코더들이 보안을 정복하다: Share & Learn 시리즈 - 불충분한 로깅 및 모니터링
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
불충분한 로깅 및 모니터링은 애플리케이션의 방어 구조 내에 존재할 수 있는 가장 위험한 상태 중 하나입니다.이러한 취약점이나 상태가 존재하면 이를 대상으로 한 거의 모든 고급 공격이 결국 성공할 것입니다.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Während wir die Themen in diesen Blogs untersucht haben, haben wir einige gefährliche Schwachstellen und bösartige Exploits aufgedeckt, die Hacker einsetzen, um Netzwerke anzugreifen und Abwehrmaßnahmen zu umgehen. Die Bandbreite reicht vom Ausnutzen von Schwachstellen in Programmiersprachen über das Einschleusen von Code in verschiedenen Formaten bis hin zum Abfangen von Daten während der Übertragung. Es gibt eine ganze Reihe von Bedrohungen, aber immer, wenn eine von ihnen erfolgreich ist, gibt es oft eine gemeinsame Komponente in den Anwendungen ihrer Opfer.
Unzureichende Protokollierung und Überwachung ist eine der gefährlichsten Bedingungen, die innerhalb der Verteidigungsstruktur einer Anwendung bestehen können. Wenn diese Schwachstelle oder Bedingung existiert, dann wird fast jeder fortgeschrittene Angriff, der gegen sie durchgeführt wird, letztendlich erfolgreich sein. Eine unzureichende Protokollierung und Überwachung bedeutet, dass Angriffe oder Angriffsversuche für eine sehr lange Zeit nicht entdeckt werden, wenn überhaupt. Das gibt Angreifern im Grunde die Zeit, die sie brauchen, um eine nützliche Schwachstelle zu finden und auszunutzen.
In dieser Folge lernen wir:
- Wie Angreifer unzureichende Protokollierung und Überwachung nutzen können
- Warum unzureichende Protokollierung und Überwachung gefährlich ist
- Techniken, die diese Sicherheitslücke beheben können.
Wie nutzen Angreifer eine unzureichende Protokollierung und Überwachung aus?
Angreifer wissen zunächst nicht, ob ein System ordnungsgemäß überwacht wird oder ob die Protokolldateien auf verdächtige Aktivitäten untersucht werden. Aber es ist leicht genug für sie, das herauszufinden. Was sie manchmal tun, ist, eine Art von unelegantem Brute-Force-Angriff zu starten, vielleicht indem sie eine Benutzerdatenbank nach häufig verwendeten Kennwörtern abfragen. Dann warten sie ein paar Tage und versuchen die gleiche Art von Angriff erneut. Wenn sie beim zweiten Mal nicht daran gehindert werden, dann ist das ein guter Hinweis darauf, dass niemand die Protokolldateien sorgfältig auf verdächtige Aktivitäten überwacht.
Auch wenn es relativ einfach ist, die Verteidigungsmaßnahmen einer Anwendung zu testen und den Grad der aktiven Überwachung zu messen, ist dies keine Voraussetzung für erfolgreiche Angriffe. Sie können ihre Angriffe einfach so starten, dass sie so wenig Lärm wie möglich machen. In den meisten Fällen bedeutet die Kombination aus zu vielen Alarmen, Alarmmüdigkeit, schlechten Sicherheitskonfigurationen oder einfach einer Fülle von ausnutzbaren Schwachstellen, dass sie genügend Zeit haben werden, ihre Ziele zu erreichen, bevor die Verteidiger überhaupt merken, dass sie da sind.
Warum ist unzureichende Protokollierung und Überwachung gefährlich?
Eine unzureichende Protokollierung und Überwachung ist gefährlich, weil sie Angreifern Zeit gibt, nicht nur ihre Angriffe zu starten, sondern auch ihre Ziele zu erreichen, lange bevor Verteidiger eine Reaktion einleiten können. Wie viel Zeit, hängt vom angegriffenen Netzwerk ab, aber verschiedene Gruppen wie das Open Web Application Security Project (OWASP) beziffern die durchschnittliche Reaktionszeit für angegriffene Netzwerke auf 191 Tage oder länger.
Denken Sie mal einen Moment darüber nach. Was würde passieren, wenn Räuber eine Bank überfallen, die Leute die Polizei rufen und diese ein halbes Jahr braucht, um zu reagieren?
Die Räuber wären längst weg, wenn die Polizei eintrifft. In der Tat kann dieselbe Bank noch viele weitere Male ausgeraubt werden, bevor die Polizei überhaupt auf den ersten Vorfall reagiert.
So ist es auch bei der Cybersicherheit. Die meisten der hochkarätigen Sicherheitsverletzungen, von denen man in den Nachrichten hört, waren keine Einbruchsversuche. Oftmals erfährt das betroffene Unternehmen erst von einer Sicherheitsverletzung, nachdem die Angreifer bereits seit Monaten oder sogar Jahren mehr oder weniger volle Kontrolle über die Daten hatten. Dies macht eine unzureichende Protokollierung und Überwachung zu einer der gefährlichsten Situationen, die beim Versuch, gute Cybersicherheit zu praktizieren, auftreten können.
Unzureichende Protokollierung und Überwachung beseitigen
Um eine unzureichende Protokollierung und Überwachung zu verhindern, sind vor allem zwei Dinge erforderlich. Erstens müssen alle Anwendungen mit der Fähigkeit erstellt werden, serverseitige Eingabevalidierungsfehler mit genügend Benutzerkontext zu überwachen und zu protokollieren, damit Sicherheitsteams die Tools und Techniken, wenn nicht sogar die Benutzerkonten, identifizieren können, die Angreifer verwenden. Oder solche Eingaben sollten in einer Sprache wie STIX (Structured Threat Information eXpression) formatiert werden, die von Sicherheitstools schnell verarbeitet werden kann, um entsprechende Warnungen zu erzeugen.
Zweitens reicht es nicht aus, einfach gute Warnmeldungen zu generieren, obwohl das ein Anfang ist. Unternehmen müssen auch Rollen und Verantwortlichkeiten festlegen, damit diese Warnungen zeitnah untersucht werden. Viele erfolgreiche Einbrüche lösten zwar Warnungen in den angegriffenen Netzwerken aus, aber diese Warnungen wurden nicht beachtet, weil es Fragen der Verantwortung gab. Niemand wusste, wessen Aufgabe es war, zu reagieren, oder ging davon aus, dass sich jemand anderes um das Problem kümmerte.
Ein guter Ausgangspunkt für die Zuweisung von Verantwortlichkeiten ist die Annahme eines Notfall- und Wiederherstellungsplans, wie er vom National Institute of Standards and Technology (NIST) in der Sonderveröffentlichung 800-61 empfohlen wird. Es gibt noch weitere Referenzdokumente, einschließlich solcher, die für verschiedene Branchen spezifisch sind, und sie müssen nicht buchstabengetreu befolgt werden. Aber die Erstellung eines Plans, der festlegt, wer innerhalb einer Organisation auf Alarme reagiert und wie er dies zeitnah tut, ist von entscheidender Bedeutung.
Weitere Informationen über unzureichende Protokollierung und Überwachung
Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über unzureichende Protokollierung und Überwachung sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Sind Sie bereit, unzureichende Protokollierung und Überwachung zu finden, zu beheben und sofort zu beseitigen? Gehen Sie zu unserer Trainingsarena: [Hier starten]
Inhaltsverzeichnis
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
