一、不足的监控和日志记录
不足的监控和日志记录,以及事件响应的缺失或无效的集成,使得攻击者能够进一步的攻击系统,保持持续性或转型更多的系统,以及篡改、提取或销毁数据。
大多数缺陷研究显示,缺陷被检测出来的时间大于200天,且通常通过外部检测方检测,而不是通过内部流程或者监控检测。内部检查能力不足,无法发现问题。
二、可能存在的风险点
- 未记录可审计性事件,如:登录、登录失败和高额交易
- 告警和错误的事件功能未能产生、或产生不足
- 日志信息仅储存在本地
- 没有利用系统API的日志信息来监控可以活动
- 对于实时或准时性攻击,无法检测、处理和告警
三、如何预防
- 确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去,并保留足够的用户上下文信息,以识别可疑或恶意账户,并为后期取证留够足够时间
- 确保日志以一种能被收集中日志管理解决方案使用的形式生成
- 确保高额交易有完整性控制的审计信息,以防止篡改或删除
- 例如审计信息保存在只能进行记录的数据库表中。建立有效的监控和告警机制,使可疑活动在可接受的时间被发现和应对。
四、案例
