Visión general
El registro y el monitoreo de seguridad provinieron de la encuesta de la comunidad Top 10 (# 3), un poco más arriba que la décima posición en el OWASP Top 10 2017. El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando entrevistas o preguntando si se detectaron ataques durante una penetración. prueba. No hay muchos datos CVE/CVSS para esta categoría, pero es fundamental detectar y responder a las infracciones. Aún así, puede tener un gran impacto para la rendición de cuentas, la visibilidad, las alertas de incidentes y el análisis forense. Esta categoría se expande más allá de CWE-778 Registro insuficiente para incluir CWE-117 Neutralización de salida inadecuada para registros , CWE-223 Omisión de información relevante para la seguridad y CWE-532 Inserción de información confidencial en el archivo de registro .
Descripción
Volviendo al OWASP Top 10 2021, esta categoría es para ayudar a detectar, escalar y responder a infracciones activas. Sin registro y supervisión, no se pueden detectar las infracciones. El registro, la detección, la supervisión y la respuesta activa son insuficientes en cualquier momento:
-
Los eventos auditables, como inicios de sesión, inicios de sesión fallidos y transacciones de alto valor, no se registran.
-
Las advertencias y los errores generan mensajes de registro inexistentes, inadecuados o poco claros.
-
Los registros de aplicaciones y API no se supervisan en busca de actividad sospechosa.
-
Los registros solo se almacenan localmente.
-
Los umbrales de alerta apropiados y los procesos de escalada de respuesta no están implementados o no son efectivos.
-
Las pruebas de penetración y los análisis realizados por herramientas de pruebas de seguridad de aplicaciones dinámicas (DAST) (como OWASP ZAP) no activan alertas.
-
La aplicación no puede detectar, escalar ni alertar sobre ataques activos en tiempo real o casi en tiempo real.
Es vulnerable a la fuga de información al hacer que los eventos de registro y alerta sean visibles para un usuario o un atacante (consulte ).
Como prevenir
Los desarrolladores deben implementar algunos o todos los siguientes controles, según el riesgo de la aplicación:
-
Asegúrese de que todas las fallas de inicio de sesión, control de acceso y validación de entrada del lado del servidor puedan registrarse con suficiente contexto de usuario para identificar cuentas sospechosas o maliciosas y retenerse durante el tiempo suficiente para permitir un análisis forense retrasado.
-
Asegúrese de que los registros se generen en un formato que las soluciones de administración de registros puedan consumir fácilmente.
-
Asegúrese de que los datos de registro estén codificados correctamente para evitar inyecciones o ataques en los sistemas de registro o monitoreo.
-
Asegúrese de que las transacciones de alto valor tengan un seguimiento de auditoría con controles de integridad para evitar la manipulación o la eliminación, como tablas de base de datos de solo agregar o similares.
-
Los equipos de DevSecOps deben establecer un monitoreo y alertas efectivos para que las actividades sospechosas se detecten y se responda rápidamente.
-
Establezca o adopte un plan de recuperación y respuesta a incidentes, como el Instituto Nacional de Estándares y Tecnología (NIST) 800-61r2 o posterior.
Existen marcos de protección de aplicaciones comerciales y de código abierto, como OWASP ModSecurity Core Rule Set, y software de correlación de registros de código abierto, como Elasticsearch, Logstash, Kibana (ELK), que cuentan con paneles personalizados y alertas.
Ejemplos de escenarios de ataque
Escenario n.º 1: el operador del sitio web de un proveedor de planes de salud para niños no pudo detectar una infracción debido a la falta de supervisión y registro. Una parte externa informó al proveedor del plan de salud que un atacante había accedido y modificado miles de registros de salud confidenciales de más de 3,5 millones de niños. Una revisión posterior al incidente encontró que los desarrolladores del sitio web no habían abordado vulnerabilidades significativas. Como no hubo registro ni monitoreo del sistema, la violación de datos podría haber estado en progreso desde 2013, un período de más de siete años.
Escenario n.º 2: una importante aerolínea india tuvo una filtración de datos que involucró más de diez años de datos personales de millones de pasajeros, incluidos datos de pasaportes y tarjetas de crédito. La violación de datos ocurrió en un proveedor de alojamiento en la nube de terceros, que notificó a la aerolínea sobre la violación después de un tiempo.
Escenario n.º 3: una importante aerolínea europea sufrió una infracción denunciable del RGPD. Según se informa, la brecha fue causada por las vulnerabilidades de seguridad de la aplicación de pago explotadas por los atacantes, que recolectaron más de 400,000 registros de pago de clientes. La aerolínea fue multada con 20 millones de libras como resultado por parte del regulador de privacidad.
Referencias
Lista de CWE mapeados
Más información:
Relacionado
Como una de las estructuras de control básicas en la programación, los bucles son casi una adición diaria al código que escribimos. El bucle forEach clásico es uno de los primeros fragmentos de código que aprendemos a escribir como programadores. Si fueras un desarrollador de Javascript, sabrías que Javascript no es ajeno a la iteración a través de los elementos de una matriz o un mapa ¡SEGUIR LEYENDO!
Como sabemos, Sci-hub es un sitio web increíble con millones de artículos de investigación para todos los estudiantes universitarios y académicos. El sitio web de Sci-Hub se encarga de obtener los artículos de investigación y artículos de pago utilizando las credenciales que se filtran. La fuente de credenciales utilizada por este sitio web no está clara. Sin embargo, se supone que muchas de ellas son donadas, ¡SEGUIR LEYENDO!
Aunque haya sido usuario de Windows durante décadas, el sistema operativo es tan amplio y complejo que siempre existen características útiles, pero menos conocidas, que podrían sorprenderte. En este sentido, he identificado diez funciones poco conocidas de Windows que pueden potenciar su eficiencia, comodidad e incluso su experiencia de uso lúdico en su PC.
- Procesador Dual-Core Intel Pentium Gold 4425Y (2...
- Memoria RAM de 8 GB LPDDR3
- Disco SSD de 128 GB
El rumor en torno a las criptomonedas no se desvanece por mucho que existan grandes pesimistas alrededor de los malos rumores. Entonces, si consideras invertir en el mundo de las criptomonedas, deberías estar atento a las criptomonedas que se espera que tengan un buen desempeño para el resto de 2021. En los últimos tiempos, los tokens DeFi están recibiendo toda la atención y es más que ¡SEGUIR LEYENDO!
Los cambios de paradigma revolucionarios debido a los desarrollos de la robótica en todo el mundo están generando nuevos puntos de vista en muchos sectores, entre ellos en los de la industria y la tecnología. Con la ayuda de la Inteligencia Artificial, la tecnología produce resultados innovadores cada segundo y el campo de la robótica define y reconfigura su uso a cada instante. Cada día que ¡SEGUIR LEYENDO!
Bienvenidos desarrolladores web y de software, estamos en los inicios de 2023 y es posible que muchos se esten planteado sus objetivos para lo largo del año. Con anterioridad ya he compartidos las rutas de aprendizaje para un desarrollador front-end, un desarrollador full-stack o un desarrollador back-end entre otros muchos contenidos más. En este artículo, me gustaría compartir algunos de los mejores frameworks y bibliotecas para ¡SEGUIR LEYENDO!
GitHub es el lugar que debes buscar cuando intentas mejorar como desarrollador, toda la información que necesitas está disponible en algún repositorio que alguien ya se ha molestado en indexar. Sin embargo, la parte complicado es encontrar el repositorio más adecuado. Es fácil sentirse perdido en todos los repositorios disponibles dentro de GitHub. Para ayudarte, he elaborado una lista de 10 repositorios de GitHub que pueden ¡SEGUIR LEYENDO!