E se fosse possibile simulare un vero cyber-attacco e come si svolgerebbe nella propria rete? Quanti insight si potrebbero trarre sulla propria strategia di sicurezza, osservando il comportamento degli attori malevoli prima che colpiscano realmente le nostre difese? Questo è esattamente ciò che consente di fare Infection Monkey, una piattaforma gratuita e open source per la simulazione di violazioni e attacchi (BAS) per mettere alla prova e valutare continuamente la propria strategia di sicurezza.
Consentendo di simulare rapidamente e in modo sicuro la presenza di un finto malware nel proprio ambiente, Infection Monkey permette alle aziende di testare ciò che accadrebbe in caso di attacco vero e proprio e utilizzare dati reali per valutare come il proprio ambiente resisterebbe, anziché basarsi su scenari ipotetici e suggerimenti da manuale. Questo aiuta le aziende a convalidare i controlli esistenti e a identificare come i criminali potrebbero sfruttare le attuali lacune nella sicurezza della rete.
Da dicembre 2021, i criminali informatici hanno sfruttato una vulnerabilità software in Apache Log4j 2, una popolare libreria Java per la registrazione dei messaggi di errore nelle applicazioni. Questa vulnerabilità Log4Shell permette a un attaccante remoto di eseguire un codice arbitrario sui dispositivi che eseguono alcune versioni di Apache Log4j 2.
Oggi le aziende dovrebbero aver adottato tutte le misure consigliate per proteggere le proprie reti dagli exploit Log4Shell: è il momento, quindi, di mettere tali difese alla prova. Akamai ha aggiunto un exploiter Log4Shell a Infection Monkey perché i clienti possano essere sicuri di essere protetti, ma anche di trovare le aree di vulnerabilità ancora presenti.
Per esempio, dagli ultimi sforzi di remediation, qualcuno potrebbe aver accidentalmente implementato una versione obsoleta del software che è ancora vulnerabile. O forse l’IDS funzionava ieri ma oggi, per qualche motivo, presenta dei malfunzionamenti. Inoltre, si potrebbe non avere completa visibilità sulla propria rete per identificare i tentativi di exploit delle vulnerabilità per propagare codice malevolo al suo interno.
Nuove capacità di test per le vulnerabilità Log4Shell
Per supportare le aziende nell’affrontare questa vulnerabilità critica, Guardicore (che ora fa parte di Akamai) ha aggiunto una nuova capacità di simulazione di attacco Log4Shell a Infection Monkey.
Alcune versioni di Apache Log4j, framework di registrazione Java, includono una funzione di registrazione chiamata “Message Lookup Substitution” abilitata per default. Gli attori malevoli possono sfruttare questa caratteristica sostituendo alcune stringhe speciali con stringhe generate dinamicamente al momento della registrazione. Se un attaccante può controllare i messaggi di log o i parametri dei messaggi di log, il codice arbitrario può essere eseguito. L’exploiter Log4Shell di Infection Monkey simula un attacco in cui un hacker sfrutta questa vulnerabilità per propagarsi all’interno di una macchina target.
Infection Monkey tenterà di sfruttare la vulnerabilità Log4Shell nei seguenti servizi:
- Apache Solr
- Apache Tomcat
- Logstash
Anche se nessuno di questi è in uso nel proprio ambiente, l’esecuzione dell’exploiter Log4Shell offre un buon modo per testare le soluzioni IDS/IPS o EDR. Queste soluzioni dovrebbero rilevare che Infection Monkey sta tentando di sfruttare la vulnerabilità di Log4Shell e lanciare un alert appropriato.
È possibile scaricare l’ultima versione di Infection Monkey a questo link.
Il webinar di Akamai e Guardicore: le lezioni apprese da Log4j
La vulnerabilità Log4j ha causato problemi diffusi alle organizzazioni, che si sono affrettate a valutare l’impatto causato e implementare strategie di mitigation, ma questo tipo di vulnerabilità è destinato a persistere e a crescere per frequenza e impatto.
Il 23 febbraio alle 15.00 è in programma il webinar di Akamai e Guardicore dal titolo “Lezioni apprese da Log4j: mitigare gli attacchi Zero-Day”, incentrato su come scoprire e proteggersi dalle nuove vulnerabilità, identificando in anticipo i processi potenzialmente sfruttabili.
Il webinar approfondirà l’evoluzione della minaccia Log4j, come ridurre i rischi per i sistemi vulnerabili, le metodologie di difesa dagli attacchi zero-day e, in particolare, i vantaggi dell’adozione della micro-segmentazione. La micro-segmentazione, infatti, rappresenta una soluzione per ridurre drasticamente la superficie di attacco isolando i sistemi che presentano la vulnerabilità Log4j, proteggendoli dai tentativi di exploit e impedendo alle macchine infettate con successo di attaccarne altre.
