نظارت و ثبت رویداد ناکافی Insufficient Logging & Monitoring

A10 2017
نظارت و ثبت رویداد ناکافی Insufficient Logging & Monitoring
بردار حمله
App.Specific
قابلیت بهره برداری : 2

اکسپلویت از نظارت و ثبت رویداد ناکافی تقریبا بستر اصلی هر اتفاق مهم است مهاجمان به عدم نظارت و پاسخ به موقع ،برای رسیدن به اهداف خود بدون شناسایی شدن متکی هستند.

ضعف امنیتی
شیوع : 2
قابلیت تشخیص : 2

ین موضوع در جدول TOP10 براساس یک بررسی صنعتی گنجانده شده است. یک استراتژی برای تعیین اینکه آیا شما نظارت کافی دارید، بررسی مجدد رویدادهای مربوط به تست نفوذ است اقدامات تست کنندگان باید به اندازه کافی ثبت شود تا بدانند که چه آسیبی به آنها وارد شده است.

تاثیرات
فنی : 3
تجاری ؟

اکثر حملات موفق با کاوش آسیبپذیری آغاز میشوند. اجازه دادن به این کاوشگرها میتواند احتمال اکسپلویت موفق را تقریبا تا 100 درصد افزایش دهد. در سال 2016 ، شناسایی یک شکاف )رخنه( به طور متوسط 191 روز) زمان زیاد برای آسیب زدن( طول کشید.

شناسایی آسیب پذیری

ثبت رویداد ، تشخیص، نظارت و پاسخ فعال ناکافی در هر زمان رخ میدهد:
• رویدادهای قابل بررسی، مانند ورود به سیستم ، ورود ناموفق به سیستم و تراکنش های با ارزش بالا در سیستم ثبت نشده اند.
• هشدارها و اشتباهات موجب ایجاد پیام های رویداد مشخص یا کافی نمی شود.
• رویداد برنامه ها و API ها برای فعالیت مشکوک پایش نمیشوند.
• رویدادها فقط بصورت محلی ثبت شده اند.
• آستانه های مربوط به هشدار و فرآیندهای تشدید پاسخ، مناسب و یا موثر نیستند.
• تست نفوذ و اسکن توسط ابزارهای DAST مانند) ZAP OWASP )باعث هشدار نمی شود.
• برنامه قادر به تشخیص، تشدید شدن یا هشدار برای حمات فعال در زمان واقعی یا نزدیک به زمان واقعی نیست.
شما به علت نشت اطالعات آسیبپذیر هستید، اگر الگ وقایع و هشدار ها قابل مشاهده برای یک کاربر و یا یک فرد باشد.

راه های جلو گیری

همچنین در مورد خطر اطلاعات ذخیره شده یا پردازش شده توسط نرم افزار داریم:
• اطمینان حاصل کنید که تمام ورودی ها به سیستم، خطاهای کنترل دسترسی و اعتبار سنجی ورودی طرف سرور را می توان با زمینه کاربری کافی برای شناسایی حسابهای مشکوک یا نادرست ثبت کرد و زمان کافی را برای اجازه دادن به تجزیه و تحلیل قانونی به تاخیر انداخت.
• اطمینان حاصل کنید که رویدادها در یک قالبی تولید می شود که می تواند به راحتی توسط یک راه حل مدیریت رویداد متمرکز مورد استفاده قرار گیرد.
• اطمینان از اینکه تراکنش های با ارزش بالا دارای یک دنباله حسابرسی با کنترل های یکپارچه برای جلوگیری از دستکاری یا حذف، مانند جداول پایگاه داده اضافه یا مشابه باشند.
• ایجاد نظارت مؤثر و هشدار به طوری که فعالیت های مشکوک شناسایی و به موقع پاسخ داده شوند.
• ایجاد و یا اتخاذ یک پاسخ تصادفی و برنامه ریکاوری، مانند NIST 800-61 rev 2 یا بالاتر.
چارچوب های حفاظت از برنامه های کاربردی متن باز و تجاری مانند AppSensor OWASP ،  و ModSecurity with the OWASP ModSecurity Core Rule Set مانند وب های فایروال برنامه همبستگی log با داشبورد های سفارشی و هشدار دهنده وجود دارد.

مثال هایی از سناریوهای حمله

سناریو 1:یک نرم افزار انجمن منبع باز که توسط یک تیم کوچک اجرا می شد با استفاده از نقص در نرم افزار آن هک شد. مهاجمان موفق به از بین بردن منبع کد داخلی حاوی نسخه بعدی و تمامی محتویات انجمن شدند اگرچه این منبع کد را می توان بازیابی کرد ، اما فقدان نظارت ، ثبت رویداد و یا هشدار دادن منجر به نقض بسیار بدتری شد. پروژه برنامه ی انجمن در نتیجه این موضوع، دیگر فعال نیست .
سناریو 2 :یک مهاجم کاربران را با استفاده از گذر واژه معمولی اسکن میکند آنها میتوانند تمام حسابها را با استفاده از این گذرواژه در اختیار بگیرند. برای کاربران دیگر ، این اسکن فقط یک ورود)login )ناموفق به نظر می رسد. پس از چند روز ، این کار ممکن است با گذرواژه متفاوت تکرار شود.
سناریو 3:گفته میشود که یک خردهفروش بزرگ آمریکایی تحلیل داخلی بدافزار را تجزیه و تحلیل میکند برنامه sandbox به طور بالقوه برنامه ناخواسته را شناسایی کرده بود ، اما هیچکس به این کشف واکنش نشان نداد. قبل از این که نفوذ به دلیل تراکنش های کارت اعتباری توسط یک بانک خارجی شناسایی شود ، sandbox چندین مرتبه هشدار داده بود.

منابع

OWASP


OWASP Proactive Controls: Implement Logging and Intrusion •
Detection
OWASP Application Security Verification Standard: V8 • Logging and Monitoring
OWASP Testing Guide: Testing for Detailed Error Code •
OWASP Cheat Sheet: Logging •


External


Omission of Security-relevant Information :223-CWE •
Insufficient Logging :778-CWE

جزییات بازدید : 21

تاریخ انتشار : 23 / مرداد / 1398