程序员征服安全:分享与学习系列-日志记录和监控不足
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
%20(1).avif)
.avif)
