코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 로깅 및 모니터링
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
우리는이 블로그에서 주제를 탐구하는 동안, 우리는 해커가 네트워크를 공격하고 방어를 우회하기 위해 사용하는 몇 가지 위험한 취약점과 악의적 인 악용을 발견했습니다. 프로그래밍 언어의 약점을 악용하고, 다양한 형식을 사용하여 코드를 주입하고, 전송 중의 데이터를 납치하는 것까지 꽤 영역을 실행합니다. 그것은 위협의 꽤 범위, 하지만 그들 중 하나가 성공할 때마다, 종종 그들의 피해자의 응용 프로그램 사이 공유 하는 하나의 일반적인 구성 요소가 있다.
부족한 로깅 및 모니터링은 응용 프로그램의 방어 구조 내에 존재할 수 있는 가장 위험한 조건 중 하나입니다. 이 취약점이나 조건이 존재하면, 그것에 대해 만든 거의 모든 고급 공격이 결국 성공할 것입니다. 로깅 및 모니터링이 충분하지 않으면 공격이나 시도된 공격이 매우 오랜 시간 동안 발견되지 않음을 의미합니다. 기본적으로 공격자에게 유용한 취약점을 찾아 악용하는 데 필요한 시간을 제공합니다.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 부족한 로깅 및 모니터링을 사용하는 방법
- 로깅 및 모니터링이 부족한 이유
- 이 취약점을 해결할 수 있는 기술입니다.
공격자는 부족한 로깅 및 모니터링을 어떻게 악용합니까?
처음에 공격자는 시스템이 제대로 모니터링되고 있는지 또는 의심스러운 활동에 대해 로그 파일을 검사하고 있는지 알 수 없습니다. 그러나 그들이 알아 내기에 충분히 쉽습니다. 그들이 때때로 할 일은 일반적으로 사용되는 암호에 대한 사용자 데이터베이스를 쿼리, 공격의 우아하지 않은, 무차별 힘 유형의 어떤 형태를 시작하는 것입니다. 그런 다음 며칠을 기다렸다가 같은 종류의 공격을 다시 시도합니다. 두 번째로 차단되지 않으면 의심스러운 활동을 위해 로그 파일을 주의 깊게 모니터링하지 않는다는 좋은 표시입니다.
응용 프로그램의 방어를 테스트하고 활성 모니터링 수준을 측정하는 것은 비교적 간단하지만 성공적인 공격의 요구 사항은 아닙니다. 그들은 단순히 가능한 한 작은 소음을 만들기 위해 같은 방법으로 자신의 공격을 시작할 수 있습니다. 더 자주, 너무 많은 경고의 조합, 경고 피로, 가난한 보안 구성 또는 단순히 악용 취약점의 과다 그들은 심지어 수비수가 그들이 있다는 것을 깨닫기 전에 자신의 목표를 완료 할 수있는 충분한 시간이있을 것을 의미.
부족한 로깅 및 모니터링이 위험한 이유는 무엇입니까?
공격자가 공격을 시작할 뿐만 아니라 수비수가 응답을 시작하기 훨씬 전에 목표를 완료할 수 있는 시간을 제공하기 때문에 로깅 및 모니터링이 충분하지 않습니다. 공격된 네트워크에 따라 걸리는 시간은 다르지만, OWASP(개방형 웹 응용 프로그램 보안 프로젝트)와 같은 다른 그룹은 191일 이상 위반된 네트워크의 평균 응답 시간을 제공합니다.
잠시 생각해 보십시오. 강도가 은행을 들고, 사람들은 경찰에 전화하고, 응답하는 데 반 년이 걸렸다면 어떻게 될까요?
강도는 경찰이 도착했을 때 오래 사라질 것입니다. 사실, 경찰이 첫 번째 사건에 대응하기 전에 같은 은행이 더 많은 시간을 강탈 할 수 있습니다.
사이버 보안에서도 마찬가지입니다. 뉴스에서 듣는 높은 프로필 위반의 대부분은 스매시 및 운영의 유형을 잡아 아니었다. 종종 대상 조직은 공격자가 몇 달 또는 몇 년 동안 데이터를 어느 정도 완전히 제어 한 후에만 위반에 대해 알게됩니다. 따라서 좋은 사이버 보안을 연습할 때 발생할 수 있는 가장 위험한 상황 중 하나로 로깅 및 모니터링이 부족합니다.
부족한 로깅 및 모니터링 제거
로깅 및 모니터링이 충분하지 않도록 하려면 두 가지 주요 사항이 필요합니다. 첫째, 보안 팀이 공격자가 사용하는 도구와 기술을 식별할 수 있는 충분한 사용자 컨텍스트를 사용하여 서버 측 입력 유효성 검사 오류를 모니터링하고 기록하는 기능으로 모든 응용 프로그램을 만들어야 합니다. 또는 이러한 입력은 적절한 경고를 생성하기 위해 보안 도구에 의해 신속하게 처리할 수 있는 STIX(구조화된 위협 정보 eXpression)와 같은 언어로 포맷되어야 합니다.
둘째, 단순히 좋은 경고를 생성 하는 충분 하지 않습니다., 비록 그 시작. 조직은 또한 이러한 경고를 적시에 조사할 수 있도록 역할과 책임을 수립해야 합니다. 많은 성공적인 위반은 실제로 공격 네트워크에 경고를 트리거하지만, 그 경고는 책임의 질문으로 인해 주의되지 않았다. 아무도 누구의 직업이 응답해야 하는지 알지 못했다, 또는 다른 사람이 문제를 조사하고 있다고 가정.
책임 할당할 때 시작하기에 좋은 장소는 특별 간행물 800-61에서국가 표준 기술 연구소 (NIST)가 권장하는 것과 같은 사고 대응 및 복구 계획을 채택하는 것입니다. 다양한 산업과 관련된 참조 문서를 포함한 다른 참조 문서가 있으며 편지를 따를 필요가 없습니다. 그러나 조직 내에서 경고에 응답하는 사람과 적시에 이 작업을 수행하는 방법을 정의하는 계획을 세우는 것이 중요합니다.
부족한 로깅 및 모니터링에 대한 자세한 정보
추가 읽기를 위해 OWASP가 부족한 로깅 및 모니터링에대해 말하는 내용을 살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
지금 당장 부족한 로깅 및 모니터링을 찾고 수정하고 제거할 준비가 되셨습니까? 트레이닝 경기장으로 향하십시오: [여기에서 시작]
시작할 수 있는 리소스
보안 기술 벤치마킹: 기업에서 보안 설계 간소화
보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.
