A09: Fallas en el registro y el monitoreo de seguridad (by OWASP)

Visión general

El registro y el monitoreo de seguridad provinieron de la encuesta de la comunidad Top 10 (# 3), un poco más arriba que la décima posición en el OWASP Top 10 2017. El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando entrevistas o preguntando si se detectaron ataques durante una penetración. prueba. No hay muchos datos CVE/CVSS para esta categoría, pero es fundamental detectar y responder a las infracciones. Aún así, puede tener un gran impacto para la rendición de cuentas, la visibilidad, las alertas de incidentes y el análisis forense. Esta categoría se expande más allá de CWE-778 Registro insuficiente para incluir CWE-117 Neutralización de salida inadecuada para registros , CWE-223 Omisión de información relevante para la seguridad y CWE-532 Inserción de información confidencial en el archivo de registro .

Descripción

Volviendo al OWASP Top 10 2021, esta categoría es para ayudar a detectar, escalar y responder a infracciones activas. Sin registro y supervisión, no se pueden detectar las infracciones. El registro, la detección, la supervisión y la respuesta activa son insuficientes en cualquier momento:

  • Los eventos auditables, como inicios de sesión, inicios de sesión fallidos y transacciones de alto valor, no se registran.

  • Las advertencias y los errores generan mensajes de registro inexistentes, inadecuados o poco claros.

  • Los registros de aplicaciones y API no se supervisan en busca de actividad sospechosa.

  • Los registros solo se almacenan localmente.

  • Los umbrales de alerta apropiados y los procesos de escalada de respuesta no están implementados o no son efectivos.

  • Las pruebas de penetración y los análisis realizados por herramientas de pruebas de seguridad de aplicaciones dinámicas (DAST) (como OWASP ZAP) no activan alertas.

  • La aplicación no puede detectar, escalar ni alertar sobre ataques activos en tiempo real o casi en tiempo real.

Es vulnerable a la fuga de información al hacer que los eventos de registro y alerta sean visibles para un usuario o un atacante (consulte A01:2021-Control de acceso roto ).

Como prevenir

Los desarrolladores deben implementar algunos o todos los siguientes controles, según el riesgo de la aplicación:

  • Asegúrese de que todas las fallas de inicio de sesión, control de acceso y validación de entrada del lado del servidor puedan registrarse con suficiente contexto de usuario para identificar cuentas sospechosas o maliciosas y retenerse durante el tiempo suficiente para permitir un análisis forense retrasado.

  • Asegúrese de que los registros se generen en un formato que las soluciones de administración de registros puedan consumir fácilmente.

  • Asegúrese de que los datos de registro estén codificados correctamente para evitar inyecciones o ataques en los sistemas de registro o monitoreo.

  • Asegúrese de que las transacciones de alto valor tengan un seguimiento de auditoría con controles de integridad para evitar la manipulación o la eliminación, como tablas de base de datos de solo agregar o similares.

  • Los equipos de DevSecOps deben establecer un monitoreo y alertas efectivos para que las actividades sospechosas se detecten y se responda rápidamente.

  • Establezca o adopte un plan de recuperación y respuesta a incidentes, como el Instituto Nacional de Estándares y Tecnología (NIST) 800-61r2 o posterior.

Existen marcos de protección de aplicaciones comerciales y de código abierto, como OWASP ModSecurity Core Rule Set, y software de correlación de registros de código abierto, como Elasticsearch, Logstash, Kibana (ELK), que cuentan con paneles personalizados y alertas.

Ejemplos de escenarios de ataque

Escenario n.º 1: el operador del sitio web de un proveedor de planes de salud para niños no pudo detectar una infracción debido a la falta de supervisión y registro. Una parte externa informó al proveedor del plan de salud que un atacante había accedido y modificado miles de registros de salud confidenciales de más de 3,5 millones de niños. Una revisión posterior al incidente encontró que los desarrolladores del sitio web no habían abordado vulnerabilidades significativas. Como no hubo registro ni monitoreo del sistema, la violación de datos podría haber estado en progreso desde 2013, un período de más de siete años.

Escenario n.º 2: una importante aerolínea india tuvo una filtración de datos que involucró más de diez años de datos personales de millones de pasajeros, incluidos datos de pasaportes y tarjetas de crédito. La violación de datos ocurrió en un proveedor de alojamiento en la nube de terceros, que notificó a la aerolínea sobre la violación después de un tiempo.

Escenario n.º 3: una importante aerolínea europea sufrió una infracción denunciable del RGPD. Según se informa, la brecha fue causada por las vulnerabilidades de seguridad de la aplicación de pago explotadas por los atacantes, que recolectaron más de 400,000 registros de pago de clientes. La aerolínea fue multada con 20 millones de libras como resultado por parte del regulador de privacidad.

Referencias

Lista de CWE mapeados

CWE-117 Neutralización de salida incorrecta para registros

CWE-223 Omisión de información relevante para la seguridad

CWE-532 Inserción de información confidencial en el archivo de registro

CWE-778 Registro insuficiente

Más información: OWASP ORG

Relacionados

Deja un comentario