Cómo cambió todo una vulnerabilidad Log4j

A fines de 2021, cambió el mundo para los programadores de software cuando se descubrió que una herramienta de registro popular, Log4j, tenía una vulnerabilidad. Hace 21 años, Log4j v1 surgió como una biblioteca de registro estándar para aplicaciones Java™ y su uso generalizado en todo, desde en juegos hasta en aplicaciones bancarias, se traduce en que son muchos los que ahora están afectados.

En este episodio de Cloud Talk, el gurú de tecnología de Rackspace Technology®, Jeff DeVerter, el gerente sénior de Análisis de Amenazas y Vulnerabilidades, Brandon Jaster, y el arquitecto de Soluciones de Seguridad, Johan Moran, analizan cómo se puede explotar la vulnerabilidad Log4j y qué puede hacer usted para mitigarla.

Conéctese para escuchar sobre los siguientes temas:

• Qué repercusión puede tener Log4j en su organización
• Por qué Log4j se considera la falla de seguridad más grave que se ha visto en décadas
• Cómo las organizaciones pueden proteger las redes con segmentación, aplicación de parches y pruebas
• La importancia de auditar las herramientas, los activos y los procesos de TI existentes
• Por qué es fundamental aumentar servicios en las aplicaciones

“La parte más alarmante es que no solo debe preocuparse por lo que está expuesto en Internet”, dijo Jaster. "Sino que todo lo que esté en sus redes internas también es vulnerable. Por lo tanto, es muy importante contar con capas de defensa para asegurarse de que nada quede expuesto y de que todo esté protegido”.

Moran explica los elementos de una estrategia de ciberseguridad sólida: “Ahora debemos detectar si existen vulnerabilidades, si se ha usado el sistema y si recibe ataques en tiempo real".

Existen muchas herramientas de seguridad diferentes disponibles para las organizaciones. "Un firewall de aplicaciones web tiene firmas integradas que pueden ver si alguien está intentando usar la aplicación desde afuera", dijo Moran. "Asimismo, puede bloquear un ataque cibernético".

Además de las herramientas, también se enfatiza la importancia de las pruebas. "El valor de una prueba con la táctica del equipo rojo o de una prueba de penetración queda demostrado para una organización, ya que estas ayudan con las acciones defensivas", dijo Jaster. “Al pensar como un actor malicioso que está tratando de atacar una red, puede decirles a los buenos lo que deben hacer para solucionar las cosas”.

El análisis continúa para incluir las cadenas de ataque. Estas son una lista de acciones que se deben tomar para que un ataque cibernético tenga éxito. “Si puede limitar la cantidad de información disponible, hará que los próximos pasos en la cadena de ataque sean mucho más difíciles de completar”, explicó Jaster. "Y si se puede garantizar que se le han aplicado parches a sus sistemas y hay segmentación entre estos, será mucho más difícil para los actores maliciosos".

Las organizaciones pueden verse disuadidas por el costo que representa aumentar servicios en las aplicaciones, pero como compartió Jaster: “Es aún más costoso seguir los pasos de recuperación y tener que enviar correos electrónicos a los clientes después de un ataque cibernético. Y si la seguridad se ve en peligro, la pérdida de confianza puede ser realmente perjudicial para una organización”.

La seguridad es un ejercicio continuo. "No se trata de una tarea que implica un solo procedimiento", concluyó Moran. “No hace solamente una auditoría de seguridad una vez por mes, una vez por trimestre o una vez por año. Como hemos demostrado, hubo cuatro vulnerabilidades que se lanzaron en un mes para Log4j. Los controles de seguridad deben ser procesos iterativos y continuos, y debe haber un equipo que siempre esté atento a los resultados, para, luego, poder idear un plan de acción que responda”.

Cloud Talk abarca temas tales como la nube múltiple, la transformación digital, los contenedores y Kubernetes, la IoT, la informática de punta, los datos y mucho más. Los episodios son breves, de menos de media hora, y estarán disponibles en Apple Podcasts, Spotify, Stitcher y en cualquier aplicación de podcasts.