코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 로깅 및 모니터링
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
야프 카란 싱
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 로깅 및 모니터링
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
