Por que devemos nos preocupar com a vulnerabilidade digital Log4j em nível corporativo?

Se você é um líder empresarial com pouco conhecimento das complexidades técnicas da segurança cibernética pode estar se perguntando por que o termo “Log4j” está repentinamente em todo lugar.

Transformação digital (DX) significa que praticamente todos os negócios são suportados por tecnologia em diversas áreas da organização: recursos humanos, marketing, produção, operações, finanças, atendimento ao cliente etc. Há pouco espaço para não ser digital e não estar on-line em um mundo hiperconectado. As organizações gastam uma grande quantidade de orçamento em esforços relacionados à DX porque isso significa transformação e evolução dos negócios.

Parte dos objetivos da segurança cibernética é mitigar riscos e garantir a continuidade dos negócios em um ambiente digital. “The show must go on”, sempre, para que as mercadorias continuem sendo produzidas e despachadas, os clientes sejam atendidos e cobrados e os funcionários continuem produtivos e felizes. Outro objetivo é a resiliência: se por acaso o negócio for interrompido, deve ser rapidamente restaurado com o menor esforço, impacto e custo.

Para conseguir isso, a segurança cibernética deve ser ampla (implantada em todos os lugares, protegendo todos os ativos digitais), integrada (os componentes devem se comunicar entre si e aumentar a eficiência fazendo isso) e automatizada (para que as respostas exijam uma interação humana muito baixa). Tudo isso em nome da visibilidade e para garantir que a infraestrutura de tecnologia que sustenta o negócio esteja funcionando bem, além de evitar interrupções por vulnerabilidades (falhas na tecnologia que podem ser usadas por invasores para fazer os computadores fazerem coisas que não deveriam fazer).

Por que o Log4j é relevante para o negócio?

Existem muito poucos casos em que uma vulnerabilidade tem um impacto tão grave que pode potencialmente derrubar serviços de qualquer tipo e em qualquer lugar. A vulnerabilidade rotulada CVE-2021-44228, descoberta em uma biblioteca Java (um conjunto de códigos prontos para serem usados, que economiza tempo de desenvolvimento), chamada Log4j tem esse potencial.

Como se sabe, Java é uma linguagem de programação e uma plataforma que foi criada com o objetivo de criar código (instruções para um computador) uma vez e depois executar esse código em todos os lugares. O conceito deu certo e hoje estima-se que mais de 15 bilhões de dispositivos rodem Java: laptops, tablets, celulares a robôs e eletrodomésticos. Isso significa que a página da empresa na web, o sistema de faturamento, a folha de pagamento, os robôs da linha de produção, entre outros, podem ser potencialmente impactados se utilizarem o Java.

A vulnerabilidade (a falha) descoberta é relevante porque pode impactar muitos dispositivos no mundo, permite executar códigos (instruções), não é necessário muito conhecimento técnico para aproveitá-la e pode ser usada remotamente. Adversários mais habilidosos podem automatizar ataques com relativa facilidade. E como no momento era uma vulnerabilidade amplamente conhecida, sem correção disponível, foi considerada um zero-day.

Em outras palavras, um técnico regular pode fazer o que quiser com qualquer dispositivo de um local remoto. Alterar instruções, executar programas indesejados, alterar registros eletrônicos, lançar ataques adicionais ou encerrar serviços. Um adversário com mais conhecimento poderia automatizar as etapas e causar mais danos. Um adversário habilidoso, com mais recursos (pense no crime cibernético organizado), pode fazer coisas realmente ruins em busca de lucro, como coletar dados confidenciais de sua organização e te extorquir (ciberextorção) ou manter seus dados como reféns e depois pedir um resgate (ransomware).

Apavorante. Pelo menos inicialmente.

O que pode ser feito?

Se uma vulnerabilidade semelhante tivesse sido descoberta há alguns anos, poderia ter sido catastrófica. Com as tecnologias, o conhecimento e os processos que temos hoje, não há motive para preocupações. É preciso agir.

A vulnerabilidade já foi corrigida e há uma atualização de software para resolvê-la. Mas a realização de atualizações em todos os dispositivos afetados levará algum tempo. Às vezes, isso exigirá o planejamento de janelas de manutenção para reduzir o impacto nos negócios. E o negócio não pode parar.

Os profissionais de segurança cibernética têm hoje à sua disposição os recursos de tecnologia para evitar que um usuário mal-intencionado remoto acione a vulnerabilidade. Isso é o que tecnologias como firewalls de próxima geração e firewalls de aplicações da web fazem. Se por acaso a tentativa de exploração for mais sofisticada, tecnologias como detecção e resposta de endpoint podem interromper o código malicioso enquanto o invasor o executa. E a partir dos registros gerados pelos controles de proteção, o pessoal de cibersegurança pode utilizar ferramentas de análise e relatório de logs ou plataformas de gerenciamento de eventos de segurança para detectar se há atividade relacionada a esta vulnerabilidade em suas redes e agir de forma automatizada. Eventualmente, planos de ação, detalhados passo a passo, podem ser desenvolvidos para resposta automatizada com orquestração de segurança, automação e plataformas de resposta. Novamente: amplo, integrado e automatizado. Resumindo: existe tecnologia disponível para ajudar.

Existem também processos e estruturas que ajudam os profissionais de segurança cibernética a lidar com situações como esta, serviços que podem ser obtidos de empresas com experiência em lidar com incidentes e tecnologias que podem proteger em cada etapa. Assim, evita-se trabalhar em um sistema de tentativa e erro, que pode custar caro para o negócio devido ao manuseio inadequado. Novamente, o que é relevante é que você aja e proteja o negócio.

Como apoiar os esforços do ponto de vista da gestão empresarial? Incentive sua equipe de TI e segurança cibernética a criar um inventário de sua infraestrutura, para que eles possam atualizar qualquer sistema potencialmente vulnerável o mais rápido possível. Mas também incentive-os a adaptar o sistema de defesa digital de forma que evite, contenha e monitore continuamente a atividade em torno dessa vulnerabilidade. O custo e o esforço para responder, bem como o impacto para os negócios como um todo, serão menores se as ações forem executadas mais cedo do que mais tarde.

Ficaremos bem. Mas precisamos reagir rapidamente e se adaptar porque, eventualmente, haverá outro evento semelhante no futuro. E precisamos estar mais bem preparados, afinal “the show must go on”.

* Martin Hoz, vice-presidente de Engenharia da Fortinet para América Latina e Caribe