Hoe ga je om met situaties als Log4j

Het zal je niet zijn ontgaan dat er in december 2021 een serieuze kwetsbaarheid is gevonden in Apache Log4j. Apache Log4j is een Java log tool die in veel Java-applicaties en diensten gebruikt wordt. Hierdoor bereikte deze kwestie het nieuws en had het wereldwijd veel impact. Maar hoe ga je eigenlijk om met een dergelijke situatie? Dit is slechts één voorval, maar de kans dat een volgend vergelijkbaar incident zich aandient is groot. In dit artikel lees je hoe AMIS in 4 stappen handelt in zo’n situatie en de risico’s voor onze klanten zoveel mogelijk beperkt.  

24 februari 2022   |   Blog   |   Door: Bob de Man Lapidoth

Deel

Hoe ga je om met situaties als Log4j

Stap 1: bepalen van de impact

Vanaf het moment dat de security kwetsbaarheid Log4j aan het licht kwam is AMIS gelijk haar standaardprocedure gestart. Potentieel zou het al onze klanten raken, dus een adequate en eensgezinde aanpak is van essentieel belang. De eerste stap in een geval als Log4j is het bepalen van de impact. Hierbij is prioriteit nummer één antwoord krijgen op twee belangrijke vragen: Wat zijn de gevolgen voor onze klant? Hoe zorgen wij ervoor dat de klant zijn werk kan blijven doen? Dit terwijl AMIS op de achtergrond bezig is met het in kaart brengen van de situatie.

Stap 2: het informeren van al onze klanten

Zodra er een goed beeld geschetst is starten we met stap twee: het informeren van al onze klanten. Eén van de stappen die we hierin nemen is het aanmaken van een specifiek ticket voor iedere klant. De klant wordt zo op de hoogt gehouden van wat er speelt.  

Stap 3: het centraal vastleggen en sturen van het incident

Vervolgens starten we met stap drie: het centraal vastleggen en sturen van het incident. Ons ticketsysteem biedt hierin optimale mogelijkheden. Iedereen, zowel klant als collega, kan op één centrale plek zien wat de klant-specifieke situatie betreft en waar we op dat moment staan. Denk hierbij aan: Op welke vlakken is de kwetsbaarheid relevant voor de klant? Welke stappen moeten doorlopen worden om de situatie onder controle te krijgen? En welke communicatie heeft er al plaatsgevonden? Wanneer centrale vastlegging en sturing ontbreekt is er geen structuur en is het einde zoek. Iedereen zal zelfstandig onderzoek gaan doen, niemand weet van elkaar wat ze doen, communicatie loopt langs elkaar heen, dingen gebeuren dubbel en het is onmogelijk om coördinatie te voeren op een dergelijk traject. Een verwilderde jungle aan informatie is het gevolg. 

Ondertussen zorgen we voor nauwe communicatie met de leverancier. We houden constant in de gaten wat voor nieuws er vanuit die hoek komt omtrent de ontwikkelingen en monitoren uiteraard of er patches vrijgegeven worden. Belangrijke en relevante ontwikkelingen vermelden we vervolgens weer in de specifieke klanttickets, zodat iedereen op de hoogte blijft van de situatie.  

Stap 4: de klant in actie

Op het moment dat de leverancier patches uitbrengt voor een bepaald onderdeel (bijv. Weblogic) dat door de kwetsbaarheid geraakt wordt, is het zaak om de patch z.s.m. uit te rollen bij de klanten waarvoor dit relevant is. We gaan dan naar stap vier. Bij het uitrollen van een patch is veelal downtime nodig. Dit moet in goed overleg met de klant besproken worden. Het enige wat de klant in dit gehele traject hoeft te doen is akkoord geven. De rest wordt geregeld door AMIS. 

Ondanks de druk en risico’s die de kwetsbaarheid met zich meebrengt is het vast blijven houden aan de basisprincipes, zoals het volgen van een OTAP, belangrijk. Als deze methode in alle haast losgelaten wordt brengt dit op zijn beurt nieuwe risico’s met zich mee. Als beheerpartij zullen wij onze klanten hier altijd voor behoeden en uitleggen dat je deze basisprincipes nooit los mag laten, ook niet in deze spannende tijden.  

Timing

De timing van de Log4j bracht nog wat een uitdaging met zich mee. Het was half december wat betekent dat de feestdagen voor de deur stonden. Bij veel klanten betekent dit een freeze-periode, wat de mogelijkheden van patchen/downtime beperkt. Door geplande vakanties ontstaat er ook krapte omtrent resources, zowel bij de klant als bij AMIS. Gelukkig heeft goede samenwerking met de klant en de flexibiliteit van onze medewerkers zich wederom bewezen. Wij hebben het grootste deel van de kwetsbaarheden bij onze klanten voor de feestdagen kunnen verhelpen en konden we met een goed gevoel het nieuwe jaar instappen.

Bob de Man Lapidoth 

Service Manager AMIS