Enregistrement et surveillance insuffisants
L'enregistrement et la surveillance sont souvent relégués au second plan lorsque quelque chose s'est déjà mal passé, mais en réalité, ne pas s'assurer d'une journalisation et d'une surveillance appropriées peut s'avérer très coûteux.
D'un côté, lorsqu'un incident survient (qu'il soit lié à la sécurité ou non), le fait d'avoir peu ou pas de journaux rend impossible de comprendre ce qui s'est réellement passé. À l'autre extrême, l'enregistrement d'une trop grande quantité de données peut entraîner des problèmes de confidentialité, qui peuvent ensuite entraîner des problèmes avec les régulateurs.
Ci-dessous, nous allons passer en revue certaines bonnes pratiques qui peuvent vous aider à améliorer la journalisation et la surveillance.
Les meilleures pratiques
Examinons quelques bonnes pratiques pour une journalisation et une surveillance efficaces.
Journalisation des audits pour les fonctions sensibles
Il est important de créer des journaux d'audit pour les événements sensibles tels que les tentatives de connexion (qu'elles aient été réussies ou non), les modifications de compte utilisateur, l'accès/la modification de données sensibles et d'autres instances similaires. Cela vaut à la fois pour l'accès pour les utilisateurs généraux et pour tous les utilisateurs internes/administratifs.
L'enregistrement de ces informations devient extrêmement pertinent dans les cas où l'on pense qu'un accès non autorisé s'est produit, qu'il s'agisse d'un initié ou d'un étranger.
Lorsqu'un tel événement se produit, il est essentiel de pouvoir déterminer quelles données ont été consultées par qui, afin de comprendre l'ampleur et la portée de l'événement.
Enregistrement des erreurs
La création de journaux d'erreurs et d'avertissements n'est pas seulement une bonne pratique technique générale pour surveiller l'état de santé de l'application ; ils peuvent également servir de signal d'avertissement.
Lorsqu'un attaquant est en train de découvrir une vulnérabilité, il génère souvent un grand nombre d'erreurs et d'avertissements qui peuvent vous indiquer qu'un attaquant a peut-être découvert une vulnérabilité dans votre application.
Stockage des journaux dans un emplacement centralisé
Les journaux doivent toujours être transmis et stockés dans un endroit centralisé en temps réel. Cela permet à la fois de garantir que les journaux sont immédiatement disponibles pour analyse par un SIEM et d'empêcher un attaquant susceptible d'avoir compromis un serveur de modifier ou de supprimer des journaux.
Conserver les journaux pendant une durée définie
La triste réalité est que la plupart des violations mettent des jours à être détectées et, en fait, 20 % des violations prennent mois à détecter. Lorsque le délai entre la violation et la détection est si long, les journaux peuvent souvent être la seule source de données à la disposition d'une personne pour déterminer ce qui a pu se passer.
Il est donc extrêmement important de stocker les journaux pendant une période bien définie. Des normes telles que la norme PCI exigent que les journaux soient accessibles avec peu ou pas de délai, depuis 3 mois, tandis que les journaux datant de 12 mois doivent pouvoir être restaurés sur demande.
Cette approche permet de trouver un bon équilibre entre la possibilité de commencer facilement à enquêter sur un incident potentiel et la gestion des coûts grâce à l'entreposage frigorifique des grumes.
Auditez régulièrement les journaux pour les informations personnelles
Les journaux sont très utiles pour enquêter sur des incidents potentiels, mais en réalité, les journaux eux-mêmes peuvent également provoquer un incident.
Il y a un équilibre délicat entre l'inclusion des informations nécessaires pour pouvoir enquêter sur les incidents et une trop grande quantité d'enregistrement. Il est assez facile d'inclure accidentellement des informations personnelles dans les journaux, ce qui peut entraîner des problèmes avec les réglementations en matière de confidentialité.
Il est important de vérifier régulièrement les journaux pour détecter les informations personnelles et de veiller à ce qu'elles soient supprimées.