Aprendizados do Log4j: Não se apresse para a remediação

A maioria de nós, que compartilhamos a característica de sermos seres humanos, já experimentou o que é comumente chamado de " lutar ou fugir " — uma reação física autônoma, muitas vezes intensa, que se manifesta com coração acelerado, músculos tensos e palmas das mãos suadas. Uma sensação de pânico pode acompanhar a reação, bem como uma paralisia de decisão que torna nossa capacidade de pensar logicamente praticamente inexistente.

As empresas têm sua própria versão dessa resposta, desenvolvida e aprimorada ao longo de anos de resposta a situações digitais ameaçadoras.

O risco para os negócios é semelhante ao risco para os seres humanos. Para os humanos, a ativação excessivamente frequente, intensa ou inadequada da resposta de luta ou fuga está implicada em uma série de condições clínicas. Essa é uma forma abreviada de dizer que eles podem causar danos físicos reais. Do lado comercial, a invocação de ativação frequente, intensa ou potencialmente inadequada de uma resposta digital de luta ou fuga pode ser prejudicial à saúde dos negócios, principalmente no domínio da segurança.

Assim como os conhecidos “estágios de luto”, notamos o surgimento de “estágios de reações de segurança” ao longo de décadas de trabalho para mitigar ameaças relacionadas a aplicativos e infraestrutura.  

A importância de escolher a resposta certa

Correr para a remediação pode ser uma daquelas reações que, a longo prazo, não acabam sendo a melhor resposta. Considere que o primeiro patch lançado para o Log4j pelo Apache também era vulnerável , então as organizações que correram para a correção basicamente tiveram que começar do zero e corrigir todos os seus sistemas novamente.

É neste ponto que paro e afirmo veementemente que não se apressar na correção não significa ignorar o risco ou pecar pela inação.

Isso é particularmente importante lembrar porque não administrar de forma responsável os dados que impulsionam um negócio digital tem consequências no mundo real. Na sequência do Log4j, a Comissão Federal de Comércio dos EUA (FTC) “ alertou que isso aconteceria após empresas do setor privado que não conseguiram proteger os dados dos consumidores expostos como resultado do Log4j.” ( ZDNet )

Por que a mitigação vem em primeiro lugar

A mitigação vem antes da remediação por um motivo, e um dos mais importantes é abordar o instinto humano de “fazer alguma coisa” e correr para a remediação. A mitigação rápida também aborda a necessidade de sermos administradores responsáveis dos dados dos clientes, protegendo-os contra exfiltração e, ao mesmo tempo, formulando o plano de ação de correção correto .  

A mitigação deve ser a primeira ação tomada, especialmente ao lidar com uma vulnerabilidade tão generalizada que exigirá uma exploração aprofundada da cadeia de suprimentos de software. A ubiquidade e a dificuldade de descobrir exatamente onde os pacotes e componentes vulneráveis podem estar escondidos provavelmente estão por trás da descoberta de que "os downloads vulneráveis para #log4shell ainda atingiram 46% no geral" em 4 de janeiro. ( Sonatipo )

A realidade de um mundo digital por padrão é que novas e traumáticas vulnerabilidades de segurança continuarão a interromper os negócios e sobrecarregar recursos já sobrecarregados. Devido à natureza robusta de um portfólio de aplicativos corporativos — geralmente abrangendo cinco gerações de arquiteturas de aplicativos distribuídas entre núcleo, nuvem e borda — devemos presumir que a correção consumirá a maior parte do tempo e da energia. É por isso que a mitigação rápida é tão importante. Ele alivia a pressão e permite uma abordagem mais deliberada e abrangente para a correção — uma abordagem que inclui verificar se os patches lançados são seguros e permitir que os desenvolvedores atualizem, apliquem patches e testem de acordo com os ciclos de lançamento existentes.

As organizações devem garantir que tenham pontos de controle em todos os ambientes que ofereçam suporte à mitigação. Proteção da Web e API, inspeção de conteúdo e recursos de bloqueio em pontos estratégicos de controle fornecem uma espécie de “plataforma” para mitigação diante desses tipos de vulnerabilidades generalizadas. Esses mesmos pontos de controle também podem fornecer informações valiosas na forma de exposição de tentativas de exploração de tais vulnerabilidades.  

Conclusão

A maioria de nós se lembra dos exercícios de combate a incêndio da infância, quando praticávamos como sair da escola com segurança em caso de incêndio. Também pratiquei exercícios de tornado e imagino que haja crianças ao redor do mundo que tenham praticado a preparação para terremotos ou tsunamis. Ter um plano e saber como executá-lo pode ser essencial para reduzir o tempo gasto em pânico quando notícias de uma vulnerabilidade significativa são divulgadas.

Então não entre em pânico. Utilize pontos de controle estratégicos e concentre-se na mitigação rápida para que você possa executar uma remediação proposital .

E lembre-se, a prática reduz o pânico . Planejar e executar seu próprio “exercício de segurança contra incêndio” não é uma má ideia.