OWASP Top 10 частина 9: Security Logging and Monitoring Failures

Стаття стосується вразливостей, пов’язаних із логуванням та моніторингом безпеки. У ній розглядаються типові помилки в логуванні, такі як недостатнє логування, відсутність моніторингу або ненадійний доступ до логів.

Помилки в логуванні та моніторингу безпеки – це недоліки у системах моніторингу та запису подій безпеки.

1. Недостатнє логування

• Опис: Логування не забезпечує достатнього рівня деталізації для виявлення та розслідування інцидентів.

• Приклад: Відсутність запису важливих подій або недостатня деталізація в журналах подій.

2. Відсутність моніторингу

• Опис: Відсутність постійного моніторингу для виявлення аномальних або небезпечних подій.

• Приклад: Веб-додаток не має налаштованого моніторингу для виявлення підозрілих запитів або спроб доступу.

3. Ненадійний доступ до логів

• Опис: Ненадійний доступ до журналів подій, що дозволяє зловмисникам маніпулювати або видаляти записи.

• Приклад: Логи зберігаються у відкритому доступі без належного захисту, що дозволяє зловмисникам їх змінювати або видаляти.

1. Disabled Logging

Blue team

Логування повинно бути активоване для моніторингу подій і аномалій у системі. Для цього налаштуйте логування в Nginx, перевіривши, що у конфігураційному файлі /etc/nginx/nginx.conf ввімкнено логування доступу та помилок. Це дозволить фіксувати всі важливі події та допоможе виявляти потенційні загрози.

Red team

Зловмисники можуть намагатися відключити або видалити журнали, щоб приховати свої сліди. Варто перевірити, чи є в системі можливість вимкнення логування. Для цього використовуйте команди для зміни конфігураційних файлів і спостерігайте, як система реагує на ці зміни. Це дозволить виявити потенційні слабкі місця в логуванні.

2. Warnings/Errors Generate Bad or Unclear Log Messages

Blue team

Повідомлення про помилки повинні бути чіткими і корисними для діагностики проблем. Налаштування Sentry для обробки помилок PHP:

Налаштуйте Sentry або подібні інструменти для моніторингу та сповіщення про помилки, забезпечте детальні повідомлення.

Red team

Тестування системи на можливість генерації нечітких або загальних повідомлень про помилки. Використовуйте некоректні запити для перевірки, чи система генерує загальні помилки:

Спостерігайте за помилками та перевіряйте їх чіткість і корисність для атакуючих.

 3. Logs are Only Stored Locally

Blue team

Логи слід зберігати в централізованій системі для запобігання їх видаленню під час атаки. Налаштування ELK Stack (Elasticsearch, Logstash, Kibana) для централізованого зберігання логів.

Red team

Тестування на можливість видалення локальних логів або впливу на їх зберігання. Спробуйте видалити або модифікувати локальні логи: