记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上，但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞，因为它意味着网络安全团队不会对攻击作出反应，因为他们不知道这些攻击。这给了攻击者一个很大的优势，让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上，如果没有适当的记录和监控，就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗？看看这个吧。

攻击者如何利用不充分的记录和监控？

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能，任何API都容易出现日志和监控不足的问题。

一个有趣的例子是，如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验，他们可以发现，在他们被锁定在系统之外，以及在网络安全人员被通知之前，需要三次失败的登录尝试。

有了这些信息，他们就可以编写一个脚本，使用 "123456 "或 "password "等常见的密码，尝试以被入侵名单上的每个名字登录，而不是试图对单个账户进行暴力攻击。诀窍是，他们只尝试每个用户名一次，或者两次，保持在锁定和警报的阈值以下。如果他们运气好的话，他们至少会在一开始就泄露几个密码。之后，他们只需等待一天，让登录计数器复位，然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么，攻击者可以多次通过列表，并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中，一个视频共享平台被攻击，利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前，它不知道这种攻击正在发生。最终，他们在API日志中发现了证据，不得不向所有的用户发出强制更改密码的通知，并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先，所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式，如STIX和TAXII，这样它就可以被纳入安全信息和事件管理（SIEM）系统，该系统经过培训，无论使用何种阈值，都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息，保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件，也要对它们进行加密。

最后，创建自定义仪表板和警报，以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间，你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

。 Secure Code Warrior博客页面，了解有关这一漏洞的更多见解，以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台，以保持你所有的网络安全技能得到磨练和更新。