NÚKIB vydal reaktivní opatření kvůli zranitelnosti Log4j

DomůKyberbezpečnost

NÚKIB vydal reaktivní opatření kvůli zranitelnosti Log4j

NÚKIB vydal reaktivní opatření kvůli zranitelnosti Log4j, která se šíří závratnou rychlostí.

Češi nakupují online: 40 % z nich v Číně, 72 % platí online kartou
David Böhm nově vede kreativní tým agentury Etnetera Motion
Alza.cz otevře první logistické centrum v Maďarsku
Hackeři v říjnu útočili na vzdělávací a výzkumné organizace

Národní úřad pro kybernetickou bezpečnost (NÚKIB) vydal reaktivní opatření k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před možným kybernetickým bezpečnostním incidentem.

Reaktivní opatření se skládá z následujících úkonů, které jsou povinné osoby podle § 3 písm. c) až f) zákona o kybernetické bezpečnosti povinny ve stanovené lhůtě provést:


  1. Vytvořit offline zálohy aktiv, která jsou kritická pro fungování organizace, a zkontrolovat jejich konzistenci. Zároveň provést kontrolu dostupnosti a konzistence posledních záloh těchto aktiv vytvořených před 1. prosincem 2021.
    Tento úkon je potřeba provést neprodleně od účinnosti tohoto reaktivního opatření a to s nejvyšší prioritou.

  2. Provést inventuru aktiv v systému a vyhledat ta aktiva, která obsahují komponenty Apache Log4j 2 ve verzích 2.02.14.1.

    2.1. U aktiv, která neumožňují provést konfigurační změny Apache Log4j 2 nebo která nejsou ve plné správě organizace, kontaktovat dodavatele nebo výrobce těchto aktiv
    nebo vyhledat vyjádření těchto dodavatelů ke zranitelnosti a provést nebo zohlednit jimi vydané instrukce.
    2.2. U aktiv, kde je možné provést konfigurační změny komponenty Apache Log4j 2 postupovat podle úkonů 3. nebo 4. tohoto reaktivního opatření.
    Tento úkon je potřeba provést neprodleně od účinnosti tohoto reaktivního opatření.

  3. S nejvyšší prioritou u aktiv dostupných ze sítě Internet provést u aktiv obsahujících komponentu Apache Log4j 2 verze 2.02.14.1 kroky směřující ke zmírnění následků zneužití (tj. mitigaci) zranitelnosti CVE202144228.

    3.1. U aktiv, v rámci kterých je možný přístup ke komponentně Apache Log4j 2, provést aktualizaci Apache Log4j 2 na verzi 2.15.0 RC2 nebo vyšší, pokud je to možné.

    3.2. V ostatních případech, zejména pokud aktualizace není možná, omezit zranitelné funkce Apache Log4j 2 a zajistit v rámci ochranných technologií aktiva (firewall, WAF, IPS a dalších) aktualizaci signatur a detekčních pravidel pro mitigaci zranitelnosti CVE202144228, pokud je výrobce dané technologie poskytuje.
    Tento úkon je potřeba provést neprodleně od identifikace aktiva obsahujícího komponentu Apache Log4j 2 ve verzích 2.02.14.1.

  4. Pokud mitigace podle úkonu 3. není možná neprodleně, provést s ohledem na kritickou závažnost zranitelnosti zhodnocení alternativních možností řešení, zejména omezení odchozí komunikace zahájené ze strany systému do Internetu nebo úplné odpojení systému od sítě, a tato řešení co nejdříve provést.
    Zhodnocení alternativních možností řešení v případě nemožnosti provést mitigaci podle úkonu 3. je potřeba provést neprodleně od identifikace aktiva obsahujícího komponentu
    Apache Log4j 2 verze 2.02.14.1.

  5. U aktiv obsahujících komponentu Apache Log4j 2 provést kontrolu, zda již nedošlo ke kompromitaci skrze zranitelnost CVE202144228. V rámci kontroly provést minimálně následující kroky:

    5.1. Kontrola logů generovaných zranitelnou knihovnou provést vyhledání řetězců obsahujících volání Java Naming and Directory Interface v lozích systému generovaných komponentou Log4j a v záznamech firewallu či WAF tohoto aktiva.

    Kontrolu logů je potřeba provést nejdříve za období od 1. prosince 2021 do data účinnosti tohoto reaktivního opatření a následně v pravidelných přiměřených intervalech do provedení úkonů podle bodů 2.1., 3. nebo 4.

    5.2. Monitorovat síťový provoz systému na anomálie, zejména odchozí komunikaci do internetu protokolem LDAP nebo RMI, a odchozí provoz zahájený ze strany serveru, pokud se jedná v kontextu účelu serveru o nestandardní chování.
    Monitoring je potřeba provádět kontinuálně do provedení úkonů podle bodů 2.1., 3. nebo 4.
    5.3. V případě pozitivního nálezu v bodu 5.1. nebo 5.2. provést komplexní audit všech relevantních aktiv.
    Jednotlivé činnosti v rámci úkonu 5. je potřeba zahájit neprodleně.

  6. Nahlásit Úřadu aktuální rozsah veřejných DNS záznamů nebo veřejných IP adres, nebo Úřadu oznámit, že dříve nahlášené záznamy a adresy jsou aktuální.
    Tento úkon je potřeba provést nejpozději do 31. prosince 2021. Toto reaktivní opatření jako celek, tj. všechny úkony v něm uložené, je potřeba provést v souladu se lhůtami stanovenými pro jednotlivé úkony, nejpozději však do dne 31. ledna 2022. Orgány a osoby uvedené v § 3 písm. c) až f) zákona o kybernetické bezpečnosti jsou povinny
    oznámit Úřadu provedení reaktivního opatření a jeho výsledek bez zbytečného odkladu. Oznámení provedení tohoto reaktivního opatření proveďte tedy až po realizaci všech úkonů, a to bez zbytečného odkladu, nejpozději však do 7. února 2022.


    Orgány a osoby uvedené v § 3 písm. c) až f) zákona o kybernetické bezpečnosti, které některé
    výše uvedené úkony již do dne účinnosti tohoto reaktivního opatření provedly, nemusí tyto konkrétní úkony provádět opakovaně. Informaci o provedení jednotlivých úkonů a způsobu jejich provedení tyto orgány a osoby oznámí Úřadu v rámci oznámení provedení tohoto
    reaktivního opatření.


    O
    rgány a osoby, které se stanou povinnými osobami dle § 3 písm. c) až f) zákona o kybernetické bezpečnosti po dni účinnosti tohoto reaktivního opatření, u nichž je toto reaktivní opatření relevantní, musí všechny výše uvedené úkony splnit do jednoho měsíce od svého určení či identifikace a poté bez zbytečného odkladu oznámit Úřadu výsledek jeho provedení.

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 0