شکستهای لاگ و مانیتورینگ امنیتی(N/A)
عدم ثبت، نظارت و پاسخ به رویدادهای امنیتی که باعث میشود حملات شناسایی و متوقف نشوند.
شکستهای لاگ و مانیتورینگ چیه؟
خلاصه در یه جمله: وقتی ندونی چی تو سیستمت اتفاق میافته، هکر میتونه ماهها اونجا باشه و تو نفهمی!
فرض کن یه خونه داری. هیچ دوربینی نداری، هیچ زنگی نداره، هیچکس هم چک نمیکنه کی وارد میشه. هکر میتونه بیاد، هر چی میخواد برداره، بره و تو هیچوقت نفهمی! لاگ و مانیتورینگ همینه — باید بدونی چی اتفاق میافته .
انواع شکستهای لاگ و مانیتورینگ:
۱. لاگ نمیگیری: هیچ رویدادی ثبت نمیشه. اگه حملهای بشه، نمیفهمی کی، چطور، از کجا!
۲. لاگهای ناقص: فقط یه سری چیزا رو لاگ میکنی. مثلاً لاگین موفق رو میگیری، لاگین ناموفق رو نه. هکر Brute Force میکنه، تو نمیفهمی!
۳. لاگها رو چک نمیکنی: لاگ میگیری ولی هیچکس نگاهشون نمیکنه. هکر ۶ ماهه تو سیستمت، تو خبر نداری!
۴. Alert نداره: وقتی چیزی مشکوک اتفاق میافته، هیچ هشداری نمیگیری. باید خودت بری چک کنی!
۵. لاگها دستکاری میشن: هکر وارد میشه، لاگها رو پاک میکنه تا ردش گم بشه!
۶. اطلاعات حساس تو لاگ: پسورد، توکن، اطلاعات کارت بانکی رو لاگ میکنی. اگه لاگ لو بره، فاجعهست!
مثال واقعی:
فرض کن سایتت اینطوری لاگ میگیره:
- لاگین موفق رو لاگ میکنی
- لاگین ناموفق رو نه
- هیچ Alertی برای ۱۰۰۰ بار لاگین ناموفق نداری
- لاگها رو ماهی یه بار چک میکنی
هکر میتونه: ۱. Brute Force کنه (تو نمیفهمی) ۲. وارد بشه ۳. دادهها رو بدزده ۴. لاگها رو پاک کنه ۵. بره و تو هیچوقت نفهمی!
چرا برای امنیت مهمه؟
چون شماره ۹ OWASP Top 10 2021 هست! بدون لاگ و مانیتورینگ، تو کوری! نمیدونی کی حمله کرده، چطور حمله کرده، چی دزدیده. نمیتونی جواب بدی، نمیتونی جلوش رو بگیری، نمیتونی یاد بگیری برای بعد.