OWASP A9 Security Logging and Monitoring Failures(安全日志和监控故障)
Security Logging and Monitoring Failures(安全日志和监控故障)
在2017中为 Insufficient Logging & Monitoring 不足的日志记录和监控,排名为7,而在现在最新的2021版本中为10
这其中包含了更多类型,各种难以测试的故障.
如果日志记录和监控的利用不积极,几乎是重大安全事件的温床.
举一个日常生活中的例子.
我们有的部分家庭或者大部分公司都会装上监控.
如果说这个监控是正常使用阶段.
那么如果有小偷进入进行盗窃.监控都会及时的记录下来,协助破案.
但是如果这个监控有死角,那么盗贼就会利用死角进行盗窃,从而造成财产损失.
再换种角度说,这个监控是坏的.并不能正常的监控盗贼的行为记录.同样也会造成财产损失的.
结合这种例子
我们不难想出.攻击者利用漏洞探测工具,扫描内网漏洞或者是网站漏洞,并没有及时的记录下来,那么就会造成管理者误判.
什么条件下会发生
根据 OWASP 的说法,在以下情况时容易受到攻击.
-
不记录可以审核的事件,比如登录,失败的登录和高价值事务
-
警告和错误会生成不充分或不清楚的日志消息
-
不会监视应用程序和API的日志是否存在可疑活动
-
日志仅存储在本地
-
适当的警报阈值和响应升级流程未到位或无效。
-
DAST 工具(如 OWASP ZAP)的渗透测试和扫描不会触发警报
-
应用程序无法实时或近乎实时地检测、升级或警报活动攻击
聊聊网络设备
对于网络安全设备.
大型的企业都会配置流量监控机,堡垒机等等
都可以说是网络世界里的监控了
比方说为了防止上班摸鱼的网络监控机.你的上网行为可以说是看的清清楚楚.
防止有人突然删库跑路导致服务器瘫痪的堡垒机,设置了一定的权限管理.
还有防止应用收到攻击的 WAF 防护机
网络安全设备有很多
实际上,根据中国要求的网络安全等级等保评测等级不同
所需要的机器也是不一样的.
但是所需要保护的信息是相同的.
如何应对?
-
确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去,并保留足够的用户上下文信息,以识别可疑或恶意帐户,并为后期取证预留足够时间。
-
每个组织都应该制定相应的计划,对整个软件生命周期进行监控、评审、升级或更改配置。
-
确保日志以一种能被集中日志管理解决方案使用的形式生成
-
确保高额交易有完整性控制的审计信息,以防止篡改或删除,例如审计信息保存在只能进行记录增加的数据库表中。
-
建立有效的监控和告警机制,使可疑活动在可接受的时间内被发现和应对。
-
建立或采取一个应急响应机制和恢复计划,例如: NIST800-61rev2 或更新版本目前已有商业的和开源的应用程序防护框架(例如:OWASPAppSensor )、 Web 应用防火墙(例如:ModsecuritywiththeOWASPCoreRuleSet)、带有自定义仪表盘和告警功能的日志关联软件。
时间过的真快,一年就要结束了.
大学四年时光也快要结束了.