Als am 10. Dezember 2021 eine Zero-Day-Lücke in Log4j-Version 2 bekannt wurde, schrillten in zahlreichen Unternehmen die Alarmglocken.
Täglich werden Schwachstellen in Software gefunden, geschlossen und auch ausgenutzt. Der Unterschied zu den meisten vorherigen Sicherheitslücken lag darin begründet, dass nicht sofort erkennbar war, welche Software überhaupt Log4j beinhaltet und dadurch betroffen ist.
Immer öfter entsteht Software durch Zusammenfügen von mehreren fertigen und funktional ausgezeichneten Komponenten oder durch die Nutzung von fertigen Frameworks, die wiederum auch Abhängigkeiten von ihren Komponenten mitbringen. Ob benötigte Komponenten oder unnötiger Ballast: Die Nutzung von SBOM ist in der Theorie nach wie vor entschieden häufiger anzutreffen als in der Realität.
Und so standen dann im Dezember 2021 viele IT-Sicherheitsverantwortliche vor der Herausforderung, möglichst schnell beantworten zu können, an welchen Stellen Gefahr bestand.
Eine Möglichkeit, zügig und umfassend herauszufinden, wo Log4j in der benutzten Softwarelandschaft verwendet wird, bietet die Axonius Cybersecurity Asset Platform.
Auch wenn Log4j mittlerweile kalter Kaffee ist - eine nächste Sicherheitslücke an einer zentralen Komponente wird es geben. Wie Sie diese in Ihrer IT lokalisieren, erfahren Sie in diesem Video.