Log4j 취약점: 조직은 여전히 위험에 처해 있습니까?

이는 조직이 CVE 수정 관리를 따라잡는 데 어려움을 겪으면서 지속적으로 발생하는 과제를 강조하는 하나의 CVE의 단순한 예이며, 이 문제는 앞으로도 계속 커질 것입니다. CVE가 공개되는 수는 늘어나고 있으며, F5 Labs에서는 일반적인 주당 새로운 CVE가 공개되는 속도가 2025년까지 주당 500개로 급증할 것으로 예상합니다. log4j 취약점이 노출된 지 거의 2년이 지났지만, 기업들은 여전히 광범위한 문제가 진화함에 따라 따라잡기 위해 노력하고 있습니다. 패치와 업데이트가 제공됨에도 불구하고 log4j와 같은 지속적인 취약성에 영향을 미치는 요소는 여러 가지가 있습니다.

새로운 취약점의 엄청난 수와 빈도로 인해 조직은 발생하는 취약점을 따라잡기 위해 고군분투하고 있으며, 이는 제한된 정보나 새로운 권고 사항을 최신 상태로 유지하기 위한 리소스로 인해 발생할 수도 있습니다. 취약점이 확인되면 취약한 시스템에 패치를 적용하는 것은 복잡해질 수 있습니다. 특히 상호 연결된 시스템을 갖춘 대규모 조직의 경우 상당한 노력과 조정이 필요하여 패치 적용 주기가 길어질 수 있습니다. 대부분의 조직에는 기존 및 최신 인프라, 시스템, 애플리케이션이 혼합되어 있어 이러한 문제가 더욱 복잡해지고, 이로 인해 중요한 업데이트를 구현할 때 호환성 문제, 높은 비용 또는 불편한 시간 투자가 발생할 수 있습니다. 또한 복잡한 패치 및 업데이트는 소프트웨어 공급망이나 인프라 구성 요소 내에 존재할 수 있는 간접적인 종속성으로, 조직이 취약한 시스템을 직접 사용하지 않더라도 사각지대가 될 수 있습니다. 소프트웨어 코드 자체와 마찬가지로 인간의 오류와 간과도 완화 노력을 방해할 수 있습니다. 개발자나 관리자가 패치의 필요성을 간과하거나 시스템을 잘못 구성할 수 있기 때문입니다. 마지막으로, 복잡한 IT 인프라나 위험 회피적 문화를 갖춘 조직에서는 광범위한 테스트, 중단에 대한 우려 또는 경쟁적인 비즈니스 우선순위로 인해 패치 도입이 지연될 수 있습니다. 이 모든 복잡성에 더해 대부분의 조직은 인력이 부족한데, 특히 보안 분야에서는 그렇습니다. 그러면 그들이 시스템과 애플리케이션을 패치하고 업데이트하기 위해 열렬히 노력하는 동안 어떻게 따라잡을 수 있을까?