เจ้าหน้าที่ของ Cybersecurity and Infrastructure Security Agency กำลังชื่นชมการตอบสนองของรัฐบาลกลางที่ “ไม่ธรรมดา” ต่อช่องโหว่ร้ายแรงในซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย ในขณะเดียวกันก็เตือนว่าความพยายามในการแก้ไขยังไม่จบสิ้นEric Goldstein ผู้ช่วยผู้อำนวยการบริหารด้านความปลอดภัยทางไซเบอร์ของ CISA กล่าวว่า ณ วันจันทร์ที่ผ่านมา ยังไม่มีหน่วยงานใดถูกโจมตีจากช่องโหว่ในไลบรารี Java “Log4J” การใช้ประโยชน์ที่เรียกว่า “Log4Shell” ถูกค้นพบเมื่อต้นเดือนธันวาคม
CISA ออกคำสั่งฉุกเฉินที่กำหนดให้หน่วยงานแก้ไขหรือ
บรรเทาอินสแตนซ์ที่รู้จักทั้งหมดของแอปพลิเคชันที่เชื่อมต่ออินเทอร์เน็ตด้วย Log4J ภายในวันที่ 24 ธันวาคม โกลด์สตีนกล่าวว่าหน่วยงานต่างๆ ได้แก้ไข “ทรัพย์สินที่เชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่นับพัน” บนเครือข่ายของตน
CISA ยังเรียกแพลตฟอร์มการเปิดเผยช่องโหว่ของ Department of Homeland Security ซึ่งให้บริการผ่าน BugCrowd เพื่อค้นหาอินสแตนซ์ของ Log4J บนเครือข่าย DHS
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
Goldstein กล่าวว่านักวิจัยค้นพบทรัพย์สินที่ไม่ปรากฏชื่อก่อนหน้านี้ 17 รายการที่มีความเสี่ยงต่อ Log4Shell
“เราได้เห็นความสนใจเป็นพิเศษเกี่ยวกับช่องโหว่นี้ในหน่วยงานของรัฐบาลกลาง” โกลด์สตีนกล่าวในการติดต่อกับนักข่าว “ฉันคิดว่าตรงไปตรงมา การมุ่งเน้นที่ทุ่มเทที่สุดที่เราเคยเห็นสำหรับความพยายามเช่นนี้”แต่โกลด์สตีนยังกล่าวอีกว่าช่องโหว่นี้จะมี “การแก้ไขที่ยาวนาน” เนื่องจากส่งผลกระทบต่ออุปกรณ์หลายร้อยล้านเครื่องทั่วโลก CISA ได้ตั้งค่าเพจสำหรับแนวทางการแก้ไข Log4J โดยเฉพาะ
“เราทราบดีว่าโดยเฉพาะอย่างยิ่งสำหรับหน่วยงานขนาดเล็ก
หรือขนาดกลาง ทรัพยากรในการบรรเทาช่องโหว่นี้อาจมีมากมาย” เขากล่าว “ดังนั้นเราจึงทำงานร่วมกับหน่วยงานแต่ละแห่งและทั่วทั้งรัฐบาลเพื่อให้แน่ใจว่าพวกเขากำลังดำเนินการแก้ไขสินทรัพย์ใด ๆ ที่ไม่ได้รับการแก้ไขในขณะนี้ ทั้งโดยการแพตช์หรือปรับใช้มาตรการบรรเทาผลกระทบอื่น ๆ ที่เรากำหนดไว้ในคำสั่งของเรา”
เจ้าหน้าที่กล่าวว่าผู้โจมตีอาจใช้ Log4Shell เพื่อเข้าถึงเครือข่ายของเหยื่อ แต่กำลังรอที่จะใช้ประโยชน์จากการเข้าถึงจนกว่าความสนใจในประเด็นนี้จะยุติลง
“เราคาดว่า Log4Shell จะถูกใช้ในการบุกรุกในอนาคต และด้วยเหตุนี้ เราจึงยังคงมุ่งเน้นไปที่การผลักดันการแก้ไขสินทรัพย์ที่มีช่องโหว่ในอีกหลายเดือนข้างหน้า” Jen Easterly ผู้อำนวยการ CISA กล่าว “และในการผลักดันการนำแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่ง เช่น สถาปัตยกรรมแบบ Zero trust มาใช้ ซึ่งจะช่วยตรวจจับและจำกัดผลกระทบของการบุกรุกที่อาจเกิดขึ้น”
โกลด์สตีนยังกล่าวอีกว่า CISA กำลังกระตุ้นให้องค์กรต่างๆ ใช้ “แบบจำลองการตามล่าอย่างต่อเนื่อง ซึ่งจะเพิ่มการตรวจจับให้สูงขึ้น ลดเกณฑ์การแจ้งเตือนสำหรับสินทรัพย์หรือเครือข่ายใด ๆ ที่ผลิตภัณฑ์ที่มีช่องโหว่ทำงานอยู่”
CISA กำลังทำงานผ่าน Joint Cyber Defense Collaborative เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Log4Shell ถูกโจมตี JCDC ก่อตั้งขึ้นเมื่อฤดูร้อนปีที่แล้วในฐานะองค์กรวางแผนความปลอดภัยทางไซเบอร์ทั้งภาครัฐและเอกชน ผู้ให้บริการคลาวด์รายใหญ่หลายราย บริษัทโทรคมนาคม และบริษัทด้านความปลอดภัยทางไซเบอร์มีส่วนร่วมในความร่วมมือนี้Easterly กล่าวว่า CISA อยู่ใน “การสื่อสารอย่างต่อเนื่อง” กับผู้จำหน่ายความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับ JCDC
การใช้ประโยชน์ดังกล่าวยังทำให้เกิดความเร่งด่วนใหม่เบื้องหลังการผลักดันของรัฐบาล Biden ให้ใช้ Software Bills of Material หรือ SBOM เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง SBOM คือ “สินค้าคงคลังที่ซ้อนกันสำหรับซอฟต์แวร์ ซึ่งเป็นรายการส่วนผสมที่ประกอบกันเป็นส่วนประกอบซอฟต์แวร์” ตามข้อมูลของ National Telecommunications and Information Administration
คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ของประธานาธิบดีโจ ไบเดนเมื่อเดือนพฤษภาคมที่ผ่านมา สั่งให้ CISA และหน่วยงานหลักอื่นๆ พิจารณาวิธีใช้ SBOM ในการจัดซื้อของรัฐบาล
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์