Estimados amigos de Inseguros !!!
Los que vivimos en el sur sabemos que los incendios se apagan en invierno, no en verano. Preparando el monte con cortafuegos, limpiando el matorral, preparando los recursos humanos, de detección... En verano con 45 grados, si no has hecho los deberes...
Este fin de semana está dando duro la vulnerabilidad del componente LOG4J. No voy a entrar en el fundamento técnico porque para eso está el buscador, pero si que me gustaría sacar varias reflexiones.
La primera es que hay sospechas de que hacía mucho tiempo que se conocía el vector de ataque... https://twitter.com/an0n_r0/status/1469643986403008515
La segunda es que como grandes Vendor de la industris emplean componente de software libre, sin interesarse en la seguridad de los mismos, y por supuesto, en el Q&A, financiación del proyecto etc. El software libre mola... pero en parte porque es gratis. SI, quiero pelea !! xD.
Pero el propósito de este post es lo que tiene que ver con las empresas, con nuestros clientes, nuestros proveedores, con nosotros mismos...
Es VITAL aprender de nuestros errores. En ciberseguridad es muy raro, porque si suele perpretarse un incidente, estamos por decirlo fino... en problemas...
Hablo con mis colegas y tenemos problemas de inventario... saber qué tenemos en nuestros sistemas es la primera parte de la ciber. Después del inventario es el inventario de componentes, es decir, no solo saber si tengo 2000 windows 10, sino saber que tengo java noseque, o pdf nosecuantos... cualquier herramienta de ITSM gestiona esto... pero claro... en máquinas Windows... en los linux ni se instalan estas tools... ni antivirus... ni se despliegan plantillas...
Por otro lado los dichosos logs. Tenemos un SIEM, tenemos incluso un SOC de lo más caro, pero no tenemos logs. No tenemos logs porque la ingesta desmesurada de estos en el SIEM se paga a precio de oro, pero tenemos que tener visibilidad de lo que pasa. Si no lo quieres meter en un SIEM, metelo en un ELK para tareas forenses, o para casos como estos y auditar conexiones pasadas para descubrir donde tenemos el dicho Log4j, pero logs que hay que tener. El datawarehouse de la ciber no debe ser el SIEM, porque es caro, pero tenemos que tenerlo !!!
Al final seguro que en tu empresa has tenido más o menos facilidades para detectar tu exposición al riesgo, pero lo importante es APRENDER de la lección. Igual que con el Ransomware, tenemos que tener planes, en la ciberseguridad hay muchos más riesgos, y parece que nos hemos quedado con la solución del Ransomware, el parcheo de los equipos de infraestructura importantes, pero hay una importante cantidad de vectores de entrada que debemos cubrir, y aprender en fase "test" es mejor que hacerlo con el fuego calentando.
Espero que no hayas tenido muchos problemas con el componente, y si necesitas algo ya sabes !!!