Coders Conquer Security: Share & Learn Series - Unzureichende Protokollierung und Überwachung

Veröffentlicht am 30. Mai 2019
von Jaap Karan Singh
FALLSTUDIE

Coders Conquer Security: Share & Learn Series - Unzureichende Protokollierung und Überwachung

Veröffentlicht am 30. Mai 2019
von Jaap Karan Singh
Ressource anzeigen
Ressource anzeigen

Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.

Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
  • Warum unzureichende Protokollierung und Überwachung gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?

Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.

Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.

Warum ist unzureichende Protokollierung und Überwachung gefährlich?

Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.

Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?

Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.

So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.

Unzureichende Protokollierung und Überwachung beseitigen

Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.

Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.

Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.

Weitere Informationen über unzureichende Protokollierung und Überwachung

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]

Ressource anzeigen
Ressource anzeigen

Autor

Jaap Karan Singh

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Coders Conquer Security: Share & Learn Series - Unzureichende Protokollierung und Überwachung

Veröffentlicht am 30. Mai 2019
Von Jaap Karan Singh

Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.

Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.

In dieser Folge lernen wir:

  • Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
  • Warum unzureichende Protokollierung und Überwachung gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?

Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.

Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.

Warum ist unzureichende Protokollierung und Überwachung gefährlich?

Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.

Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?

Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.

So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.

Unzureichende Protokollierung und Überwachung beseitigen

Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.

Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.

Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.

Weitere Informationen über unzureichende Protokollierung und Überwachung

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.