コーダーがセキュリティを征服する:共有して学ぶシリーズ-ロギングとモニタリングが不十分
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
ロギングとモニタリングが不十分だと、アプリケーションの防御構造の中で発生しうる最も危険な状態の 1 つです。このような脆弱性や状態が存在すれば、それに対する高度な攻撃はほとんどすべて最終的に成功します。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
目次
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
