• SingleCase

Je cloud prokletí nebo spása aneb Log4J a další zranitelnosti

Na konci roku 2021 otřásla Internetem kauza zranitelnosti v log4j. Zranitelnosti jsou jak v open-source, tak i v komerčních řešeních poměrně běžnou záležitostí, a dokonce i ty nejrizikovější, které doslova „otevírají brány systému útočníkům“, se čas od času vyskytnou. V tomto případě však byla panika více než oprávněná – populární knihovnu na jednoduché zapisování systémových událostí do logů totiž využívá obrovské množství software i hardware celosvětově, což v kombinaci s velmi jednoduchým způsobem zneužití a tím, že úspěšné napadení umožní útočníkovi systém plně ovládnout, znamenalo skutečně velký problém. Závod firem s útočníky mohl začít – zvládnou administrátoři nainstalovat aktualizace či změnit konfiguraci dříve, než útočníci zranitelný systém objeví?


Mnozí naši klienti měli o bezpečnost svých dat oprávněnou obavu, a ocenili naše ujištění, že systémy SingleCase nejsou v ohrožení. Zcela upřímně a otevřeně ale konstatujeme, že to bylo shodou okolností – tím, jaké technologie používáme či nepoužíváme. Takzvaná 0-day zranitelnost v software třetí strany není nic, za co by se společnost měla stydět – pokud ji ovšem zvládne včas identifikovat a odstranit. Mohlo by se zdát, že cloudová řešení jsou z podstaty věci rizikovější než software ve vlastním datacentru za firewallem, a že je jen otázkou času, než váš cloud někdo napadne… Ale je to skutečně tak jednoduché?


Připomeňme si událost z roku 2017, kdy americká společnost Equifax, jedna ze tří velkých firem, které dohlížejí na finanční zdraví a kreditní riziko Američanů, utrpěla ohromné škody vinou podobného útoku. Firma o zranitelnosti ve svých systémech věděla, a dokonce i vydala interní pokyn k instalaci aktualizací, nicméně došlo k sérii pochybení, takže bezpečnostní oddělení žilo v domění, že záplaty byly instalovány, a útočníci o dva měsíce později firemní databáze doslova a do písmene vybílili. Výsledkem byl únik osobních údajů více než 140 milionů obyvatel Spojených Států, včetně údajů, které přímo umožňují zneužití, a celková škoda pro Equifax dosáhla astronomických 1.5 miliardy amerických dolarů.


Jak je možné, že společnost, která má 11 tisíc zaměstnanců, obrat přes čtyři miliardy dolarů, a spravuje osobní údaje třetiny americké populace, není schopna pohlídat si instalaci kritické záplaty na své vnitřní systémy? A pokud to nezvládne takováto korporace, jak se můžeme spolehnout na podstatně menší poskytovatele cloudových řešení?


Ve skutečnosti mají tyto „malé cloudové firmy“ nebo chcete-li startupy, často nemálo výhod. Především, jsou to technologické firmy. Pro velké instituce, včetně těch finančních, je IT prostředek, který podporuje jejich business. Nic míň, ale ani nic víc. Naproti tomu, startupy jsou technologické firmy, „IT first“. Zdánlivá drobnost, ale ve skutečnosti velice důležité kritérium úspěchu. Startupy mají silnou motivaci udržovat svůj software bezpečný – nemají žádný „plán B“, a případná ztráta reputace bude mít podstatně horší následky než škoda, kterou bezpečnostní incident způsobí přímo. Dále, startupy mají jednu technologickou platformu či řešení, které svým klientům nabízejí a spravují, a nemusejí se soustředit na nic jiného – žádné „legacy“ aplikace, které výrobce dávno nepodporuje, žádná zapomenutá infrastruktura chráněna slabými hesly pokud vůbec, protože byla historicky oddělena od Internetu – a při inovaci síťových prvků, aniž by si toho byl vědom…


Startupy provozují své aplikace ze špičkově zabezpečených datových center, jejichž provozovatel splňuje nejen ty nejpřísnější standardy fyzické bezpečnosti, ale také požadavky na vysokou dostupnost a redundanci a ochranu před vlivy životního prostředí a nehodami v kvalitě která spolehlivě převyšuje interní standardy velkých společností s vlastními datacentry. Vlastní infrastruktura může dávat falešný pocit kontroly – ale to, že přesně vím, na kterém úložišti se data fyzicky nacházejí, ještě neznamená, že jsou dobře chráněna! Pandemie Covidu a přesun zaměstnanců na práci z domova jen urychlil nevyhnutelné otevírání přístupů do korporátních systémů odkudkoliv, a ani sebelepší VPN nemusí zabránit napadení ransomwarem přes nedostatečně zabezpečený laptop zaměstnance…


Velké korporace mívají k dispozici širokou škálu nástrojů a služeb na detekci zranitelností, formální procesy pro nasazování aktualizací a velké týmy bezpečnostních specialistů – ale ani to nemusí stačit, a vedení následně konstatuje, že k incidentu došlo vinou kaskádového selhání lidského faktoru, stejně jako tomu bylo u zmiňovaného Equifaxu.


Startupy mají řádově méně zaměstnanců na všechno, procesy často neformální nebo poloformální a drahé komerční řešení pro zajištění bezpečnosti využívají podstatně méně – to celé však bohatě vyvažuje vysoká odbornost a nasazení. Možnost postavit něco od začátku za využití moderních technologií v mladé IT firmě přitahuje špičkové odborníky, pro které nejsou termíny jako DevSecOps, ShiftLeft (doslova „přesun bezpečnosti doleva“) nebo infrastruktura jako kód záhadné šifry, ale základní pracovní nástroje … A v takovém prostředí je nejen detekce, ale především ošetření případné zranitelnosti často hotové dříve, než korporátní bezpečnost vyhodnotí možný dopad a zadá změnový požadavek do provozu …


Nakonec pořád platí staré dobré „důvěřuj, ale prověřuj!“ Due diligence na potenciálního dodavatele SaaSového řešení bude pochopitelně vypadat jinak, než když poptáváte software od Microsoftu nebo řešení „na klíč“ do vašeho datacentra od jejich certifikovaných partnerů, ale důležité je v obou případech stejně. A nebojte se ptát velmi konkrétně – třeba kdy a jak jak se potenciální dodavatel dozvěděl o log4j zranitelnosti, jak si ověřil, v jakém rozsahu se ho týká a jak dlouho trvalo nasazení aktualizací. Taková praktická ukázka totiž může o skutečné schopnosti firmy zabezpečit svoje řešení napovědět víc, než nablýskaný certifikát ISO 27001 nebo ubezpečení o přísných SLA pro nasazování bezpečnostních záplat…


Autorem je externí spolupracovník SingleCase Tomáš Honzák, který působí jako Chief Information Security Officer v česko-americké firmě GoodData a je viceprezidentem české pobočky mezinárodní asociace ISACA, která je zaměřená na audit, řízení, a bezpečnost informačních systémů.