A vulnerabilidade de dia zero Log4j é uma das mais complexas da atualidade. É como se uma pessoa precisasse entrar em uma enorme biblioteca para procurar manualmente uma palavra específica nos títulos e nas páginas. “É sobre essa complexidade que estamos lidando, muitos profissionais passaram as festas de final de 2021 no trabalho, corrigindo falhas nos sistemas”, destaca Felipe Nascimento, Diretor de Engenharia de Soluções para LATAM da Tanium, durante painel de debates na TVD.
Certamente, essa vulnerabilidade será explorada pelo cibercrime ao longo de 2022, pois são organizações que buscam monetização através de ataques, eles estão sempre atentos às diferentes maneiras de retroalimentar os cofres para novos crimes. Esse cenário desencadeia dois grandes alertas em processos extremamente importantes para a proteção do negócio: gestão de vulnerabilidades e desenvolvimento seguro.
Colocar na rotina o gerenciamento de brechas que podem causar danos irreparáveis aos negócios será ainda mais valioso nos projetos de prevenção. E essa gestão deve ser feita como uma higiene básica de cibersegurança, destacando a necessidade vital não apenas de corrigir, mas também de ter uma estratégia de correção calibrada, que incorpore rotinas mensais de proteção e gerenciamento de tarefas.
“O Log4j despertou em nós um questionamento do quanto estamos preocupados com o tema gestão de vulnerabilidades. Mesmo sendo uma disciplina antiga, vejo que ainda falta maturidade nesse quesito”, pontua Clayton Soares, Gerente Executivo de Governança de TI e SI da Pague Menos.
Na visão do executivo, o assunto é ainda mais crítico quando envolve terceiros, quando as empresas não têm internamente times específicos de gerenciamento e precisam contratar parceiros para gerenciar as vulnerabilidades. “E não é um acompanhamento apenas da vulnerabilidade na infraestrutura, é preciso estar atento às brechas nas aplicações. É um tema que exige rotina no acompanhamento”, completa Soares.
Da mesma forma, o aspecto de desenvolvimento também está inserido neste contexto, pois trata-se de uma das bibliotecas mais populares usadas pelos desenvolvedores. Uma vulnerabilidade como essa é de alto risco, pois pode expor dados sigilosos, permitindo adulteração ou destruição de dados, comprometendo todo o ambiente.
“Estamos falando de vulnerabilidades e é um tema que lidamos há anos. O Log4j traz à tona o tema extremante importante: processo de desenvolvimento seguro. É quase impossível gerenciar a biblioteca que o time de DevOps usa, por isso precisamos criar essa cultura nos times de desenvolvimento, de incorporar a Segurança nos projetos, desde o início da concepção”, defende Ianno Santos, CISO na AeC.
Rogerio Iwashita, CISO na Quod, concorda e acrescenta a importância do monitoramento dos ambientes, além do acompanhamento das atualizações de patches enviadas pelos fabricantes a fim de corrigir problemas críticos como esse. “Claro, devemos ter uma relação próxima com os parceiros para estar sempre em dia com as atualizações. Mas devemos também fazer nossa parte e estar à frente da situação, agindo rápido na correção ao identificar uma vulnerabilidade”, diz.
Visão holística
Essa identificação é complexa na opinião dos líderes que participaram do debate na TVD. A visibilidade foi o ponto crítico desse processo, principalmente quando as empresas possuem muitos endpoints e perdem o controle da quantidade exata de dispositivos acessando a rede corporativa. Outro aspecto crítico é a terceirização de scan de vulnerabilidades que, se não for bem conduzida, pode apresentar falhas no processo.
“Ao longo dos anos, as empresas foram comprando diversas soluções e muitos ambientes viraram uma colcha de retalho, com desafio enorme de gerenciamento. Isso abre várias brechas para vulnerabilidades como o Log4j entrar e fazer estrago. Por isso é importante contar com plataforma completa de controle de endpoint que entregue visibilidade, integra soluçoes e inteligência na gestão”, completa Felipe Nascimento.
Ele destaca a necessidade de eliminar a ideia de silos e pensar a Segurança da Informação de forma unificada e holística, dentro de um cenário macro. Conforme a tecnologia avança e as empresas ficam cada vez mais conectadas, é preciso trabalhar a SI em camadas, pautada em visibilidade e controle dos ativos.
“Devemos reduzir o mais rápido possível esses GAPs a fim de avançarmos para os próximos níveis. O Log4j ainda vai causar muita dor de cabeça, precisamos estar preparados, trabalhando com plataformas que nos ajudem a controlar os ambientes e inteligência na gestão de vulnerabilidades e nos processos de desenvolvimento seguro”, finaliza o executivo.
O painel completo sobre Log4j está disponível no canal da TVD no Youtube.