Les codeurs conquièrent la sécurité : série Share & Learn - Journalisation et surveillance insuffisantes
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
목차
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
