Las amenazas de seguridad de Log4j podrían existir durante mucho tiempo

Las amenazas de seguridad de Log4j podrían existir durante mucho tiempo

Tomará años, si no una década, erradicar por completo la amenaza que representa la vulnerabilidad Log4j (se abre en una nueva pestaña), advirtieron los expertos en seguridad.

La Junta de Revisión de Ciberseguridad del Gobierno de EE. UU. analizó la causa de la falla de Log4j e intentó ofrecer soluciones, lecciones y otros puntos clave para las empresas afectadas.

Parte de Seguridad Nacional, el organismo independiente de 15 personas fue establecido por el presidente de EE. UU. Joe Biden en 2021 para tratar de mejorar los estándares de seguridad cibernética del país, y ha investigado a Log4j durante los últimos cinco meses.

Riesgo persistente

Entre los hallazgos de su investigación se encuentra una advertencia de que los endpoints sin parches (opens in a new tab) persistirán durante años o incluso una década, y con ellos la amenaza de exploits.

“Este evento no ha terminado. El riesgo permanece. Los defensores de la red deben permanecer atentos”, dijo Rob Silvers, subsecretario de políticas y presidente del panel del DHS, a los periodistas en una conferencia telefónica el miércoles, informó The Record.

Según Silvers, se entrevistó a unas 80 empresas para el informe, junto con expertos de la industria, gobiernos extranjeros y seguridad. El gobierno chino también estuvo involucrado, ya que fueron los ingenieros de Alibaba quienes lo descubrieron primero.

Como de costumbre, los chinos fueron inmediatamente acusados ​​de tratar de sacar provecho de sus hallazgos, pero el informe dijo que no había pruebas para respaldar tales afirmaciones.

En conclusión, el informe hizo casi dos docenas de recomendaciones, que deberían ayudar a las organizaciones a protegerse del riesgo que representa la vulnerabilidad Log4j. El consejo también argumenta que las empresas deberían subir la apuesta en términos de soluciones y defensas de ciberseguridad, como firewalls (se abre en una nueva pestaña) y confianza cero.

La utilidad Log4j estuvo en el centro de una tormenta mediática a fines del año pasado luego de que se descubriera una falla importante que puso a millones de terminales en riesgo de robo de datos.

En el momento de su descubrimiento, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) lo describió como "uno de los defectos más graves" que había visto en toda su carrera, "si no el más grave". .

Через: The Record (откроется в новой вкладке)