״מרבית החברות לא יודעות איפה מותקנת ספריית Log4j ברשת הארגון״
שיחה עם עמית קורן, מומחה לניהול סיכונים בסייבר, מדגישה את האתגרים שמציבה החולשה בספריית Log4j. ״תיעוד הקוד בארגון אינו נפוץ. בלי זה, אי אפשר לחפש בקלות איפה מותקן מודול או ספרייה מסוימת לצורך עדכון״
עמי רוחקס דומבה
| 14/12/2021
bigstock
בעקבות החולשה בספריית Log4j, חברות וארגונים החלו בימים האחרונים, מאז ה-9 לחודש, לחפש איפה מותקנת הספרייה ברשת שלהם. ״צריך להבין שלמרבית החברות במשק אין אפשרות לרשום שאילתא פשוטה ׳איפה התיקייה מותקנת׳ ולקבל רשימת מערכות״, מסביר עמית קורן, מייסד ומנכ״ל חברת InnoSec בראיון לישראל דיפנס.
״הספרייה היא מוצר צד ג׳ תומך. זה סיפור להבין איפה היא מותקנת. ארגון מסחרי שקנה מערכת מחשוב לרוב לא מכיר את כל המודולים והספריות המרכיבים אותה. יש ארגונים שיש להם שאלון מערכת חדשה.
״בשאלון כזה שואלים את ספק המערכת באילו ספריות צד שלישי הוא עושה שימוש. גם אם עושים תיעוד כזה, ולא מדובר בכל ארגון, עולה השאלה האם יש שימור ידע? האם מישהו מקפיד לתעד את השינויים בגרסאות המודולים וכו׳. אם לא עושים תיעוד כזה, הארגון לא יודע מה מותקן אצלו.״
קורן מוסיף שמאז שהתגלתה החולשה, ארגונים בישראל ובעולם עושים טלפונים לספקי התוכנות שלהם לשאול האם המערכת עושה שימוש בספריית Log4j. האם הספקים בעצמם יודעים? ״ההנחה היא שהם יודעים או שיש להם את מי לשאול״, אומר קורן.
כיצד ניתן להמנע מכאלו מקרים בעתיד?
בבסיס הדיון עם קורן מתקיימת ההנחה הרציונלית שבכל מרכיב קוד ניתן לגלות חולשה על ציר הזמן. ״מי שמכיר את עולם התוכנה יודע שאי אפשר להמנע מזה. כן אפשר לשפר את התגובה של הארגון. תיעוד של הקוד מצד היצרנים וגם מצד מי שקנה את המוצר הוא אחד הכלים להתאוששות מהירה ממשבר כמו זה סביב Log4j. בצורה כזו, ניתן בשאילתא פשוטה להבין באילו תוכנות בארגון יש את הספרייה שצריך לעדכן״, אומר קורן.
איך ניתן לבצע את התיעוד? ובכן, אפשר לתעד את התוכנות בארגון במסמך אקסל. יש גם מערכות ייעודיות לתיעוד ממשפחת Configuration management database או CMDB בקצרה. אלו מערכות שנועדו לתעד את כל נכסי הארגון במרחב הוירטואלי. השרתים, כתובות ה-IP, ועוד, כולל תוכנות עד רזולוציה של מודול או ספרייה. תלוי ברזולוציה שהארגון רוצה.
״ברוב הארגונים לא יורדים לרזולוציה הזו״, מסביר קורן. ״יש רציונל לתיעוד ומיפוי נכסים בארגון, גם ללא החולשה החדשה. הוא נדרש גם בתקני ISO. הבעיה בדרישות האלו שהן אינן מגדירות את עומק הרזולוציה. אם אתה רוצה תקן PCI, אתה מחליט בתור ארגון באיזו רזולוציה תתעד.
״כמו כל מערכת לניהול מידע, מי שצריך לתחזק את המערכת, צריך לעשות זאת בעקביות. אם לא תעדת בצורה מלאה, לא יהיה מידע. יש גם נושא של נהלים פנימיים. האם הם דורשים תיעוד ספריות צד שלישי? נדרשת גם בקרה תקופתית לראות שהנוהל מתקיים במציאות. ארגון יכול ליישם בקרה פנימית וחיצונית. זו השקעה כספית שלא מתאימה לכל ארגון.״
מה ישתנה בעקבות חולשת Log4j?
״אני מצפה שיהיה יותר תיעוד של נכסים בארגון״, מסביר קורן. ״מארגונים שאנחנו רואים במסגרת פרויקטים של עמידה בתקנים, ניהול נכסים מתקיים חלקית או לא קיים בכלל. לפעמים קיים ולא מתוחזק. זה הליך שדורש משאבים.
״ניהול נכסים דרוש גם לטובת התאוששות ממתקפת סייבר כדוגמאת כופרה. גם לטובת התמודדות עם Shadow IT. אם לא תדע מה הנכסים שהצפינו לך, הליך קבלת ההחלטות יתנהל באי וודאות. ניהול הסיכונים בעולם הסייבר נשען על שלושה מרכיבים - תהליכים עסקיים, טכנולוגיה ובקרות. אם אין לך ניהול נכסים, יש לך פער ידע - אתה לא מודע לטכנולוגיות שאתה עושה בהן שימוש.״
עוד נקודה באותו הקשר היא שכלל שהארגון גדול יותר, כך האתגר למפות את הנכסים מורכב יותר. בארגונים כמו בנקים, חברות קמעונאיות, חברות תעשיה מבוזרות, כמות הפיתוח ׳בתוך הבית׳ גדולה יותר מאשר חברות קטנות שלא מחזיקות צוות פיתוח.
״המשמעות היא שלא רק שאתה קונה מוצר ושואל את הספק, אתה צריך שגם בתוך הבית יהיה סדר. זה אתגר״, מסכם קורן. ״הפוקוס של ארגון כמו בנק אינו פיתוח תוכנה. בבית תוכנה מתעדים את הקוד כברירת מחדל. אלו הציפיות ממנו. מבנק לא. האם בתוך הבית אתה עומד בסטנדרטים שאתה משית על הספקים שלך?״
אין ספק כי התמודדות הארגונים סביב החולשה ב-Log4j מדגישה את הבעיה הטמונה בשימוש חוזר בקוד. מחד, מגמה זו נועדה להקל על פיתוח תוכנה במהירות. פיתוח מהיר מאפשר יציאה מהירה לשוק עם מוצרים חדשים וכן מחזורי עדכון מהירים למוצרים קיימים. מאידך, מגמה זו דורשת מיפוי מדויק של הנכסים בארגון לצד יכולת עדכון מהירה של ספריות ומודולים - שתי יכולות שנמצאות בחסר בארגונים וחברות בגודל בינוני ומעלה.
שיחה עם עמית קורן, מומחה לניהול סיכונים בסייבר, מדגישה את האתגרים שמציבה החולשה בספריית Log4j. ״תיעוד הקוד בארגון אינו נפוץ. בלי זה, אי אפשר לחפש בקלות איפה מותקן מודול או ספרייה מסוימת לצורך עדכון״
bigstock
בעקבות החולשה בספריית Log4j, חברות וארגונים החלו בימים האחרונים, מאז ה-9 לחודש, לחפש איפה מותקנת הספרייה ברשת שלהם. ״צריך להבין שלמרבית החברות במשק אין אפשרות לרשום שאילתא פשוטה ׳איפה התיקייה מותקנת׳ ולקבל רשימת מערכות״, מסביר עמית קורן, מייסד ומנכ״ל חברת InnoSec בראיון לישראל דיפנס.
״הספרייה היא מוצר צד ג׳ תומך. זה סיפור להבין איפה היא מותקנת. ארגון מסחרי שקנה מערכת מחשוב לרוב לא מכיר את כל המודולים והספריות המרכיבים אותה. יש ארגונים שיש להם שאלון מערכת חדשה.
״בשאלון כזה שואלים את ספק המערכת באילו ספריות צד שלישי הוא עושה שימוש. גם אם עושים תיעוד כזה, ולא מדובר בכל ארגון, עולה השאלה האם יש שימור ידע? האם מישהו מקפיד לתעד את השינויים בגרסאות המודולים וכו׳. אם לא עושים תיעוד כזה, הארגון לא יודע מה מותקן אצלו.״
קורן מוסיף שמאז שהתגלתה החולשה, ארגונים בישראל ובעולם עושים טלפונים לספקי התוכנות שלהם לשאול האם המערכת עושה שימוש בספריית Log4j. האם הספקים בעצמם יודעים? ״ההנחה היא שהם יודעים או שיש להם את מי לשאול״, אומר קורן.
כיצד ניתן להמנע מכאלו מקרים בעתיד?
בבסיס הדיון עם קורן מתקיימת ההנחה הרציונלית שבכל מרכיב קוד ניתן לגלות חולשה על ציר הזמן. ״מי שמכיר את עולם התוכנה יודע שאי אפשר להמנע מזה. כן אפשר לשפר את התגובה של הארגון. תיעוד של הקוד מצד היצרנים וגם מצד מי שקנה את המוצר הוא אחד הכלים להתאוששות מהירה ממשבר כמו זה סביב Log4j. בצורה כזו, ניתן בשאילתא פשוטה להבין באילו תוכנות בארגון יש את הספרייה שצריך לעדכן״, אומר קורן.
איך ניתן לבצע את התיעוד? ובכן, אפשר לתעד את התוכנות בארגון במסמך אקסל. יש גם מערכות ייעודיות לתיעוד ממשפחת Configuration management database או CMDB בקצרה. אלו מערכות שנועדו לתעד את כל נכסי הארגון במרחב הוירטואלי. השרתים, כתובות ה-IP, ועוד, כולל תוכנות עד רזולוציה של מודול או ספרייה. תלוי ברזולוציה שהארגון רוצה.
״ברוב הארגונים לא יורדים לרזולוציה הזו״, מסביר קורן. ״יש רציונל לתיעוד ומיפוי נכסים בארגון, גם ללא החולשה החדשה. הוא נדרש גם בתקני ISO. הבעיה בדרישות האלו שהן אינן מגדירות את עומק הרזולוציה. אם אתה רוצה תקן PCI, אתה מחליט בתור ארגון באיזו רזולוציה תתעד.
״כמו כל מערכת לניהול מידע, מי שצריך לתחזק את המערכת, צריך לעשות זאת בעקביות. אם לא תעדת בצורה מלאה, לא יהיה מידע. יש גם נושא של נהלים פנימיים. האם הם דורשים תיעוד ספריות צד שלישי? נדרשת גם בקרה תקופתית לראות שהנוהל מתקיים במציאות. ארגון יכול ליישם בקרה פנימית וחיצונית. זו השקעה כספית שלא מתאימה לכל ארגון.״
מה ישתנה בעקבות חולשת Log4j?
״אני מצפה שיהיה יותר תיעוד של נכסים בארגון״, מסביר קורן. ״מארגונים שאנחנו רואים במסגרת פרויקטים של עמידה בתקנים, ניהול נכסים מתקיים חלקית או לא קיים בכלל. לפעמים קיים ולא מתוחזק. זה הליך שדורש משאבים.
״ניהול נכסים דרוש גם לטובת התאוששות ממתקפת סייבר כדוגמאת כופרה. גם לטובת התמודדות עם Shadow IT. אם לא תדע מה הנכסים שהצפינו לך, הליך קבלת ההחלטות יתנהל באי וודאות. ניהול הסיכונים בעולם הסייבר נשען על שלושה מרכיבים - תהליכים עסקיים, טכנולוגיה ובקרות. אם אין לך ניהול נכסים, יש לך פער ידע - אתה לא מודע לטכנולוגיות שאתה עושה בהן שימוש.״
עוד נקודה באותו הקשר היא שכלל שהארגון גדול יותר, כך האתגר למפות את הנכסים מורכב יותר. בארגונים כמו בנקים, חברות קמעונאיות, חברות תעשיה מבוזרות, כמות הפיתוח ׳בתוך הבית׳ גדולה יותר מאשר חברות קטנות שלא מחזיקות צוות פיתוח.
״המשמעות היא שלא רק שאתה קונה מוצר ושואל את הספק, אתה צריך שגם בתוך הבית יהיה סדר. זה אתגר״, מסכם קורן. ״הפוקוס של ארגון כמו בנק אינו פיתוח תוכנה. בבית תוכנה מתעדים את הקוד כברירת מחדל. אלו הציפיות ממנו. מבנק לא. האם בתוך הבית אתה עומד בסטנדרטים שאתה משית על הספקים שלך?״
אין ספק כי התמודדות הארגונים סביב החולשה ב-Log4j מדגישה את הבעיה הטמונה בשימוש חוזר בקוד. מחד, מגמה זו נועדה להקל על פיתוח תוכנה במהירות. פיתוח מהיר מאפשר יציאה מהירה לשוק עם מוצרים חדשים וכן מחזורי עדכון מהירים למוצרים קיימים. מאידך, מגמה זו דורשת מיפוי מדויק של הנכסים בארגון לצד יכולת עדכון מהירה של ספריות ומודולים - שתי יכולות שנמצאות בחסר בארגונים וחברות בגודל בינוני ומעלה.
