Insufficient Logging and Monitoring

Was ist Insufficient Logging and Monitoring?

Insufficient Logging and Monitoring (Unzureichende Protokollierung und Überwachung) ist eine oft vorkommende Sicherheitsproblematik bei Webanwendungen. Sie wird regelmäßig in der OWASP Top 10 erwähnt, einer Liste häufiger Sicherheitsprobleme von Webanwendungen, die von der Non-Profit-Organisation Open Web Application Security Projects zusammengestellt wird.

Beschreibung

Insufficient Logging and Monitoring stellt keine direkte Angreifbarkeit dar, sondern eine Gefahr durch Mangel an Nutzung bewährter Verfahren, die Sicherheitsverletzungen verhindern können oder dabei helfen, diese schneller aufzudecken. Insufficient Logging and Monitoring umfasst das fehlende Protokollieren von Ereignissen ebenso wie Protokolle, die nicht ordnungsgemäß gespeichert und ausgewertet werden, und Warnungen, bei denen innerhalb einer angemessenen Zeit keine Maßnahmen ergriffen werden.

Auswirkungen

Im Jahr 2016 betrug die durchschnittliche Zeit bis zur Entdeckung eines Angriffs 191 Tage. Wenn eine Sicherheitsverletzung nicht rechtzeitig entdeckt wird, haben die Angreifer Zeit, weiterzumachen und die gestohlenen Daten länger für bösartige Zwecke zu verwenden. Wenn die Verstöße früher entdeckt würden, könnten die Auswirkungen drastisch minimiert werden.

Vermeidung

Viele Anwendungen und Systeme erzeugen bereits standardmäßig Protokolle, aber ohne ordnungsgemäße Routinen zur Erfassung und Auswertung bietet diese Protokollierung nur einen geringen Wert. Um Insufficient Logging and Monitoring zu vermeiden, ist sicherzustellen, dass Routinen für den Umgang mit den Protokollen aller Anwendungen und Systeme vorhanden sind. Insbesondere müssen sensible Aktionen protokolliert werden. Dazu gehören Anmeldungen, Transaktionen, Kennwortänderungen, u. a. Dies ist nützlich, wenn ein Angriff anschließend untersucht wird.

Es ist sicherzustellen, dass die Protokolle gespeichert und als Backup mit einem anderen Server synchronisiert werden. Ein Angreifer sollte nicht in der Lage sein, Protokolle zu löschen, nachdem der Server gehackt wurde.

Zumindest die wichtigsten Protokolle sind regelmäßig zu überprüfen. Darüber hinaus kann dieser Prozess automatisiert werden. Es sollte ein Mechanismus vorhanden sein, der eine Benachrichtigung auslöst, sobald bestimmte Warnungen auftreten oder wenn eine bestimmte Warnschwelle erreicht wurde, damit die richtigen Maßnahmen ergriffen werden können.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte