Sicherheitsrisiken durch unzureichendes Logging und Monitoring

Auf einem Auge blind

In den OWASP Top 10 2017, die die zehn häufigsten Sicherheitsrisiken für Webanwendungen aufführen, gibt es einen neuen zehnten Platz: "Insufficient Logging & Monitoring". Dieser fällt etwas aus dem üblichen Muster der Top-10-Einträge, die sich sonst um direkt ausnutzbare Schwachstellen drehen. Eine unzureichende Protokollierung und Überwachung lässt sich zwar nicht generell für Angriffe ausnutzen, senkt das Sicherheitsniveau dennoch beachtlich.
Kleine Unternehmen haben ähnliche Anforderungen an die IT wie Konzerne, jedoch weniger Budget und Personal. Wie sie trotzdem eine zuverlässige und ... (mehr)

Ob eine Anwendung oder ein Server etwas protokolliert oder nicht, ist für einen Angreifer zunächst völlig uninteressant, ebenso ob jemand die protokollierten Daten auswertet oder nicht. Es gibt keine Angriffstechnik, die über eine fehlende Protokollierung das Kompromittieren des Servers erlaubt. Und auch keine Möglichkeit, eine unterlassene Überwachung der Protokolle für Angriffe auf die Benutzer zu nutzen. Das Einzige, was es bisher gab, waren direkte Angriffe über Logfiles: Erlaubt eine XSS-Schwachstelle das Einschleusen von JavaScript-Schadcode in die Logfiles und der Administrator wertet die Logfiles mit einem Tool aus, das JavaScript ausführt, ist darüber ein Angriff möglich, zum Beispiel, um die Webanwendung im Namen des Administrators zu manipulieren oder durch eine Drive-by-Infektion dessen Rechner mit Schadcode zu infizieren.

Nichts wissen ist eine Schwäche

Und trotzdem hat es das "Insufficient Logging & Monitoring" in die Top 10 der OWASP 2017 [1] geschafft – wenn auch nur auf Platz 10. Während ein tatsächlicher Angriff wie die Cross-Site Request Forgery, mit der sich Schaden anrichten lässt, auf Platz 13 steht [2]. Was daran liegt, dass CSRF-Schwachstellen nur noch in etwa fünf Prozent der Anwendungen gefunden wurden, da die meisten Webanwendungen inzwischen mit Frameworks entwickelt werden und diese in der Regel heute einen CSRF-Schutz enthalten. Ein weiterer Grund für die Platzierung ist, dass sich "Insufficient Logging & Monitoring" zwar nicht direkt für Angriffe ausnutzen lässt, jedoch erheblich dazu beiträgt, dass stattfindende Angriffe nicht erkannt werden. Und damit spielt es den Angreifern eben doch in die Hände.

Wie sehr zeigt mitunter schon ein Penetration-Test: Die Aktionen des Testers sollten so umfangreich protokolliert worden sein, dass sich daraus der Angriff und die Folgen nachvollziehen lassen. Ist das nicht

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019