가이드라인

로깅 및 모니터링이 충분하지 않음

로깅과 모니터링은 문제가 이미 발생했을 때 미처 고려하지 않는 경우가 많지만, 실제로 적절한 로깅 및 모니터링이 이루어지지 않으면 비용이 많이 들 수 있습니다.

극단적으로, 사고가 발생하면 (보안과 관련이 있든 없든) 로그가 거의 없거나 전혀 없으면 실제로 어떤 일이 발생했는지 파악할 수 없습니다.반대로 너무 많은 데이터를 기록하면 개인 정보 보호 문제가 발생하여 규제 기관과 문제가 발생할 수 있습니다.

아래에서는 로깅 및 모니터링을 개선하는 데 도움이 되는 몇 가지 모범 사례를 살펴보겠습니다.

이제 좋은 로깅 및 모니터링을 위한 몇 가지 모범 사례를 살펴보겠습니다.

로그인 시도 (시도 성공 여부), 사용자 계정 변경, 민감한 데이터 액세스/변경 및 기타 유사한 인스턴스와 같은 민감한 이벤트에 대한 감사 로그를 만드는 것이 중요합니다.이는 일반 사용자는 물론 내부/관리자 사용자도 모두 액세스할 수 있습니다.

내부자이든 외부인이든 관계없이 무단 액세스가 발생한 것으로 간주되는 경우 이러한 정보를 기록하는 것이 매우 중요합니다.

이러한 이벤트가 발생하면 이벤트의 규모와 범위를 파악하기 위해 누가 어떤 데이터에 액세스했는지 파악할 수 있는 것이 중요합니다.

오류 및 경고 로그는 애플리케이션의 상태를 모니터링하기 위한 일반적인 엔지니어링 모범 사례일 뿐만 아니라 경고 플래그 역할도 할 수 있습니다.

공격자가 취약점을 발견할 때 대량의 오류와 경고를 생성하는 경우가 많으며, 이를 통해 공격자가 애플리케이션에서 취약점을 발견했을 수 있음을 알 수 있습니다.

로그는 항상 중앙 집중식 장소에 실시간으로 전송 및 저장되어야 합니다.이는 SIEM에서 로그를 즉시 분석할 수 있도록 하는 동시에 서버를 손상시켰을 수 있는 공격자가 로그를 수정하거나 삭제하지 못하도록 하기 위한 것입니다.

안타깝게도 대부분의 보안 침해는 탐지하는 데 며칠이 걸리며 실제로 보안 침해 중 20% 는 시간이 걸립니다. 개월 감지하기.보안 침해에서 탐지에 이르는 시간이 그렇게 오래 걸리는 경우 어떤 일이 발생했는지 파악할 수 있는 유일한 데이터 소스가 로그인 경우가 많습니다.

따라서 잘 정의된 기간 동안 로그를 저장하는 것은 매우 중요합니다.PCI와 같은 표준에서는 3개월 이전의 로그에 거의 또는 전혀 지연 없이 액세스할 수 있도록 하는 반면, 12개월 이전의 로그는 요청 시 복원할 수 있어야 합니다.

이 접근 방식은 잠재적 사고 조사를 쉽게 시작할 수 있는 것과 로그의 콜드 스토리지를 통한 비용 관리 사이에서 적절한 균형을 이룹니다.

로그는 잠재적 인시던트를 조사하는 데 유용하지만 실제로는 로그 자체로도 인시던트가 발생할 수 있습니다.

사건을 조사하는 데 필요한 정보를 포함하는 것과 너무 많이 기록하는 것 사이에는 적절한 균형을 이룹니다.실수로 PII가 로그에 포함되면 개인 정보 보호 규정에 문제가 발생할 수 있기 쉽습니다.

PII에 대한 로그를 정기적으로 감사하고 제거되었는지 확인하는 것이 중요합니다.

‍