실패한 모든 인증 시도, 액세스 거부 및 입력 유효성 검사 오류로 인해 실패한 사이버 보안 계획의 결과로 로깅 및 모니터링 결함이 부족합니다. 프로덕션 환경의 다른 지점에서 발생할 수 있지만 잘못된 로그인 시도를 중지하지 못한 것과 가장 관련이 있습니다.

사이버 보안 팀이 공격에 대해 알지 못하기 때문에 공격에 대응하지 않는다는 것을 의미하기 때문에 위험한 취약점입니다. 이를 통해 공격자는 시스템을 더 관통하거나 자격 증명을 업그레이드하는 동안 눈에 띄지 않게 유지될 수 있습니다. 사실 적절한 로깅 및 모니터링이 없으면 공격을 감지하고 중지하는 것이 매우 어렵거나 불가능해집니다.

지금 도전으로 기술을 테스트 할 준비가 되셨습니까? 이것 좀 확인해 주세요:

공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?

모든 API는 로깅 수준이 올바르게 설정되지 않은 경우, 너무 낮게 설정된 경우, 오류 메시지에 충분한 세부 정보를 포함하지 않거나 로깅 기능이 전혀 없는 경우 부족한 로깅 및 모니터링에 취약합니다.

흥미로운 예는 해커가 웹 사이트 또는 서비스에 대한 손상된 사용자 이름의 큰 목록을 얻은 경우입니다. 실험을 통해 시스템을 잠그기 전에 세 번의 로그인 시도가 필요하고 사이버 보안 담당자에게 통보되기 전에 세 번의 로그인 시도가 필요하다는 것을 알 수 있습니다.

이 정보로 무장한 그들은 대신 단일 계정을 무력화하는 대신 "123456" 또는 "암호"와 같은 일반적인 암호를 사용하여 손상된 목록의 모든 이름으로 로그인하기 위해 스크립트를 작성할 수 있습니다. 트릭은 잠금 및 경고에 대한 임계값 이하로 유지, 한 번, 또는 두 번 각 사용자 이름을 시도한다는 것입니다. 운이 좋다면 박쥐에서 적어도 몇 개의 암호를 손상시킬 수 있습니다. 그 후, 그들은 단순히 재설정 하 고 "qwerty" 또는 "신"과 같은 다른 암호를 사용 하 여 프로세스를 다시 실행 하는 로그인 카운터에 대 한 하루를 기다립니다. 관리자가 자신이 하는 일을 감지하지 못하면 공격자는 목록을 여러 번 살펴보고 결국 대부분의 계정을 약한 암호로 손상시킬 수 있습니다.

OWASP제공 예에서 비디오 공유 플랫폼이 부족한 로깅 및 모니터링 취약점을 악용하는 자격 증명 스터핑 공격을 사용하여 공격을 받은 예에서 발생했습니다. 회사가 사용자 불만을 제기하기 시작하기 전까지는 공격이 일어나고 있다는 것을 전혀 알지 못했습니다. 결국, 그들은 API 로그에서 증거를 발견하고 모든 사용자에게 강제 암호 변경 알림을 발행하고 규제 당국에 공격을보고해야했습니다.  

부족한 로깅 및 모니터링 취약점 제거

자동화 및 지속적인 모니터링은 이 취약점을 종식시키는 데 도움이 될 수 있습니다. 시작하려면 실패한 모든 인증 시도를 기록해야 합니다. 또한 이 로그는 STIX 및 TAXII와 같이 기계가 읽을 수 있는 형식으로 넣어 사용 임계값에 관계없이 공격을 검색하도록 훈련된 SIEM(보안 정보 및 이벤트 관리) 시스템으로 수집할 수 있어야 합니다.

또한 로그 파일을 보호해야 합니다. 중요한 정보로 취급하고 공격자의 삭제 또는 수정으로부터 보호합니다. 좋은 정책은 로그 파일을 백업하고 암호화하는 것입니다.

마지막으로 의심스러운 활동을 가능한 한 빨리 감지하고 응답할 수 있도록 사용자 지정 대시보드 및 경고를 만듭니다. 시스템에서 공격자의 시간을 제거하면 낮고 느린 공격 기술을 사용하여 탐지되지 않은 상태로 유지하는 기능을 제거합니다.

체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.