Aanpak van de Log4Shell-kwetsbaarheid bij Researchable
Log4Shell is een kritieke kwetsbaarheid in het veelgebruikte logging-tool Log4j. Dit probleem heeft impact op veel bedrijven, zowel door kwetsbaarheden in hun eigen software als in die van hun leveranciers. Bij Researchable zijn we ISO27001-gecertificeerd en wil ik graag delen hoe wij omgaan met de Log4Shell-kwetsbaarheid en welke hulp we daarbij van ISO27001 hebben gehad.
Wat is het probleem?
In de populaire logging-bibliotheek Log4j, veel gebruikt voor logging in Java-applicaties, is een ernstige kwetsbaarheid gevonden. Hierdoor kan een ongeautoriseerde persoon op afstand code uitvoeren in de Java-applicatie die deze bibliotheek gebruikt. Vanwege het wijdverbreide gebruik in servers en desktop-applicaties, hebben de aangekondigde CVE's (een database met openbare informatiebeveiligingsproblemen) een grote impact.
Assetmanagement en ISO27001
Een belangrijk element van ISO27001 is assetmanagement van uw gebruikte systemen. Dit varieert van servers gehost op AWS tot diensten voor e-mailverzending. Hoewel het bijhouden van zo'n lijst met alle gebruikte systemen een hele klus is, zien we nu pas echt de voordelen. Dankzij deze lijst konden we eenvoudig alle systemen identificeren die mogelijk kwetsbaar waren.
Incidentenbeheerproces
Op basis van de systeemlijst hebben we ons incidentenbeheerproces gevolgd om de impact van deze CVE op onze diensten en leveranciers te bepalen. We hebben ook een overzicht gemaakt van alle leveranciers die mogelijk getroffen zijn. Omdat het nieuws hierover constant verandert, hebben we ook herhaalde controles gepland om er zeker van te zijn dat alle gebruikte systemen veilig zijn.
Wat is ISO27001
- •ISO27001 is een internationale standaard met vereisten voor een informatiebeveiligingsmanagementsysteem (ISMS).
- •Het volgt een Plan-Do-Check-Act-cyclus waarbij alle informatie in het ISO27001 ISMS continu wordt geëvalueerd en bijgewerkt.
- •Het helpt organisaties hun informatiebeveiliging op een gestructureerde manier te beheren.
Relevantie wordt duidelijk
ISO27001 biedt geweldige processen waarvan de relevantie soms pas duidelijk wordt bij incidenten zoals de Log4Shell-kwetsbaarheid. Door dit incident hebben we het nut van ons assetmanagementsysteem gezien, maar ook gemerkt dat het te lang duurde om onderscheid te maken tussen zelf-gehoste en cloud-gehoste diensten, en diensten die alleen voor ontwikkeling worden gebruikt (maar op basis van deze CVE nog steeds een beveiligingsrisico kunnen vormen).
Continue verbetering
We hebben geleerd van deze kwetsbaarheid en werken aan het optimaliseren van ons proces om betere overzichten van onze systemen te maken. We hebben al verschillende doelstellingen gepland om betere overzichten van deze systemen te creëren. De basis van ISO27001 is continue verbetering, wat ook een kernwaarde van Researchable is.