Coders Conquer Security: Share & Learn Series - Unzureichende Protokollierung und Überwachung
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Vertiefung: Navigieren durch die kritische CUPS-Schwachstelle in GNU-Linux-Systemen
Entdecken Sie die neuesten Sicherheitsprobleme, mit denen Linux-Benutzer konfrontiert sind, indem wir die jüngsten hochgradigen Sicherheitslücken im Common UNIX Printing System (CUPS) untersuchen. Erfahren Sie, wie diese Probleme zu einer möglichen Remote Code Execution (RCE) führen können und was Sie tun können, um Ihre Systeme zu schützen.