OWASP A9 Security Logging and Monitoring Failures(安全日志和监控故障)

Security Logging and Monitoring Failures(安全日志和监控故障)

在2017中为 Insufficient Logging & Monitoring 不足的日志记录和监控,排名为7,而在现在最新的2021版本中为10

这其中包含了更多类型,各种难以测试的故障.

如果日志记录和监控的利用不积极,几乎是重大安全事件的温床.

举一个日常生活中的例子.

我们有的部分家庭或者大部分公司都会装上监控.

如果说这个监控是正常使用阶段.

那么如果有小偷进入进行盗窃.监控都会及时的记录下来,协助破案.

但是如果这个监控有死角,那么盗贼就会利用死角进行盗窃,从而造成财产损失.

再换种角度说,这个监控是坏的.并不能正常的监控盗贼的行为记录.同样也会造成财产损失的.

结合这种例子

我们不难想出.攻击者利用漏洞探测工具,扫描内网漏洞或者是网站漏洞,并没有及时的记录下来,那么就会造成管理者误判.

什么条件下会发生

根据 OWASP 的说法,在以下情况时容易受到攻击.

1. 不记录可以审核的事件,比如登录,失败的登录和高价值事务

2. 警告和错误会生成不充分或不清楚的日志消息

3. 不会监视应用程序和API的日志是否存在可疑活动

4. 日志仅存储在本地

5. 适当的警报阈值和响应升级流程未到位或无效。

6. DAST 工具（如 OWASP ZAP）的渗透测试和扫描不会触发警报

7. 应用程序无法实时或近乎实时地检测、升级或警报活动攻击

聊聊网络设备

对于网络安全设备.

大型的企业都会配置流量监控机,堡垒机等等

都可以说是网络世界里的监控了

比方说为了防止上班摸鱼的网络监控机.你的上网行为可以说是看的清清楚楚.

防止有人突然删库跑路导致服务器瘫痪的堡垒机,设置了一定的权限管理.

还有防止应用收到攻击的 WAF 防护机

网络安全设备有很多

实际上,根据中国要求的网络安全等级等保评测等级不同

所需要的机器也是不一样的.

但是所需要保护的信息是相同的.

如何应对?

1. 确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去，并保留足够的用户上下文信息，以识别可疑或恶意帐户，并为后期取证预留足够时间。

2. 每个组织都应该制定相应的计划，对整个软件生命周期进行监控、评审、升级或更改配置。

3. 确保日志以一种能被集中日志管理解决方案使用的形式生成

4. 确保高额交易有完整性控制的审计信息，以防止篡改或删除，例如审计信息保存在只能进行记录增加的数据库表中。

5. 建立有效的监控和告警机制，使可疑活动在可接受的时间内被发现和应对。

6. 建立或采取一个应急响应机制和恢复计划，例如： NIST800-61rev2 或更新版本目前已有商业的和开源的应用程序防护框架（例如：OWASPAppSensor ）、 Web 应用防火墙（例如：ModsecuritywiththeOWASPCoreRuleSet）、带有自定义仪表盘和告警功能的日志关联软件。

时间过的真快,一年就要结束了.

大学四年时光也快要结束了.