API10:2019 خلل في طريقة تسجيل الاحداث والمراقبة
| عوامل التهديد/ الاستغلال | نقاط الضعف | التأثير |
|---|---|---|
| خصائص API : قابلية الاستغلال 2 | الانتشار 3 : قابلية الاكتشاف 1 | التأثر التقني 2 : تأثر الأعمال |
| يستغل المهاجمون عدم تسجيل الاحداث وحركة مرور البيانات بشكل صحيح للقيام بأنشطة ضارة على الأنظمة من دون أي ملاحظة. | عدم وجود أو خلل في آلية نظام تسجيل الاحداث و مراقبة حركة مرور البيانات ينتج عنه صعوبة في تتبع الأنشطة المشبوة والاستجابة لها في الوقت المناسب. | عدم وجود رؤية كاملة على الانشطة المشبوة التي تحدث تمنح المهاجمين الوقت الكافي لأختراق الأنظمة. |
هل أنا معرض لهذه الثغرة؟
سيكون النظام لديك معرض اذا كان:
- لا يتم استخراج أي سجلات او لم يتم تعيين عمليات التسجيل بالشكل الصحيح او لم يتم جمع السجلات بشكل كافي وناضج.
- عند عدم ضمان السجلات (على سبيل المثال في حال حقن السجلات بسجلات غير صحيح)
- لا يتم مراقبة السجلات بشكل مستمر
- لا يتم مراقبة البنية التحتية لواجهة برمجة التطبيقات API بشكل مستمر.
امثلة على سيناريوهات الهجوم:
السيناريو الاول:
عن طريق الخطأ تم تسريب احد مفاتيح إدارة المستودعات في احد المستودعات العامة، لذا تم أخطار مالك المستودع عن طريق البريد الالكتروني بشأن التسريب المحتمل، ولكن لم يقم مالك المستودع بالتجاوب في خلال 48 ساعة والتصرف بشأن هذا التسريب، وﻷن من المحتمل استخدام هذه المفاتيح في عمليات تسريب البيانات، و بسبب عدم تسجيل الاحداث بشكل صحيح لا تستطيع الشركة تقييم ومعرفة الأصول والبيانات التي تم الوصول لها او في حال تم تسريبها.
السيناريو الثاني :
منصة مشاركة ملفات الفيديو تعرضت بشكل واسع الى هجمات محاولة كسر كلمات المرور بأستخدام حسابات مستخدمين صالحة, بالرغم من المحاولات الكثيرة لعمليات تسجيل الدخول الخاطئة لم تظهر أي تنبيهات اثناء الهجوم، في حين قام المستخدمين بالشكوى لدى الشركة بشأن اغلاق حسابتهم بشكل مفاجئ، وبعد تحليل سجلات الخاصة بواجهات برمجة التطبيقات API تبين أن هناك هجوم حدث.لذا قامت الشركة أصدار اعلان لجميع المستخدمين لأعادة تهيئة كلمات المرور الخاصة بهم.
كيف أمنع هذه الثغرة؟
- قم بتسجيل جميع محاولات المصادقة الفاشلة او محاولات رفض الوصول للمجلدات وكذلك جميع المدخلات الخاطئة.
- يجب كتابة السجلات بشكل متناسق لاستخدامه في عمليات إدارة السجلات ويجب ان تتضمن كافة التفاصيل التي تتيح للمحلل معرفة الأنشطة الضارة ومن قام بها.
- يجب التعامل مع السجلات باعتبارها بيانات حساسة ويجب ضمان سلامتها اثناء المرور و التخزين.
- قم بإعداد عمليات المراقبة واجعلها مستمرة ولتشمل البنية التحتية والشبكات و واجهة برمجة التطبيقات API.
- استخدام أنظمة مركز سجل الأحداث SIEM لإدارة السجلات من جميع المصادر والأنظمة و واجهات برمجة التطبيقات.
- قم بإعداد لوحة مراقبة مخصصة للتنبيهات الأمنية وقم بتفعيل التواقيع الرقمية لرصد الأنشطة المشبوهة لرصدها في مراحلها الأولية.
المراجع :
- OWASP Logging Cheat Sheet
- OWASP Proactive Controls: Implement Logging and Intrusion Detection
- OWASP Application Security Verification Standard: V7: Error Handling and Logging Verification Requirements