Les codeurs conquièrent la sécurité : série Share & Learn - Journalisation et surveillance insuffisantes
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
En explorant les sujets abordés dans ces blogs, nous avons découvert de nombreuses vulnérabilités dangereuses et exploits malveillants que les pirates informatiques utilisent pour attaquer les réseaux et contourner les défenses. Ils vont de l'exploitation des faiblesses des langages de programmation à l'injection de code dans différents formats, en passant par le détournement de données en transit. Il s'agit d'un large éventail de menaces, mais chaque fois que l'une d'entre elles réussit, un élément commun est souvent partagé entre les applications de sa victime.
Une journalisation et une surveillance insuffisantes constituent l'une des conditions les plus dangereuses qui puissent exister au sein de la structure défensive d'une application. Si cette vulnérabilité ou cette condition existe, presque toutes les attaques avancées lancées contre elle finiront par réussir. L'insuffisance de la journalisation et de la surveillance signifie que les attaques ou les tentatives d'attaques ne sont pas découvertes pendant très longtemps, voire pas du tout. Cela donne essentiellement aux attaquants le temps dont ils ont besoin pour trouver une vulnérabilité utile et l'exploiter.
Dans cet épisode, nous allons apprendre :
- Comment les attaquants peuvent utiliser une journalisation et une surveillance insuffisantes
- Pourquoi une journalisation et une surveillance insuffisantes sont dangereuses
- Techniques permettant de corriger cette vulnérabilité.
Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?
Au début, les attaquants ne savent pas si un système est correctement surveillé ou si les fichiers journaux sont examinés pour détecter toute activité suspecte. Mais c'est assez facile pour eux de le découvrir. Ce qu'ils font parfois, c'est lancer une forme d'attaque inélégante de type force brute, en interrogeant peut-être une base de données utilisateur pour les mots de passe couramment utilisés. Ensuite, ils attendent quelques jours et tentent à nouveau le même type d'attaque. S'ils ne sont pas empêchés de le faire la deuxième fois, c'est une bonne indication que personne ne surveille attentivement les fichiers journaux pour détecter toute activité suspecte.
Même s'il est relativement simple de tester les défenses d'une application et d'évaluer le niveau de surveillance active en cours, cela n'est pas une condition préalable à la réussite des attaques. Ils peuvent simplement lancer leurs attaques de manière à faire le moins de bruit possible. Le plus souvent, la combinaison d'un trop grand nombre d'alertes, d'une fatigue liée aux alertes, de mauvaises configurations de sécurité ou simplement d'une pléthore de vulnérabilités exploitables signifie qu'ils auront tout le temps nécessaire pour atteindre leurs objectifs avant même que les défenseurs ne s'en rendent compte.
Pourquoi une journalisation et une surveillance insuffisantes sont-elles dangereuses ?
Une journalisation et une surveillance insuffisantes sont dangereuses car elles donnent aux attaquants le temps non seulement de lancer leurs attaques, mais aussi d'atteindre leurs objectifs bien avant que les défenseurs ne puissent lancer une riposte. La durée dépend du réseau attaqué, mais différents groupes, tels que l'Open Web Application Security Project (OWASP), évaluent le temps de réponse moyen des réseaux piratés à 191 jours ou plus.
Pensez-y un instant. Que se passerait-il si des braqueurs bloquaient une banque, que les gens appelaient la police et qu'il leur fallait six mois pour réagir ?
Les voleurs auraient disparu depuis longtemps à l'arrivée de la police. En fait, cette même banque peut être cambriolée de nombreuses fois avant même que la police ne réagisse au premier incident.
Il en va de même pour la cybersécurité. La plupart des violations très médiatisées dont vous entendez parler dans les journaux télévisés n'étaient pas des opérations de type « smash and grab ». Souvent, l'organisation ciblée n'apprend l'existence d'une violation que lorsque les attaquants ont eu le contrôle plus ou moins total des données pendant des mois, voire des années. Cela fait de l'insuffisance de la journalisation et de la surveillance l'une des situations les plus dangereuses qui puissent se produire lorsque l'on essaie de mettre en œuvre une bonne cybersécurité.
Éliminer l'insuffisance de la journalisation et de la surveillance
La prévention d'une journalisation et d'une surveillance insuffisantes nécessite deux choses principales. Tout d'abord, toutes les applications doivent être créées avec la capacité de surveiller et d'enregistrer les échecs de validation des entrées côté serveur avec suffisamment de contexte utilisateur pour que les équipes de sécurité puissent identifier les outils et les techniques, sinon les comptes utilisateurs, utilisés par les attaquants. Ces entrées doivent également être formatées dans un langage tel que STIX (Structured Threat Information eXpression), qui peut être rapidement traité par des outils de sécurité pour générer des alertes appropriées.
Deuxièmement, il ne suffit pas de générer de bonnes alertes, même si c'est un début. Les organisations doivent également définir des rôles et des responsabilités afin que ces alertes soient examinées en temps opportun. De nombreuses violations réussies ont en fait déclenché des alertes sur les réseaux attaqués, mais ces avertissements n'ont pas été pris en compte pour des questions de responsabilité. Personne ne savait à qui il appartenait de répondre, ni n'a supposé que quelqu'un d'autre étudiait le problème.
Un bon point de départ pour attribuer des responsabilités est d'adopter un plan de réponse aux incidents et de reprise, comme celui recommandé par le National Institute of Standards and Technology (NIST) dans publication spéciale 800-61. Il existe d'autres documents de référence, y compris des documents spécifiques à diverses industries, et il n'est pas nécessaire de les suivre à la lettre. Mais il est essentiel d'élaborer un plan définissant qui, au sein d'une organisation, répond aux alertes et comment ils s'y prennent en temps opportun.
Informations supplémentaires sur la journalisation et la surveillance insuffisantes
Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de journalisation et surveillance insuffisantes. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Êtes-vous prêt à détecter, corriger et éliminer les problèmes de journalisation et de surveillance insuffisants dès maintenant ? Dirigez-vous vers notre arène d'entraînement : [Commencez ici]
目次
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
