Sonatype ha rilevato che quasi il 70% delle decisioni di gestione delle dipendenze non sono ottimali in uno studio che ha valutato 100.000 applicazioni di produzione e 4.000.000 migrazioni di componenti open source.
Gran parte di ciò è dovuto alla mancanza di automazione della sicurezza, ha spiegato Ax Sharma, ricercatore senior sulla sicurezza e sostenitore di Sonatype, in un webinar chiamato “L’impatto degli attacchi zero-day sulla gestione di SSC.”
La società ha anche scoperto che quando si trattava di grandi violazioni come Log4Shell nel dicembre 2021 e Spring4Shell che consentivano agli aggressori di eseguire codice dannoso da remoto, le aziende che non automatizzavano la gestione della fornitura e non prestavano attenzione alle vulnerabilità erano particolarmente vulnerabili.
La dashboard Sonatype Log4j Resource Center mostra anche che i download di Log4Shell sono scesi dal 50% al momento della divulgazione della vulnerabilità al 33%, ma è ancora molto, secondo Sharma.
“All’epoca, le persone erano molto preoccupate se fossero vulnerabili alla vulnerabilità di Log4Shell”, ha affermato Sharma. “Se stai utilizzando alcuni componenti, potrebbe essere un componente all’interno di un componente all’interno di un componente che contiene questa libreria e semplicemente non sai come viene utilizzato nel tuo ambiente. Quindi penso che questo sia il punto in cui l’automazione vince perché è necessario trovare la classe vulnerabile e il codice vulnerabile ed esattamente come viene utilizzato”.
Poiché le organizzazioni non possono aspettarsi che i loro team di sicurezza esaminino migliaia di righe di codice e file al giorno con un approccio manuale, possono utilizzare scanner gratuiti di aziende come SISA, Google e Microsoft per vedere se sono vulnerabili a Log4j e può anche utilizzare i controlli di sicurezza perimetrali essenziali.
“Anche se sei stato colpito da Log4j e avevi potenti strumenti di risposta agli incidenti in atto come un buon IDS o IPS, forse il traffico sospetto potrebbe essere segnalato da quelle regole”, ha affermato Sharma.
Un altro suggerimento è di correggere rapidamente le vulnerabilità dando priorità ai CVE in base all’impatto di ciascuno sull’ambiente. C’erano così tanti CVE Log4Shell, ma non tutti erano critici, e questo ha lasciato gli amministratori di sistema e la gestione confusi e grattandosi la testa durante le vacanze decidendo a cosa dare la priorità.
Ottenere aggiornamenti è anche un valido consiglio di sicurezza, ha spiegato Sharma, ma assicurati che gli aggiornamenti siano legittimi e sicuri e non rompano nulla. Tale è stato il caso dell’attacco SolarWinds causato da aggiornamenti che contenevano librerie di collegamento dinamico (DLL) trojanizzate.
Per saperne di più, guarda il webinar “L’impatto degli attacchi zero-day sulla gestione di SSC”, disponibile ora su richiesta.
