SlideShare uma empresa Scribd logo

Tanium_Log4j.pdf

E
EduardoMarques367142

O documento discute o impacto da vulnerabilidade Log4j, descoberta em 2021. A falha expôs dados em quase todos os códigos Java e levou empresas e governos a reagirem. No entanto, corrigi-la tem sido difícil devido à ampla presença do Log4j por mais de 20 anos. A vulnerabilidade pode se tornar um grande risco cibernético na próxima década se não houver aprendizado.

Tecnologia
1 de 9
Baixar para ler offline
1 E X E C U T I V E R E P O R T NEGÓCIOS & SEGURANÇA DA INFORMAÇÃO
E X E C U T I V E R E P O R T 2 DIREÇÃO E EDIÇÃO EXECUTIVA Graça Sermoud gsermoud@conteudoeditorial.com.br DIREÇÃO DE MARKETING Sérgio Sermoud ssermoud@conteudoeditorial.com.br EDITORA Leia Machado lmachado@conteudoeditorial.com.br REDAÇÃO Matheus Bracco mbracco@conteudoeditorial.com.br DESIGN Rafael Lisboa rlisboa@conteudoeditorial.com.br EXECUTIVE REPORT - EXPEDIENTE Esse conteúdo foi desenvolvido a partir do painel de debates realizado pela TVD em 27 de janeiro de 2022, com oferecimento da Tanium. O vídeo na íntegra pode ser acessado no botão abaixo: ASSISTA AO PAINEL NA ÍNTEGRA Log4j e seus impactos na próxima década
3 E X E C U T I V E R E P O R T as vulnerabilidades da próxima década: inflando os pneus com o carro em movimento Log4j Log4j A descoberta da vulnerabilidade no fim de 2021 e as consequências disso levantam questões de como o mercado está lidando com problemas tão intrínsecos nos métodos de desenvolvimento e se existe receitas de bolo para resolvê-las rapidamente
E X E C U T I V E R E P O R T 4 LOG4 J >> TA N I U M
5 E X E C U T I V E R E P O R T O ano de 2022 começou com bastante agitação no mercado de Segurança da Informação. A causa carrega um nome bastante curto: é o Log4J, uma biblioteca de códigos aberta e pública, desenvolvida dentro da Apa- che Softwares em 2001, e que deixou marcados com uma vulnerabilidade praticamente todos os códigos de dados que carreguem um trecho de linguagem de programação Java consigo. A descoberta alarmante levou profissionais de Tecno- logia da Informação e Segurança Cibernética – no poder público e na iniciativa privada – a entrarem em ação. À época da descoberta, em dezembro de 2021, o chefe do Departamento de Segurança Cibernética e Agência de Segurança e Infraestrutura dos Estados Unidos (CISA) Jim Easterly, alertou que essa era uma das falhas mais sérias que ele já havia lidado em seu trabalho. Na mesma entoada, já em janeiro deste ano, a Casa Branca reuniu bigtechs multinacionais como Google, Apple, IBM, Microsoft e Meta para organizar uma reação conjunto à vulnerabilidade, que já naquele momento, era alvo de, em média, 100 tentativas de exploração por mi- nuto em todas as instâncias da rede. Apesar de toda a comoção gerada durante o primeiro semestre do ano, pouco se conseguiu evoluir para sanar o flanco aberto pelo Log4j. Em junho deste ano, o painel do Conselho de Revisão de Segurança Cibernética dos EUA (CSRB em inglês) informou que, apesar do número relativamente baixo de tentativas de invasão via Log4J desde a descoberta, “é uma das vulnerabilidades de sof- twares mais sérias da história”, com potencial de se tornar endêmica e ser um fator de risco para a cibersegurança mundial pela próxima década. 5 E X E C U T I V E R E P O R T
E X E C U T I V E R E P O R T 6 LOG4 J >> TA N I U M Essa lentidão na reação ao problema se deve, justa- mente, à simplicidade e abrangência do Log4J. Por ser um sistema amplamente aplicável em quase todos os códi- gos de rede, detectar suas posições e corrigi-las demanda uma imensa carga de trabalho que não pode ser automa- tizado, levando profissionais das áreas de Segurança da Informação a trabalharem em conjunto com os times de TI para etiquetarem todos os locais de aparição do Log4J dentro dos sistemas das companhias, que em alguns ca- sos, são gigantescas massas de dados. Resposta das empresas Devido ao longo tempo em que o Log4J esteve presente na linguagem de códigos de tantas aplicações Java, compa- nhias que já promoviam um longo processo de transição dos seus dados para os meios digitais, como a própria cloud e outras aplicações, passaram a se preocupar como que uma falha desse tamanho poderia ter passado em branco por tanto tempo, e se existem mais outras que exigirão preocu- pações futuras. De acordo com Rogério Iwashita, CISO da Quod, essa tem sido a primeira pergunta de todos os meios empresariais, incluindo o dele próprio. “Quando eu estava apresentando um pouco do Log4j para o board executive, a pergunta foi justamente ‘existem outros? Como podemos nos proteger de outros similares?’, mas a verdade é que é muito complicado de responder essa pergunta, porque não tem como prever todas essas possibilidades. Poucos dos frames de segurança que utili- zamos tem um inventário de todas as bibliotecas e depen- dências que aquele software possui. É quase impossível você conseguir mapear todas as dependências que aque- le software possa ter, mesmo os desenvolvidos por você mesmo”, disse o CISO durante painel de debates promovi- do pela TVD em parceria com a Tanium. E X E C U T I V E R E P O R T 6
7 E X E C U T I V E R E P O R T “Nos últimos tempos, foi a coisa mais impactante que encontramos no meio de Segurança da Informação. Por- que ele foi lançado em 2001, então imagine 21 anos com todo mundo usando isso. A que nível de exposição, che- gamos com o espalhamento dessa vulnerabilidade pelo mundo todo”, acrescenta Ianno Santos, CISO da AeC. Para ele, o segredo de manter um ambiente de dados seguros após a descoberta de uma falha como o Log4J é a cons- tância no monitoramento de dados. Clayton Soares, DPO e Gerente Executivo de Governan- ça em TI e SI da Pague Menos, reflete também sobre o impacto da vulnerabilidade quando as empresas lidam também com terceiros. “Existem vários assessments que precisam ser feitos entre lugares diferentes do meu am- biente, não é só a falha da aplicação em si e igualmente não é só ela dentro do apache, ainda mais hoje que te- mos o costume de reusar códigos para aumentar a veloci- dade do desenvolvimento”, diz. Métodos de defesa Da mesma forma em que o Log4J causa extrema pre- ocupação nas empresas e nos times de Segurança, as demais vulnerabilidades carregam consigo a mesma per- gunta sobre o que fazer para enfrentar diretamente esse tipo de mal, especialmente quando muitas delas investem valores altos em esquemas avançados de proteção. Apesar dessa necessidade, os debatedores do painel demonstraram não existir exatamente uma “receita de bolo” para responder à essas crises. O tamanho do ine- ditismo causado pelo fenômeno do Log4J evidenciou isso, com todos os usuários correndo em direções diversas: al- guns tentando unificar o máximo que podiam de suas pla- taformas, e outras setorizando ainda mais suas barreiras defensivas. 7 E X E C U T I V E R E P O R T
E X E C U T I V E R E P O R T 8 LOG4 J >> TA N I U M “As organizações se acostumaram a comprar um monte de soluções de empresas menores, colocando tudo num mesmo guarda-chuva para dizer que é uma plataforma. Vira uma colcha de retalhos que é chamada de platafor- ma até acabar como a metáfora do pato: não consegue voar bem, andar bem nem nadar bem. Isso cria uma base lotada de silos, trazendo mais complexidade para a Segu- rança”, salientou Felipe Nascimento, Diretor de Engenha- ria de Soluções para LATAM da Tanium. Em contrapartida, Ianno Santos comentou que o proble- ma gerado pelas vulnerabilidades de códigos vai ainda mais além do formato de plataforma. Na realidade, sem iniciativas de desenvolvimento seguro, permitindo uma germinação sustentável do meio digital da empresa, o mercado de Tecnologia da Informação estará sempre na mesma situação de detectar falhas que existiam desde os primórdios, mas que no momento estão tão entranhadas nos sistemas que exigirão longos anos de contenção de danos até que o problema seja enfrentado. “Mas acho que o maior desafio nisso é a recorrência: é fazer com que a gestão de vulnerabilidades entre na roti- na da companhia, pois sabemos que há GAPs para serem corrigidas e não é possível fazer isso do dia para a noite”, completa o CISO da AeC. Expectativas futuras Ainda à esteira das discussões sobre a reação às vul- nerabilidades desconhecidas nos códigos de dados, tanto os profissionais de Segurança da Informação quanto as corporações de todos os segmentos, compreendem que é necessário extrair lições e descobertas com o caso Log4J. É preciso evitar que o mundo em rede seja pego de forma tão indefesa por um flanco de exposição de dados tão profundo quanto esse. E X E C U T I V E R E P O R T 8
9 E X E C U T I V E R E P O R T Felipe Nascimento salienta que o domínio das empresas sobre os seus pontos de aces- so à rede interna também será algo essen- cial para o bem-estar futuro de uma rede de dados. E para isso, será necessário que os profissionais de Segurança da Informação mantenham-se atentos mesmo em relação a setores fora da sua alçada, como os de desenvolvimento e empresas terceirizadas. Já Rogério Iwashita complementa que é preciso olhar para cada uma das ferramen- tas de defesa implantadas nos ambientes digitais das companhias, em especial aque- las ligadas ao core business e aos dados cruciais das organizações. Isso será impor- tante uma vez que, segundo ele, as aplica- ções mais avulsas continuam sendo neces- sárias para a defesa geral desses recursos informacionais. “O Log4J trouxe essa visão de que co- nhecer a fundo todas as suas bibliotecas e destrinchá-las é essencial. Ele foi um boom, pelo que significou de exposição e facilida- de de exploração, mas a decorrência dele para o futuro vai ser essa necessidade de aprofundar seu controle de inventário para entender mais do próprio ambiente, trans- formando isso num nível básico de controle. Vai ser uma mudança grande e boa para os controles de segurança nos próximos anos”, conclui Iwashita. Log4j Log4j

Recomendados

INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017Miguel Reis
 
Arrumando o “atraso” nas reparações para a segurança
Arrumando o “atraso” nas reparações para a segurançaArrumando o “atraso” nas reparações para a segurança
Arrumando o “atraso” nas reparações para a segurançaMotorola Solutions LatAm
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Notícia revista ip março 2011
Notícia revista ip março 2011Notícia revista ip março 2011
Notícia revista ip março 2011Nuno Tasso de Figueiredo
 
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011Cisco do Brasil
 

Recomendados

INSECURE 2017
INSECURE 2017INSECURE 2017
INSECURE 2017Miguel Reis
 
Arrumando o “atraso” nas reparações para a segurança
Arrumando o “atraso” nas reparações para a segurançaArrumando o “atraso” nas reparações para a segurança
Arrumando o “atraso” nas reparações para a segurançaMotorola Solutions LatAm
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Notícia revista ip março 2011
Notícia revista ip março 2011Notícia revista ip março 2011
Notícia revista ip março 2011Nuno Tasso de Figueiredo
 
Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011Relatório Anual de Segurança da Cisco 2011
Relatório Anual de Segurança da Cisco 2011Cisco do Brasil
 
INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016Miguel Reis
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
RSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsRSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsMiguel Reis
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
 
Risk Report
Risk ReportRisk Report
Risk ReportGabriela Makhoul
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRICARDO GARCIA GIORDANO
 
Cloud computing
Cloud computingCloud computing
Cloud computingKlaus Fischer Gomes Santana
 
Andróide - Exercício de Inglês
Andróide - Exercício de InglêsAndróide - Exercício de Inglês
Andróide - Exercício de InglêsThamires Sâmela
 
Sistemas da Informação
Sistemas da InformaçãoSistemas da Informação
Sistemas da Informaçãopaulophilipe
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
Decision Report
Decision ReportDecision Report
Decision ReportPriscila Stuani
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...bestwinc
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryTI Safe
 
A internet das coisas.pdf
A internet das coisas.pdfA internet das coisas.pdf
A internet das coisas.pdfKadCorreia
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 

Mais conteúdo relacionado

Semelhante a Tanium_Log4j.pdf

Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
RSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsRSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsMiguel Reis
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
Andróide - Exercício de Inglês
Andróide - Exercício de InglêsAndróide - Exercício de Inglês
Andróide - Exercício de InglêsThamires Sâmela
 
Sistemas da Informação
Sistemas da InformaçãoSistemas da Informação
Sistemas da Informaçãopaulophilipe
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...bestwinc
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryTI Safe
 
A internet das coisas.pdf
A internet das coisas.pdfA internet das coisas.pdf
A internet das coisas.pdfKadCorreia
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 

Semelhante a Tanium_Log4j.pdf (20)

INSECURE 2016
INSECURE 2016INSECURE 2016
INSECURE 2016
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redes
 
RSA Conference 2018 - Highlights
RSA Conference 2018 - HighlightsRSA Conference 2018 - Highlights
RSA Conference 2018 - Highlights
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva
 
Risk Report
Risk ReportRisk Report
Risk Report
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da Cisco
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Andróide - Exercício de Inglês
Andróide - Exercício de InglêsAndróide - Exercício de Inglês
Andróide - Exercício de Inglês
 
Sistemas da Informação
Sistemas da InformaçãoSistemas da Informação
Sistemas da Informação
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Decision Report
Decision ReportDecision Report
Decision Report
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
 
Artigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCryArtigo Técnico - A Lei e o WannaCry
Artigo Técnico - A Lei e o WannaCry
 
A internet das coisas.pdf
A internet das coisas.pdfA internet das coisas.pdf
A internet das coisas.pdf
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
 

Tanium_Log4j.pdf

  • 1. 1 E X E C U T I V E R E P O R T NEGÓCIOS & SEGURANÇA DA INFORMAÇÃO
  • 2. E X E C U T I V E R E P O R T 2 DIREÇÃO E EDIÇÃO EXECUTIVA Graça Sermoud gsermoud@conteudoeditorial.com.br DIREÇÃO DE MARKETING Sérgio Sermoud ssermoud@conteudoeditorial.com.br EDITORA Leia Machado lmachado@conteudoeditorial.com.br REDAÇÃO Matheus Bracco mbracco@conteudoeditorial.com.br DESIGN Rafael Lisboa rlisboa@conteudoeditorial.com.br EXECUTIVE REPORT - EXPEDIENTE Esse conteúdo foi desenvolvido a partir do painel de debates realizado pela TVD em 27 de janeiro de 2022, com oferecimento da Tanium. O vídeo na íntegra pode ser acessado no botão abaixo: ASSISTA AO PAINEL NA ÍNTEGRA Log4j e seus impactos na próxima década
  • 3. 3 E X E C U T I V E R E P O R T as vulnerabilidades da próxima década: inflando os pneus com o carro em movimento Log4j Log4j A descoberta da vulnerabilidade no fim de 2021 e as consequências disso levantam questões de como o mercado está lidando com problemas tão intrínsecos nos métodos de desenvolvimento e se existe receitas de bolo para resolvê-las rapidamente
  • 4. E X E C U T I V E R E P O R T 4 LOG4 J >> TA N I U M
  • 5. 5 E X E C U T I V E R E P O R T O ano de 2022 começou com bastante agitação no mercado de Segurança da Informação. A causa carrega um nome bastante curto: é o Log4J, uma biblioteca de códigos aberta e pública, desenvolvida dentro da Apa- che Softwares em 2001, e que deixou marcados com uma vulnerabilidade praticamente todos os códigos de dados que carreguem um trecho de linguagem de programação Java consigo. A descoberta alarmante levou profissionais de Tecno- logia da Informação e Segurança Cibernética – no poder público e na iniciativa privada – a entrarem em ação. À época da descoberta, em dezembro de 2021, o chefe do Departamento de Segurança Cibernética e Agência de Segurança e Infraestrutura dos Estados Unidos (CISA) Jim Easterly, alertou que essa era uma das falhas mais sérias que ele já havia lidado em seu trabalho. Na mesma entoada, já em janeiro deste ano, a Casa Branca reuniu bigtechs multinacionais como Google, Apple, IBM, Microsoft e Meta para organizar uma reação conjunto à vulnerabilidade, que já naquele momento, era alvo de, em média, 100 tentativas de exploração por mi- nuto em todas as instâncias da rede. Apesar de toda a comoção gerada durante o primeiro semestre do ano, pouco se conseguiu evoluir para sanar o flanco aberto pelo Log4j. Em junho deste ano, o painel do Conselho de Revisão de Segurança Cibernética dos EUA (CSRB em inglês) informou que, apesar do número relativamente baixo de tentativas de invasão via Log4J desde a descoberta, “é uma das vulnerabilidades de sof- twares mais sérias da história”, com potencial de se tornar endêmica e ser um fator de risco para a cibersegurança mundial pela próxima década. 5 E X E C U T I V E R E P O R T
  • 6. E X E C U T I V E R E P O R T 6 LOG4 J >> TA N I U M Essa lentidão na reação ao problema se deve, justa- mente, à simplicidade e abrangência do Log4J. Por ser um sistema amplamente aplicável em quase todos os códi- gos de rede, detectar suas posições e corrigi-las demanda uma imensa carga de trabalho que não pode ser automa- tizado, levando profissionais das áreas de Segurança da Informação a trabalharem em conjunto com os times de TI para etiquetarem todos os locais de aparição do Log4J dentro dos sistemas das companhias, que em alguns ca- sos, são gigantescas massas de dados. Resposta das empresas Devido ao longo tempo em que o Log4J esteve presente na linguagem de códigos de tantas aplicações Java, compa- nhias que já promoviam um longo processo de transição dos seus dados para os meios digitais, como a própria cloud e outras aplicações, passaram a se preocupar como que uma falha desse tamanho poderia ter passado em branco por tanto tempo, e se existem mais outras que exigirão preocu- pações futuras. De acordo com Rogério Iwashita, CISO da Quod, essa tem sido a primeira pergunta de todos os meios empresariais, incluindo o dele próprio. “Quando eu estava apresentando um pouco do Log4j para o board executive, a pergunta foi justamente ‘existem outros? Como podemos nos proteger de outros similares?’, mas a verdade é que é muito complicado de responder essa pergunta, porque não tem como prever todas essas possibilidades. Poucos dos frames de segurança que utili- zamos tem um inventário de todas as bibliotecas e depen- dências que aquele software possui. É quase impossível você conseguir mapear todas as dependências que aque- le software possa ter, mesmo os desenvolvidos por você mesmo”, disse o CISO durante painel de debates promovi- do pela TVD em parceria com a Tanium. E X E C U T I V E R E P O R T 6
  • 7. 7 E X E C U T I V E R E P O R T “Nos últimos tempos, foi a coisa mais impactante que encontramos no meio de Segurança da Informação. Por- que ele foi lançado em 2001, então imagine 21 anos com todo mundo usando isso. A que nível de exposição, che- gamos com o espalhamento dessa vulnerabilidade pelo mundo todo”, acrescenta Ianno Santos, CISO da AeC. Para ele, o segredo de manter um ambiente de dados seguros após a descoberta de uma falha como o Log4J é a cons- tância no monitoramento de dados. Clayton Soares, DPO e Gerente Executivo de Governan- ça em TI e SI da Pague Menos, reflete também sobre o impacto da vulnerabilidade quando as empresas lidam também com terceiros. “Existem vários assessments que precisam ser feitos entre lugares diferentes do meu am- biente, não é só a falha da aplicação em si e igualmente não é só ela dentro do apache, ainda mais hoje que te- mos o costume de reusar códigos para aumentar a veloci- dade do desenvolvimento”, diz. Métodos de defesa Da mesma forma em que o Log4J causa extrema pre- ocupação nas empresas e nos times de Segurança, as demais vulnerabilidades carregam consigo a mesma per- gunta sobre o que fazer para enfrentar diretamente esse tipo de mal, especialmente quando muitas delas investem valores altos em esquemas avançados de proteção. Apesar dessa necessidade, os debatedores do painel demonstraram não existir exatamente uma “receita de bolo” para responder à essas crises. O tamanho do ine- ditismo causado pelo fenômeno do Log4J evidenciou isso, com todos os usuários correndo em direções diversas: al- guns tentando unificar o máximo que podiam de suas pla- taformas, e outras setorizando ainda mais suas barreiras defensivas. 7 E X E C U T I V E R E P O R T
  • 8. E X E C U T I V E R E P O R T 8 LOG4 J >> TA N I U M “As organizações se acostumaram a comprar um monte de soluções de empresas menores, colocando tudo num mesmo guarda-chuva para dizer que é uma plataforma. Vira uma colcha de retalhos que é chamada de platafor- ma até acabar como a metáfora do pato: não consegue voar bem, andar bem nem nadar bem. Isso cria uma base lotada de silos, trazendo mais complexidade para a Segu- rança”, salientou Felipe Nascimento, Diretor de Engenha- ria de Soluções para LATAM da Tanium. Em contrapartida, Ianno Santos comentou que o proble- ma gerado pelas vulnerabilidades de códigos vai ainda mais além do formato de plataforma. Na realidade, sem iniciativas de desenvolvimento seguro, permitindo uma germinação sustentável do meio digital da empresa, o mercado de Tecnologia da Informação estará sempre na mesma situação de detectar falhas que existiam desde os primórdios, mas que no momento estão tão entranhadas nos sistemas que exigirão longos anos de contenção de danos até que o problema seja enfrentado. “Mas acho que o maior desafio nisso é a recorrência: é fazer com que a gestão de vulnerabilidades entre na roti- na da companhia, pois sabemos que há GAPs para serem corrigidas e não é possível fazer isso do dia para a noite”, completa o CISO da AeC. Expectativas futuras Ainda à esteira das discussões sobre a reação às vul- nerabilidades desconhecidas nos códigos de dados, tanto os profissionais de Segurança da Informação quanto as corporações de todos os segmentos, compreendem que é necessário extrair lições e descobertas com o caso Log4J. É preciso evitar que o mundo em rede seja pego de forma tão indefesa por um flanco de exposição de dados tão profundo quanto esse. E X E C U T I V E R E P O R T 8
  • 9. 9 E X E C U T I V E R E P O R T Felipe Nascimento salienta que o domínio das empresas sobre os seus pontos de aces- so à rede interna também será algo essen- cial para o bem-estar futuro de uma rede de dados. E para isso, será necessário que os profissionais de Segurança da Informação mantenham-se atentos mesmo em relação a setores fora da sua alçada, como os de desenvolvimento e empresas terceirizadas. Já Rogério Iwashita complementa que é preciso olhar para cada uma das ferramen- tas de defesa implantadas nos ambientes digitais das companhias, em especial aque- las ligadas ao core business e aos dados cruciais das organizações. Isso será impor- tante uma vez que, segundo ele, as aplica- ções mais avulsas continuam sendo neces- sárias para a defesa geral desses recursos informacionais. “O Log4J trouxe essa visão de que co- nhecer a fundo todas as suas bibliotecas e destrinchá-las é essencial. Ele foi um boom, pelo que significou de exposição e facilida- de de exploração, mas a decorrência dele para o futuro vai ser essa necessidade de aprofundar seu controle de inventário para entender mais do próprio ambiente, trans- formando isso num nível básico de controle. Vai ser uma mudança grande e boa para os controles de segurança nos próximos anos”, conclui Iwashita. Log4j Log4j