O documento discute o impacto da vulnerabilidade Log4j, descoberta em 2021. A falha expôs dados em quase todos os códigos Java e levou empresas e governos a reagirem. No entanto, corrigi-la tem sido difícil devido à ampla presença do Log4j por mais de 20 anos. A vulnerabilidade pode se tornar um grande risco cibernético na próxima década se não houver aprendizado.
1. 1 E X E C U T I V E R E P O R T
NEGÓCIOS & SEGURANÇA DA INFORMAÇÃO
2. E X E C U T I V E R E P O R T 2
DIREÇÃO E EDIÇÃO EXECUTIVA
Graça Sermoud
gsermoud@conteudoeditorial.com.br
DIREÇÃO DE MARKETING
Sérgio Sermoud
ssermoud@conteudoeditorial.com.br
EDITORA
Leia Machado
lmachado@conteudoeditorial.com.br
REDAÇÃO
Matheus Bracco
mbracco@conteudoeditorial.com.br
DESIGN
Rafael Lisboa
rlisboa@conteudoeditorial.com.br
EXECUTIVE REPORT - EXPEDIENTE
Esse conteúdo foi desenvolvido a partir do painel de debates realizado pela TVD
em 27 de janeiro de 2022, com oferecimento da Tanium. O vídeo na íntegra pode
ser acessado no botão abaixo:
ASSISTA AO PAINEL NA ÍNTEGRA
Log4j e seus impactos
na próxima década
3. 3 E X E C U T I V E R E P O R T
as vulnerabilidades da próxima
década: inflando os pneus com
o carro em movimento
Log4j
Log4j
A descoberta da vulnerabilidade no fim de 2021 e as consequências
disso levantam questões de como o mercado está lidando
com problemas tão intrínsecos nos métodos de desenvolvimento e se
existe receitas de bolo para resolvê-las rapidamente
4. E X E C U T I V E R E P O R T 4
LOG4 J >> TA N I U M
5. 5 E X E C U T I V E R E P O R T
O ano de 2022 começou com bastante agitação no
mercado de Segurança da Informação. A causa carrega
um nome bastante curto: é o Log4J, uma biblioteca de
códigos aberta e pública, desenvolvida dentro da Apa-
che Softwares em 2001, e que deixou marcados com uma
vulnerabilidade praticamente todos os códigos de dados
que carreguem um trecho de linguagem de programação
Java consigo.
A descoberta alarmante levou profissionais de Tecno-
logia da Informação e Segurança Cibernética – no poder
público e na iniciativa privada – a entrarem em ação. À
época da descoberta, em dezembro de 2021, o chefe do
Departamento de Segurança Cibernética e Agência de
Segurança e Infraestrutura dos Estados Unidos (CISA) Jim
Easterly, alertou que essa era uma das falhas mais sérias
que ele já havia lidado em seu trabalho.
Na mesma entoada, já em janeiro deste ano, a Casa
Branca reuniu bigtechs multinacionais como Google,
Apple, IBM, Microsoft e Meta para organizar uma reação
conjunto à vulnerabilidade, que já naquele momento, era
alvo de, em média, 100 tentativas de exploração por mi-
nuto em todas as instâncias da rede.
Apesar de toda a comoção gerada durante o primeiro
semestre do ano, pouco se conseguiu evoluir para sanar
o flanco aberto pelo Log4j. Em junho deste ano, o painel
do Conselho de Revisão de Segurança Cibernética dos
EUA (CSRB em inglês) informou que, apesar do número
relativamente baixo de tentativas de invasão via Log4J
desde a descoberta, “é uma das vulnerabilidades de sof-
twares mais sérias da história”, com potencial de se tornar
endêmica e ser um fator de risco para a cibersegurança
mundial pela próxima década.
5 E X E C U T I V E R E P O R T
6. E X E C U T I V E R E P O R T 6
LOG4 J >> TA N I U M
Essa lentidão na reação ao problema se deve, justa-
mente, à simplicidade e abrangência do Log4J. Por ser um
sistema amplamente aplicável em quase todos os códi-
gos de rede, detectar suas posições e corrigi-las demanda
uma imensa carga de trabalho que não pode ser automa-
tizado, levando profissionais das áreas de Segurança da
Informação a trabalharem em conjunto com os times de
TI para etiquetarem todos os locais de aparição do Log4J
dentro dos sistemas das companhias, que em alguns ca-
sos, são gigantescas massas de dados.
Resposta das empresas
Devido ao longo tempo em que o Log4J esteve presente
na linguagem de códigos de tantas aplicações Java, compa-
nhias que já promoviam um longo processo de transição dos
seus dados para os meios digitais, como a própria cloud e
outras aplicações, passaram a se preocupar como que uma
falha desse tamanho poderia ter passado em branco por
tanto tempo, e se existem mais outras que exigirão preocu-
pações futuras. De acordo com Rogério Iwashita, CISO da
Quod, essa tem sido a primeira pergunta de todos os meios
empresariais, incluindo o dele próprio.
“Quando eu estava apresentando um pouco do Log4j
para o board executive, a pergunta foi justamente ‘existem
outros? Como podemos nos proteger de outros similares?’,
mas a verdade é que é muito complicado de responder
essa pergunta, porque não tem como prever todas essas
possibilidades. Poucos dos frames de segurança que utili-
zamos tem um inventário de todas as bibliotecas e depen-
dências que aquele software possui. É quase impossível
você conseguir mapear todas as dependências que aque-
le software possa ter, mesmo os desenvolvidos por você
mesmo”, disse o CISO durante painel de debates promovi-
do pela TVD em parceria com a Tanium.
E X E C U T I V E R E P O R T 6
7. 7 E X E C U T I V E R E P O R T
“Nos últimos tempos, foi a coisa mais impactante que
encontramos no meio de Segurança da Informação. Por-
que ele foi lançado em 2001, então imagine 21 anos com
todo mundo usando isso. A que nível de exposição, che-
gamos com o espalhamento dessa vulnerabilidade pelo
mundo todo”, acrescenta Ianno Santos, CISO da AeC. Para
ele, o segredo de manter um ambiente de dados seguros
após a descoberta de uma falha como o Log4J é a cons-
tância no monitoramento de dados.
Clayton Soares, DPO e Gerente Executivo de Governan-
ça em TI e SI da Pague Menos, reflete também sobre o
impacto da vulnerabilidade quando as empresas lidam
também com terceiros. “Existem vários assessments que
precisam ser feitos entre lugares diferentes do meu am-
biente, não é só a falha da aplicação em si e igualmente
não é só ela dentro do apache, ainda mais hoje que te-
mos o costume de reusar códigos para aumentar a veloci-
dade do desenvolvimento”, diz.
Métodos de defesa
Da mesma forma em que o Log4J causa extrema pre-
ocupação nas empresas e nos times de Segurança, as
demais vulnerabilidades carregam consigo a mesma per-
gunta sobre o que fazer para enfrentar diretamente esse
tipo de mal, especialmente quando muitas delas investem
valores altos em esquemas avançados de proteção.
Apesar dessa necessidade, os debatedores do painel
demonstraram não existir exatamente uma “receita de
bolo” para responder à essas crises. O tamanho do ine-
ditismo causado pelo fenômeno do Log4J evidenciou isso,
com todos os usuários correndo em direções diversas: al-
guns tentando unificar o máximo que podiam de suas pla-
taformas, e outras setorizando ainda mais suas barreiras
defensivas.
7 E X E C U T I V E R E P O R T
8. E X E C U T I V E R E P O R T 8
LOG4 J >> TA N I U M
“As organizações se acostumaram a comprar um monte
de soluções de empresas menores, colocando tudo num
mesmo guarda-chuva para dizer que é uma plataforma.
Vira uma colcha de retalhos que é chamada de platafor-
ma até acabar como a metáfora do pato: não consegue
voar bem, andar bem nem nadar bem. Isso cria uma base
lotada de silos, trazendo mais complexidade para a Segu-
rança”, salientou Felipe Nascimento, Diretor de Engenha-
ria de Soluções para LATAM da Tanium.
Em contrapartida, Ianno Santos comentou que o proble-
ma gerado pelas vulnerabilidades de códigos vai ainda
mais além do formato de plataforma. Na realidade, sem
iniciativas de desenvolvimento seguro, permitindo uma
germinação sustentável do meio digital da empresa, o
mercado de Tecnologia da Informação estará sempre na
mesma situação de detectar falhas que existiam desde os
primórdios, mas que no momento estão tão entranhadas
nos sistemas que exigirão longos anos de contenção de
danos até que o problema seja enfrentado.
“Mas acho que o maior desafio nisso é a recorrência: é
fazer com que a gestão de vulnerabilidades entre na roti-
na da companhia, pois sabemos que há GAPs para serem
corrigidas e não é possível fazer isso do dia para a noite”,
completa o CISO da AeC.
Expectativas futuras
Ainda à esteira das discussões sobre a reação às vul-
nerabilidades desconhecidas nos códigos de dados, tanto
os profissionais de Segurança da Informação quanto as
corporações de todos os segmentos, compreendem que é
necessário extrair lições e descobertas com o caso Log4J.
É preciso evitar que o mundo em rede seja pego de forma
tão indefesa por um flanco de exposição de dados tão
profundo quanto esse.
E X E C U T I V E R E P O R T 8
9. 9 E X E C U T I V E R E P O R T
Felipe Nascimento salienta que o domínio
das empresas sobre os seus pontos de aces-
so à rede interna também será algo essen-
cial para o bem-estar futuro de uma rede de
dados. E para isso, será necessário que os
profissionais de Segurança da Informação
mantenham-se atentos mesmo em relação
a setores fora da sua alçada, como os de
desenvolvimento e empresas terceirizadas.
Já Rogério Iwashita complementa que é
preciso olhar para cada uma das ferramen-
tas de defesa implantadas nos ambientes
digitais das companhias, em especial aque-
las ligadas ao core business e aos dados
cruciais das organizações. Isso será impor-
tante uma vez que, segundo ele, as aplica-
ções mais avulsas continuam sendo neces-
sárias para a defesa geral desses recursos
informacionais.
“O Log4J trouxe essa visão de que co-
nhecer a fundo todas as suas bibliotecas e
destrinchá-las é essencial. Ele foi um boom,
pelo que significou de exposição e facilida-
de de exploração, mas a decorrência dele
para o futuro vai ser essa necessidade de
aprofundar seu controle de inventário para
entender mais do próprio ambiente, trans-
formando isso num nível básico de controle.
Vai ser uma mudança grande e boa para os
controles de segurança nos próximos anos”,
conclui Iwashita.
Log4j
Log4j