A09: Fallas en el registro y el monitoreo de seguridad (by OWASP)

por
¿Qué es OWASP? Fundación de Código Abierto por la Seguridad de las Aplicaciones

Visión general

El registro y el monitoreo de seguridad provinieron de la encuesta de la comunidad Top 10 (# 3), un poco más arriba que la décima posición en el OWASP Top 10 2017. El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando entrevistas o preguntando si se detectaron ataques durante una penetración. prueba. No hay muchos datos CVE/CVSS para esta categoría, pero es fundamental detectar y responder a las infracciones. Aún así, puede tener un gran impacto para la rendición de cuentas, la visibilidad, las alertas de incidentes y el análisis forense. Esta categoría se expande más allá de CWE-778 Registro insuficiente para incluir CWE-117 Neutralización de salida inadecuada para registros , CWE-223 Omisión de información relevante para la seguridad y CWE-532 Inserción de información confidencial en el archivo de registro .

Descripción

Volviendo al OWASP Top 10 2021, esta categoría es para ayudar a detectar, escalar y responder a infracciones activas. Sin registro y supervisión, no se pueden detectar las infracciones. El registro, la detección, la supervisión y la respuesta activa son insuficientes en cualquier momento:

  • Los eventos auditables, como inicios de sesión, inicios de sesión fallidos y transacciones de alto valor, no se registran.

  • Las advertencias y los errores generan mensajes de registro inexistentes, inadecuados o poco claros.

  • Los registros de aplicaciones y API no se supervisan en busca de actividad sospechosa.

  • Los registros solo se almacenan localmente.

  • Los umbrales de alerta apropiados y los procesos de escalada de respuesta no están implementados o no son efectivos.

  • Las pruebas de penetración y los análisis realizados por herramientas de pruebas de seguridad de aplicaciones dinámicas (DAST) (como OWASP ZAP) no activan alertas.

  • La aplicación no puede detectar, escalar ni alertar sobre ataques activos en tiempo real o casi en tiempo real.

Es vulnerable a la fuga de información al hacer que los eventos de registro y alerta sean visibles para un usuario o un atacante (consulte A01:2021-Control de acceso roto ).

Como prevenir

Los desarrolladores deben implementar algunos o todos los siguientes controles, según el riesgo de la aplicación:

  • Asegúrese de que todas las fallas de inicio de sesión, control de acceso y validación de entrada del lado del servidor puedan registrarse con suficiente contexto de usuario para identificar cuentas sospechosas o maliciosas y retenerse durante el tiempo suficiente para permitir un análisis forense retrasado.

  • Asegúrese de que los registros se generen en un formato que las soluciones de administración de registros puedan consumir fácilmente.

  • Asegúrese de que los datos de registro estén codificados correctamente para evitar inyecciones o ataques en los sistemas de registro o monitoreo.

  • Asegúrese de que las transacciones de alto valor tengan un seguimiento de auditoría con controles de integridad para evitar la manipulación o la eliminación, como tablas de base de datos de solo agregar o similares.

  • Los equipos de DevSecOps deben establecer un monitoreo y alertas efectivos para que las actividades sospechosas se detecten y se responda rápidamente.

  • Establezca o adopte un plan de recuperación y respuesta a incidentes, como el Instituto Nacional de Estándares y Tecnología (NIST) 800-61r2 o posterior.

Existen marcos de protección de aplicaciones comerciales y de código abierto, como OWASP ModSecurity Core Rule Set, y software de correlación de registros de código abierto, como Elasticsearch, Logstash, Kibana (ELK), que cuentan con paneles personalizados y alertas.

Ejemplos de escenarios de ataque

Escenario n.º 1: el operador del sitio web de un proveedor de planes de salud para niños no pudo detectar una infracción debido a la falta de supervisión y registro. Una parte externa informó al proveedor del plan de salud que un atacante había accedido y modificado miles de registros de salud confidenciales de más de 3,5 millones de niños. Una revisión posterior al incidente encontró que los desarrolladores del sitio web no habían abordado vulnerabilidades significativas. Como no hubo registro ni monitoreo del sistema, la violación de datos podría haber estado en progreso desde 2013, un período de más de siete años.

Escenario n.º 2: una importante aerolínea india tuvo una filtración de datos que involucró más de diez años de datos personales de millones de pasajeros, incluidos datos de pasaportes y tarjetas de crédito. La violación de datos ocurrió en un proveedor de alojamiento en la nube de terceros, que notificó a la aerolínea sobre la violación después de un tiempo.

Escenario n.º 3: una importante aerolínea europea sufrió una infracción denunciable del RGPD. Según se informa, la brecha fue causada por las vulnerabilidades de seguridad de la aplicación de pago explotadas por los atacantes, que recolectaron más de 400,000 registros de pago de clientes. La aerolínea fue multada con 20 millones de libras como resultado por parte del regulador de privacidad.

Referencias

Lista de CWE mapeados

CWE-117 Neutralización de salida incorrecta para registros

CWE-223 Omisión de información relevante para la seguridad

CWE-532 Inserción de información confidencial en el archivo de registro

CWE-778 Registro insuficiente

Más información: OWASP ORG

Relacionado

14 Mejores Sitios Web en los que Aprender a Hackear

Las mejores páginas en las que practicar y aprender sobre la realización de ataques de Hacking Ético. 1. Pwn College pwn.college es una plataforma educativa de etapa temprana para estudiantes de conceptos básicos de ciberseguridad Pwn.college es una plataforma educativa para estudiantes (y otras personas interesadas) en aprender y practicar los conceptos básicos de ciberseguridad de manera práctica. Pwn.college, está diseñado para ¡SEGUIR LEYENDO!

15.000 Sitios WordPress pirateados por campaña masiva de envenenamiento SEO

Piratas informáticos están llevando a cabo una campaña masiva de optimización de motores de búsqueda (SEO) de sombrero negro, comprometiendo casi a 15.000 sitios web para redirigir a los visitantes a foros de discusión de preguntas y respuestas falsos. Los ataques fueron detectados por primera vez por Sucuri, quien dice que cada sitio comprometido contiene aproximadamente 20.000 archivos utilizados como parte de la campaña de spam ¡SEGUIR LEYENDO!

30.000 Organizaciones hackeadas por un ataque a través de Microsoft Exchange Server

En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha ¡SEGUIR LEYENDO!

45K de Servidores Jenkins Expuestos a Ataques de Ejecución Remota de código (RCE) mediante Exploits

En hallazgos recientes, los investigadores de seguridad han descubierto aproximadamente 45,000 instancias de Jenkins expuestas en línea, susceptibles a CVE-2024-23897. Esta vulnerabilidad crítica de ejecución remota de código (RCE) ha generado preocupaciones debido a la existencia de múltiples exploits de prueba de concepto (PoC) públicos. ¿Qué es Jenkins? Jenkins es un destacado servidor de automatización de código abierto para Integración Continua/Despliegue Continuo (CI/CD). Los desarrolladores utilizan ¡SEGUIR LEYENDO!

5 Cosas que los principales cazarrecompensas de bugs hacen de manera diferente

Compartimos algunos ejemplos conocidos y públicos de piratas informáticos que trabajan con empresas para demostrar hasta dónde han llegado en la industria. Aquí tienes 5 cosas que los principales cazarrecompensas de bugs hacen de manera diferente: Ellos saben cómo construir Algunos de los mejores hackers dicen que aprendieron a hackear antes de saber programar. La verdad, es que en realidad eso no importa, pero los piratas ¡SEGUIR LEYENDO!

5 Pasos para Mejorar la Seguridad en Microsoft Teams

En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!

6 Herramientas que te harán dejar de ser un hacker de sombrero negro

En este artículo se exploran las mejores herramientas programadas para ser lanzadas por investigadores de hacking ético. Si quieres comenzar en el mundo del hacking ético o dejar de ser un hacker black hat este puede ser un gran punto de partida. OpenCanary OpenCanary, es un honeypot de código abierto, junto con scripts y utilidades de apoyo. El programa se basa en un demonio que ejecuta ¡SEGUIR LEYENDO!

9 Amenazas Clave para la Seguridad Informática en 2024

Los ataques a la cadena de suministros, las campañas de desinformación, el malware móvil y las filtraciones de datos a gran escala son solo algunas de las grandes amenazas a tener en cuenta para el próximo año. En 2021, los ciberdelincuentes se aprovecharon de la pandemia del coronavirus, el cambio en curso hacia el trabajo remoto y la vulnerabilidad de las organizaciones al ransomware. En 2022, ¡SEGUIR LEYENDO!

¿Qué significa AAA? Autentificación, autorización y contabilidad

La autenticación, autorización y contabilidad (AAA) es un sistema para rastrear las actividades de los usuarios en una red basada en IP y controlar su acceso a los recursos de la red. AAA a menudo se implementa como un servidor dedicado. Es un marco utilizado para controlar y rastrear el acceso dentro de una red informática. Este término también se conoce como el Protocolo AAA y ¡SEGUIR LEYENDO!

¿Qué significa ABAC? Control de acceso basado en atributos

El control de acceso basado en atributos (ABAC) es un enfoque diferente al control de acceso en el que los derechos de acceso se otorgan mediante el uso de políticas compuestas por atributos que trabajan juntos. ABAC utiliza atributos como bloques de construcción para definir reglas de control de acceso y solicitudes de acceso. Esto se hace a través de un lenguaje estructurado llamado Lenguaje de ¡SEGUIR LEYENDO!

Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware

Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!

Deja un comentario