Insufficient Logging and Monitoring
Inhaltsverzeichnis
Was ist Insufficient Logging and Monitoring?
Insufficient Logging and Monitoring (Unzureichende Protokollierung und Überwachung) ist eine oft vorkommende Sicherheitsproblematik bei Webanwendungen. Sie wird regelmäßig in der OWASP Top 10 erwähnt, einer Liste häufiger Sicherheitsprobleme von Webanwendungen, die von der Non-Profit-Organisation Open Web Application Security Projects zusammengestellt wird.
Beschreibung von Insufficient Logging and Monitoring
Es stellt keine direkte Angreifbarkeit dar, sondern eine Gefahr durch Mangel an Nutzung bewährter Verfahren, die Sicherheitsverletzungen verhindern können oder dabei helfen, diese schneller aufzudecken. Insufficient Logging and Monitoring umfasst das fehlende Protokollieren von Ereignissen ebenso wie Protokolle, die nicht ordnungsgemäß gespeichert und ausgewertet werden, und Warnungen, bei denen innerhalb einer angemessenen Zeit keine Maßnahmen ergriffen werden.
Auswirkungen
Im Jahr 2016 betrug die durchschnittliche Zeit bis zur Entdeckung eines Angriffs 191 Tage. Wenn eine Sicherheitsverletzung nicht rechtzeitig entdeckt wird, haben die Angreifer Zeit, weiterzumachen und die gestohlenen Daten länger für bösartige Zwecke zu verwenden. Wenn die Verstöße früher entdeckt würden, könnten die Auswirkungen drastisch minimiert werden.
Vermeidung
Viele Anwendungen und Systeme erzeugen bereits standardmäßig Protokolle, aber ohne ordnungsgemäße Routinen zur Erfassung und Auswertung bietet diese Protokollierung nur einen geringen Wert. Um dies zu vermeiden, ist sicherzustellen, dass Routinen für den Umgang mit den Protokollen aller Anwendungen und Systeme vorhanden sind. Insbesondere müssen sensible Aktionen protokolliert werden. Dazu gehören Anmeldungen, Transaktionen, Kennwortänderungen, u. a. Dies ist nützlich, wenn ein Angriff anschließend untersucht wird.
Es ist sicherzustellen, dass die Protokolle gespeichert und als Backup mit einem anderen Server synchronisiert werden. Ein Angreifer sollte nicht in der Lage sein, Protokolle zu löschen, nachdem der Server gehackt wurde.
Hinweis
Wenn Sie noch weiter Informationen bezüglich des Themas Backup benötigen, können Sie sich gerne auf unserem Glossar darüber oder auch über andere Themen weiterbilden.
Zumindest die wichtigsten Protokolle sind regelmäßig zu überprüfen. Darüber hinaus kann dieser Prozess automatisiert werden. Es sollte ein Mechanismus vorhanden sein, der eine Benachrichtigung auslöst, sobald bestimmte Warnungen auftreten oder wenn eine bestimmte Warnschwelle erreicht wurde, damit die richtigen Maßnahmen ergriffen werden können.
FAQ
Was ist Insufficient Logging and Monitoring?
Insufficient Logging and Monitoring ist eine oft vorkommende Sicherheitsproblematik bei Webanwendungen.
Wie können Sie Insufficient Logging and Monitoring vermeiden?
Sie müssen sicherstellen, dass Routinen für den Umgang mit den Protokollen aller Anwendungen und Systeme vorhanden sind.
Sie haben noch Fragen?