Es ist über 18 Monate her, dass die Log4j-Sicherheitslücke Schockwellen durch die Cybersicherheits-Community schickte, doch aktuelle Berichte deuten darauf hin, dass mit Stand 1. Oktober 2022 immer noch erstaunliche 40 % der Log4j-Downloads anfällig für Ausnutzungen sind und 72 % der Organisationen immer noch anfällig für Log4j sind. Allein im Mai 2023 hat unsere F5 Distributed Cloud Platform dazu beigetragen, Kunden vor über 1 Million Log4j-Angriffsversuchen zu schützen, die durch die Schutzfunktionen der Web-App und der API erfolgreich abgewehrt wurden.
Dies ist lediglich ein Beispiel für ein CVEs, das die fortbestehenden Herausforderungen verdeutlicht, da Unternehmen Schwierigkeiten haben, mit der Verwaltung der CVE-Behebung Schritt zu halten, und es handelt sich um ein Problem, das in Zukunft nur noch größer werden wird. Die Anzahl der veröffentlichten CVEs nimmt zu und F5 Labs geht davon aus, dass die Rate, mit der in einer typischen Woche neue CVEs veröffentlicht werden, bis 2025 auf 500 pro Woche ansteigen wird. Es sind fast zwei Jahre vergangen, seit die Log4j-Sicherheitslücke aufgedeckt wurde, und die Unternehmen versuchen immer noch, den Rückstand aufzuholen, während sich das umfassendere Problem ständig weiterentwickelt. Trotz der Verfügbarkeit von Patches und Updates tragen zahlreiche Faktoren zu anhaltenden Schwachstellen wie log4j bei.
Die schiere Menge und Häufigkeit neuer Sicherheitslücken bringt Sie an Ihre Grenzen. Oft fehlt die Zeit oder das Wissen, um neue Hinweise zeitnah zu verfolgen. Haben Sie eine Sicherheitslücke entdeckt, kann das Patchen vor allem in großen, vernetzten Umgebungen komplex sein. Es erfordert viel Aufwand und Koordination, wodurch sich die Patchzyklen verlängern. Die Mischung aus alter und moderner Infrastruktur, Systemen und Anwendungen in vielen Unternehmen erschwert die Umsetzung wichtiger Updates zusätzlich – etwa durch Kompatibilitätsprobleme, hohe Kosten oder ungünstige Zeitfenster. Außerdem spielen komplexe Patches und Updates als indirekte Abhängigkeiten innerhalb von Software-Lieferketten oder Infrastrukturkomponenten eine Rolle und können unbemerkt bleiben – selbst wenn Sie die betroffenen Systeme nicht direkt einsetzen. Genau wie Fehler im Quellcode können auch menschliche Unachtsamkeiten Ihre Schutzmaßnahmen beeinträchtigen, wenn Entwickler oder Administratoren den Patchbedarf übersehen oder Systeme falsch konfigurieren. Bei komplexen IT-Strukturen oder risikobereiten Unternehmenskulturen verzögern oft aufwändige Tests, Angst vor Ausfällen oder andere Geschäftsprioritäten die Patch-Einspielung. Erschwerend kommen erhebliche Personalengpässe hinzu, besonders im Sicherheitsbereich. Wie schaffen Sie es, trotzdem Schritt zu halten, während Sie unermüdlich Patches und Updates für Systeme und Anwendungen durchführen?
Patches werden zwar bereitgestellt, aber häufig (wie in diesem Fall mit log4j) nicht schnell genug und es werden rasch neue CVEs identifiziert. Daher ist es für Unternehmen unerlässlich, dass ihre Anwendungen über eine umfassende Sicherheitsebene verfügen, unabhängig davon, wie viele Patches vorhanden und auf dem neuesten Stand sie sind. Der Schutz sowohl interner als auch webbasierter Apps mit einer Lösung wie dem Distributed Cloud Web App and API Protection (WAAP) von F5 ist von entscheidender Bedeutung, um die Sicherheitslücke zu schließen, während Unternehmen ihren Patch- und Update-Rückstand abarbeiten.
Ressourcen und wichtige Links: