Программная уязвимость Log4Shell — одна из самых серьезных проблем в сфере интернет-безопасности, с которой встретился мир в конце 2021 года. Перед Log4Shell оказались уязвимы сервисы таких гигантов, как Apple, Amazon, Twitter и тысячи других компаний. При первых тревожных сообщениях о Log4Shell команда безопасности компании Dynatrace начала действовать.
Log4Shell — программная уязвимость в Apache Log4j 2, популярной Java-библиотеке для регистрации сообщений об ошибках в приложениях. Уязвимость удаленного выполнения кода — CVE-2021-44228 — позволяет злоумышленнику получить контроль над устройством в интернете, если на нем установлены определенные версии Log4j 2.
Принцип работы Log4Shell прост: уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, сохранять в логах определенную строку. Когда приложение или сервер обрабатывают такие логи, строка заставляет систему запустить вредоносный скрипт из домена, контролируемого злоумышленником, в результате чего он захватывает эти приложение или сервис.
Фонд Apache Software Foundation, который публикует библиотеку Log4j 2, из-за возможности широкого и легкого использования Log4Shell злоумышленниками присвоил уязвимости наивысший уровень опасности — 10 баллов из 10 по шкале CVSS.
Команде безопасности Dynatrace благодаря постоянному наблюдению за собственными производственными средами и своему приложению Dynatrace Application Security удалось оперативно отреагировать на новую угрозу — обнаружить уязвимость Log4j в режиме реального времени и реализовать немедленное восстановление в необходимом масштабе.
Обнаружение и устранение уязвимостей
Dynatrace, анализируя код приложения и используемые версии, автоматически находит уязвимости безопасности. Способность Dynatrace Application Security мгновенно расставлять приоритеты и оперативно реагировать на действия злоумышленников поможет защитить системы и предотвратить захват.
На рисунке изображено событие нарушения безопасности, для которого сформирован индекс CVSS (отраслевой стандарт для оценки серьезности уязвимостей безопасности компьютерных систем) с наивысшим показателем 10. Продукт Dynatrace указывает, сколько сервисов подвержены уязвимости, имеют ли они доступ в интернет, обрабатывают ли персональные данные, а также дает описание уязвимости (в данном случае это нашумевший Log4j).
Обнаружение инцидентов
Определите шаблоны журналов, характерные для Log4shell. После чего для настройки механизмов оповещения об атаках на среды используйте возможности анализа журналов и оповещения Dynatrace в дополнение к модулю безопасности приложения.
Искусственный интеллект Dynatrace автоматически проанализирует предупреждения и приоритезирует их, а также устранит ложные срабатывания. Такая приоритезация позволит вам быстро и уверенно восстановить системы.
На этом рисунке продемонстрирован функционал Dynatrace по созданию метрик из лог-файлов. В данном случае акцент сделан на анализе уязвимости Log4j в лог-файле Log4shell. Здесь определены характерные для Log4shell шаблоны журналов и настроены механизмы оповещения об атаках с использованием возможности анализа журналов и оповещения Dynatrace в дополнение к модулю безопасности приложений Dynatrace.
Адаптация Dynatrace по мере развития среды Log4Shell
Для многих компаний устранение уязвимости Log4Shell может занять месяцы или годы. С Dynatrace Application Security вы автоматически получаете информацию об уязвимостях.
По мере выявления дополнительных уязвимостей и исправлений для Log4j Dynatrace Application Security будет сообщать об этом, чтобы вы могли оперативно развертывать очередное обновление.