程序员征服安全:分享与学习系列-日志记录和监控不足
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
当我们在这些博客中探索主题时,我们发现了许多危险的漏洞和恶意漏洞,黑客利用这些漏洞和恶意漏洞攻击网络和绕过防御。从利用编程语言的弱点到使用各种格式注入代码,再到劫持传输中的数据,它们的范围相当广泛。威胁种类繁多,但是每当其中任何一个成功时,受害者的应用程序之间通常会共享一个共同的组件。
记录和监控不足是应用程序防御结构中可能存在的最危险的情况之一。如果存在此漏洞或情况,那么几乎所有针对它的高级攻击最终都会成功。如果记录和监控不足,则意味着在很长一段时间内(如果有的话)都无法发现攻击或未遂攻击。它基本上为攻击者提供了寻找有用的漏洞并加以利用所需的时间。
在本集中,我们将学习:
- 攻击者如何使用不充分的日志记录和监控
- 为什么日志记录和监控不足很危险
- 可以修复此漏洞的技术。
攻击者如何利用日志记录和监控不足的问题?
起初,攻击者不知道系统是否受到适当的监控,或者是否正在检查日志文件中是否存在可疑活动。但是他们很容易就能找到答案。他们有时会做的是发起某种形式的不雅的、蛮力式的攻击,可能是在用户数据库中查询常用密码。然后他们等了几天再尝试同样的攻击。如果没有阻止他们第二次这样做,那么这很好地表明没有人仔细监视日志文件中是否存在可疑活动。
尽管测试应用程序的防御和衡量主动监控水平相对简单,但这并不是成功攻击的先决条件。他们可以简单地以尽可能减少噪音的方式发起攻击。通常,警报过多、警报疲劳、安全配置不佳或仅仅是大量可利用的漏洞相结合,意味着他们将有足够的时间在防御者意识到自己的目标之前完成目标。
为什么日志记录和监控不足很危险?
记录和监控不足是危险的,因为这不仅使攻击者有时间发起攻击,而且可以在防御者启动响应之前很久就完成目标。多长时间取决于受攻击的网络,但是开放Web应用程序安全项目(OWASP)等不同组织认为,入侵网络的平均响应时间为191天或更长。
想一想。如果强盗扣押银行,人们报警,花了半年时间才做出回应,会发生什么?
当警察赶到时,强盗早已不复存在。实际上,在警方对第一起事件作出回应之前,同一家银行可能会被抢劫多次。
在网络安全中也是如此。你在新闻中听到的大多数备受瞩目的违规行为都不是粉碎抢夺式的行动。通常,目标组织只有在攻击者对数据拥有或多或少的完全控制权数月甚至数年后才得知漏洞。这使得记录和监控不足成为尝试实践良好的网络安全时可能发生的最危险的情况之一。
消除日志记录和监控不足
防止日志记录和监控不足主要需要两件事。首先,创建的所有应用程序必须能够监视和记录服务器端输入验证失败,并提供足够的用户上下文,以便安全团队识别攻击者正在使用的工具和技术,如果不是用户帐户。或者,应将此类输入格式化为STIX(结构化威胁信息表达式)之类的语言,安全工具可以快速处理该语言,以生成适当的警报。
其次,仅生成良好的警报是不够的,尽管这仅仅是一个开始。各组织还需要确定角色和职责,以便及时调查这些警报。实际上,许多成功的漏洞触发了对受攻击网络的警报,但由于责任问题,这些警告没有得到回应。没有人知道应由谁来应对,也没有人认为有人在调查这个问题。
分配职责时,一个不错的起点是采取事件响应和恢复计划,例如美国国家标准与技术研究所(NIST)在其中推荐的计划 特别出版物 800-61。还有其他参考文件,包括针对各个行业的参考文件,不必严格遵守。但是,制定计划来定义组织内部谁对警报做出响应,以及他们如何及时做出响应,至关重要。
有关日志记录和监控不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 记录和监控不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即查找、修复和消除日志记录和监控不足了吗?前往我们的训练场地: [从这里开始]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
