse et de signalement des événements et incidents liés à la sécurité de l'information doivent être en place et permettre à une organisation de développer une stratégie de réponse claire pour traiter les incidents et événements identifiés.

Veuillez sélectionner TOUTES les réponses qui s'appliquent :

a) L'organisation dispose d'une politique de gestion des incidents documentée.

b) La politique de gestion des incidents comprend des règles pour signaler les événements et les faiblesses en matière de sécurité de l'information.

c) Un plan de réponse aux incidents est élaboré dans le cadre de l'enquête et de la récupération des incidents.

d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication vers les clients.

8) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ?

Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité.

Nom :

Titre :

Courriel :

Téléphone :

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

5 meilleures pratiques pour accélérer la réponse aux incidents par des tiers

Prevalent recommande une approche complète de la gestion des risques liés aux tiers, en cinq étapes, afin d'être plus proactif dans la détermination de l'exposition future à la vulnérabilité des tiers.

1. Inventaire des technologies tierces

La première étape pour découvrir votre exposition à une vulnérabilité tierce consiste à déterminer quels fournisseurs utilisent quelles technologies. Qu'ils soient déterminés de manière passive par un scan externe ou de manière active par une évaluation interne dédiée, les résultats devraient permettre à votre organisation de créer automatiquement des cartes de relations entre entités par technologie de 4ème partie. Grâce à cette capacité, vous pouvez visualiser plus clairement le risque de concentration technologique parmi vos tiers et identifier rapidement les fournisseurs susceptibles d'être exposés à un incident de sécurité tel que Log4Shell.

2. Délivrer des évaluations ciblées aux tiers vulnérables

L'étape suivante consiste à envoyer un questionnaire d'évaluation des risques aux tiers potentiellement vulnérables. Toutefois, en raison de la complexité de la plupart des incidents de sécurité et de la rapidité requise pour y répondre, vous ne souhaitez certainement pas utiliser une feuille de calcul pour recueillir cette diligence raisonnable.

Au lieu de cela, utilisez une plateforme qui automatise la collecte des réponses des tiers à un questionnaire standard, centralise les résultats dans un registre de risques unique et fournit des rapports faciles à lire qui montrent quels fournisseurs sont vulnérables et l'état de leurs plans de remédiation.

3. Valider les résultats de l'évaluation avec une analyse externe

Compte tenu de la gravité de la vulnérabilité de Log4Shell et des conséquences d'une éventuelle interruption de l'activité pour vos fournisseurs, il est essentiel de valider les résultats de l'évaluation des risques en comparant les réponses des fournisseurs à des risques observables de l'extérieur, tels qu'un éventuel logiciel malveillant dans l'infrastructure informatique de l'entreprise du fournisseur, ou des configurations erronées et d'autres vulnérabilités web accessibles au public. Cela peut se faire en corrélant les résultats de l'évaluation avec les résultats de l'analyse de cyber dans un registre de risques unique qui ajoute un contexte aux résultats. L'alternative est une analyse manuelle des bases de données de vulnérabilités qui demande beaucoup de travail - et vous n'avez pas le temps pour cela !

4. Remédier et faire un rapport

Une fois que vous avez collecté, analysé et corrélé les réponses à l'évaluation des fournisseurs, triez les résultats pour vous concentrer sur les fournisseurs ayant l'impact le plus prioritaire sur votre organisation. Les meilleures solutions de gestion des risques de tiers offrent une hiérarchisation des fournisseurs afin de mieux comprendre quels sont les fournisseurs les plus critiques, des conseils de remédiation intégrés pour les fournisseurs et des modèles de rapports spécifiques aux cadres réglementaires et de sécurité pour simplifier l'inévitable demande des auditeurs.

5. Surveiller en permanence les incidents de sécurité

Maintenez un flux continu de nouvelles et de mises à jour sur les incidents de sécurité. Recherchez une solution automatisée pour y parvenir, car le simple fait de surveiller les flux RSS des fournisseurs ou les sites d'information ne fournira jamais la profondeur ou le contexte requis pour être plus proactif dans votre réponse. Les bonnes solutions de surveillance des violations de données incluent les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs.

Prevalent Peut aider à accélérer la réponse aux incidents par des tiers

Le service de réponse aux incidents de tiersPrevalent est une solution qui permet d'identifier rapidement et d'atténuer l'impact des incidents de sécurité de tiers tels que Log4Shell en fournissant une plateforme pour gérer de manière centralisée les fournisseurs, effectuer des évaluations ciblées spécifiques à un événement, noter les risques identifiés et accéder aux conseils de remédiation. Prevalent propose cette solution en tant que service géré pour permettre à votre équipe de décharger la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques et l'accélération de la réponse pour atténuer les perturbations potentielles.

Prochaines étapes pour remédier à la vulnérabilité de Log4j

Utilisez ce questionnaire pour déterminer l'impact que la vulnérabilité de Log4Shell pourrait avoir sur votre écosystème de fournisseurs. Ensuite, découvrez comment Prevalent peut vous aider en téléchargeant un livre blanc sur les meilleures pratiques ou contactez-nous pour une démonstration!

Note aux clients de Prevalent : Nous mettons à jour la plateforme Prevalent pour y inclure le questionnaire ci-dessus. PrevalentL'équipe chargée de la cybersécurité de l'entreprise a lancé un examen interne des systèmes, des applications et des fournisseurs au cours du week-end pour évaluer les vulnérabilités potentielles et suivre les mesures d'atténuation et de correction. Nous fournirons des détails et des avis à nos clients au fur et à mesure que l'enquête se poursuivra. Veuillez consulter notre portail d'assistance client ou contacter votre responsable du succès client pour plus de détails.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo