NÀr Log4j skickade försvarare förvrÀngning, gjorde denna start sin hotdata fri

NÀr Log4j skickade försvarare förvrÀngning, gjorde denna start sin hotdata fri


Under timmarna som följde avslöjandet av den utbredda sĂ„rbarheten i Apache Log4j, för en vecka sedan idag, blev folk pĂ„ ett sĂ€tt skrĂ€mmande. Omfattningen av mjukvarufelet – som finns i applikationer och tjĂ€nster som anvĂ€nds av nĂ€stan alla företag – var helt enkelt övervĂ€ldigande. Och hĂ„rda data för att ge brĂ€nsle till en försvarsstrategi var en bristvara.

Andrew Morris insÄg att han och hans företag, GreyNoise Intelligence, hade en unik position. Företaget driver sensorer i hundratals datacenter över hela vÀrlden och fÄngar data frÄn hela internet som kan lokalisera illvilliga aktörer och deras aktivitet. Det 30-manna företaget fokuserar helt och hÄllet pÄ detta arbete, och sÄ eftersom ryktet spred sig om Log4j-sÄrbarheten och dess inverkan pÄ otaliga Java-applikationer, visste startupen att den var tvungen att fÄ ut sin data.

Men hur, exakt?

“Vi skulle kunna pressa alla att bli kunder – vilket förmodligen skulle ha tjĂ€nat oss mycket pengar,” sa Morris. “Eller sĂ„ kan vi behandla detta som en nödsituation – och bara fĂ„ informationen till sĂ„ mĂ„nga mĂ€nniskor som vi kan, sĂ„ snabbt som möjligt, oavsett om de Ă€r GreyNoise-kunder eller inte.”

Företaget valde det senare. Samma dag slĂ€ppte företaget sin mĂ€ngd data gratis. Detta inkluderade en rĂ„lista över varje IP-adress som försökte utnyttja sĂ„rbarheten, sĂ„vĂ€l som data om potentiella kompromisser och nyttolasten som anvĂ€nds av hotaktörer. Uppgifterna publicerades pĂ„ offentliga webbplatser – och krĂ€vde inte att anvĂ€ndare registrerade sig eller lĂ€mnade nĂ„gon information alls för att fĂ„ tillgĂ„ng till den.

Och GreyNoise har hÄllit den informationen aktuell och uppdaterad pÄ timbasis sedan dess.

Kritiska hotdata

Uppgifterna har varit avgörande för att hjĂ€lpa försvarare att bĂ„de blockera kĂ€nda skadliga aktörer – ge dem tid att patcha sina system – och Ă€ven för att ge en övergripande barometer pĂ„ vad som hĂ€nder i attackerna, sa chefer pĂ„ cyberleverantörer till VentureBeat.

“GreyNoise ledde verkligen vĂ€gen för att upptĂ€cka denna aktivitet pĂ„ internet och sprida data för försvarare”, sĂ€ger Jess Parnell, vice vd för sĂ€kerhetsoperationer pĂ„ företaget Centripetal Networks. “De har i princip gett vĂ€rldens indikatorer pĂ„ vem och vad alla borde skydda sig mot.”

Genom att distribuera listan över kĂ€nda skadliga IP-adresser gratis, kunde försvarare mata in denna data i sina sĂ€kerhetsverktyg och svartlista dessa angripare frĂ„n att komma in. Detta “förlamade” i huvudsak mycket av infrastrukturen som anvĂ€nds av angripare, sa Parnell.

Även om det inte Ă€r en permanent lösning – angripare kan alltid Ă€ndra sin infrastruktur – i denna nödsituation minskade det attackaktiviteten sĂ„ att patchning kunde utföras, sa han. En slags “platta kurvan” för Log4j-sĂ„rbarheten.

“Du har nu köpt tillrĂ€ckligt med tid för dina IT-personal att komma in och Ă„tgĂ€rda problemet innan de Ă€ventyras,” sa Parnell.

I andra fall har telemetrin frĂ„n GreyNoise anvĂ€nts för att identifiera vilka frĂ„gor som Ă€r högsta prioritet att fokusera pĂ„ för kunder – vilket Ă€r hur data har anvĂ€nts av attackytehanteringsföretaget Randori, sĂ€ger Aaron Portnoy, huvudforskare pĂ„ företaget.

Attackinsikter

GreyNoise har ocksĂ„ hjĂ€lpt till att ge avgörande insikter om vem som har gjort attackerna, var de kommer ifrĂ„n och hur sofistikerade attackerna Ă€r, sa Portnoy. “De lĂ„ter folk veta att det hĂ€r Ă€r allvarligt, och de ger data för att sĂ€kerhetskopiera det,” sa han. “Och de ger informationen gratis.”

Med stöd av riskkapitalinvesterare och med huvudkontor i Washington, DC, erbjuder GreyNoise, under mer normala omstĂ€ndigheter, sin teknik för att hjĂ€lpa till att minska “varningströtthet” frĂ„n anstormningen av sĂ€kerhetsvarningar som cyberverktyg producerar. AnvĂ€ndare har ocksĂ„ nyligen anvĂ€nt GreyNoise som en intelligensprodukt för att hjĂ€lpa till att identifiera komprometterade enheter och utnyttjandet av nya sĂ„rbarheter.

“VĂ„rt mĂ„l som företag Ă€r bara att lösa bakgrundsljud pĂ„ internet – att se till att “opportunistisk” skanning och attacker inte Ă€r nĂ„got som folk mĂ„ste tĂ€nka pĂ„”, sĂ€ger Morris, VD för företaget, som han grundade 2017 efter en insats i forskning och utveckling pĂ„ Endgame.

Log4j-sÄrbarheten har visat sig pÄverka ett brett spektrum av mjukvara och molntjÀnster pÄ grund av att loggningsbiblioteket med öppen kÀllkod finns överallt. Intresset för GreyNoise ökade nÀstan omedelbart efter sÄrbarhetens avslöjande, inklusive frÄn de högsta nivÄerna av industri och myndigheter, enligt Morris.

“Glöm pengarna”

Ur ett tekniskt perspektiv hade företaget direkt vetat att felet skulle bli mycket dĂ„ligt, noterade Morris. “Men vi trodde inte nödvĂ€ndigtvis att det skulle bli lika uppenbart för hela sĂ€kerhetsgemenskapen,” sa han.

Men plötsligt hade vi medlemmar av ledarskap för stora molnvĂ€rdleverantörer som nĂ„dde ut till oss. Vi fick ledamöter av regeringsorganisationer att nĂ„ ut till oss. Vi hade medlemmar av ledarskap för banker och ledarskap för olje- och gasbolag som nĂ„dde ut till oss, sĂ€ger Morris. “MĂ„nga av vĂ„ra kunder, och i stort sett alla potentiella kunder som vi hade i pipelinen vid den tiden, nĂ„dde ut till oss. Det var dĂ„ vi insĂ„g att det hĂ€r Ă€r en riktigt stor sak.”

I det ögonblicket i fredags morse, nÀr företaget insÄg hur anvÀndbar dess data kunde vara, blev en andra sak uppenbar. För att fÄ ut data till mÀnniskor kan det finnas mycket friktion som skulle bromsa försvarsinsatsen, sa Morris.

“Och sĂ„ vi bestĂ€mde oss i princip,” Glöm pengarna. Glöm att fĂ„ anvĂ€ndare. Glöm allt det dĂ€r,” sa han.

Undersöker skadan

Nu, en hel vecka i svarsinsatsen pĂ„ Log4j-sĂ„rbarheten, alias Log4Shell, har sĂ€ttet som mĂ€nniskor anvĂ€nder data frĂ„n GreyNoise övergĂ„tt till att kartlĂ€gga skadorna. MĂ€nniskor anvĂ€nder data för att ta reda pĂ„ sannolikheten för att de har blivit Ă€ventyrade – och i sĂ„ fall av vem, sa Morris. Detta Ă€r anvĂ€ndbart för att “försöka avhysa skurkarna – jaga efter skurkar som fortfarande lurar pĂ„ systemen eller pĂ„ deras nĂ€tverk”, sa han.

I det hĂ€r skedet, medan det fortfarande pĂ„gĂ„r en betydande mĂ€ngd försök till utnyttjande, “har krigsdimman just nu börjat lĂ€tta”, sa Morris. – Saker och ting har börjat stabiliseras.

ÄndĂ„ har GreyNoise börjat se mycket mer “gjorda” attacker som Ă€r skrĂ€ddarsydda för specifika mjukvaruprodukter som anvĂ€nder Java mycket, sa han. “Det kommer förmodligen att fortsĂ€tta ett tag till,” sa Morris.

Allt som allt, “den lĂ„nga svansen pĂ„ denna sĂ„rbarhet kommer att bli ganska lĂ„ng”, sa han. ”Det kommer förmodligen att ta ett tag innan det hĂ€r blir helt stĂ€dat. Och jag tror att det kommer att dröja lite innan vi börjar förstĂ„ omfattningen av pĂ„verkan frĂ„n detta.”

Dela data

Andra företag har ocksÄ haft mycket data om angriparna och utnyttjandet, förstÄs. Men andra har inte varit lika öppna med att dela det med vÀrlden som GreyNoise har varit, sa Portnoy.

“Jag Ă€r bara extremt imponerad av hur de presenterar sina data, hur communityfokuserade de Ă€r och hur öppna de Ă€r med att dela för att hjĂ€lpa försvarare,” sa han.

Morris sa att han har sett nĂ„gra andra cybersĂ€kerhetsleverantörer fritt tillhandahĂ„lla data och innehĂ„ll som normalt skulle ha legat bakom en betalvĂ€gg under den senaste veckan – han nĂ€mnde Proofpoint som ett exempel.

Men pĂ„ det hela taget sa Morris att mycket mer av det skulle ha varit motiverat i den hĂ€r situationen. NĂ€r vĂ€rlden Ă€r beroende av ett företag med storleken och resurserna GreyNoise i en sĂ€kerhetskris, “det Ă€r aldrig bra”, sa han.

”Vi var förmodligen inte den enda leverantören som hade anvĂ€ndbar information om detta. Vi var bara den enda leverantören som var villig att sĂ€ga: ‘Vi bryr oss inte om att tjĂ€na pengar pĂ„ det hĂ€r. Vi vill bara fĂ„ ut det hĂ€r eftersom allt brinner”, sa Morris. “Vi försöker i princip fĂ„ allt att suga sĂ„ lite som möjligt för sĂ€kerhetspersonalen som kommer att hantera den hĂ€r mardrömmen under de nĂ€rmaste veckorna och mĂ„naderna.”

I slutĂ€ndan, “vi behöver alla Ă€ta, och vi behöver alla vĂ€xa vĂ„ra företag”, sa han.

“Men ibland Ă€r saker sĂ„ dĂ„liga att du mĂ„ste glömma det en liten stund – och du mĂ„ste bara fĂ„ ut informationen sĂ„ snabbt som möjligt,” sa Morris. “NĂ€r det finns en tillrĂ€ckligt dĂ„lig sĂ€kerhetshĂ€ndelse som denna, för varje sĂ€kerhetsföretag dĂ€r ute som har nĂ„got anvĂ€ndbart att sĂ€ga, borde de sĂ€ga det – och inte begĂ€ra nĂ„got i gengĂ€ld. Glöm försĂ€ljningen. Glöm marknadsföring. Vi Ă€r faktiskt hĂ€r för att göra skurkarnas liv sĂ„ elĂ€ndiga som möjligt. Det Ă€r dĂ€rför vi verkligen Ă€r hĂ€r.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.