Blog

Les codeurs conquièrent la série des 10 meilleures API de l'OWASP en matière de sécurité : journalisation et surveillance insuffisantes

November 25, 2020
Matias Madou, Ph.D.

La faille de journalisation et de surveillance insuffisantes est principalement due à l'échec d'un plan de cybersécurité en ce qui concerne la journalisation de toutes les tentatives d'authentification échouées, de tous les accès refusés et des erreurs de validation des saisies. Elle peut survenir à d'autres moments de l'environnement de production, mais elle est principalement associée à l'échec des tentatives de connexion non valides.

Il s'agit d'une vulnérabilité dangereuse car elle signifie que les équipes de cybersécurité ne répondront pas aux attaques parce qu'elles ne les connaissent pas. Cela donne aux attaquants un avantage considérable en leur permettant de passer inaperçus lorsqu'ils tentent de pénétrer davantage dans un système ou de mettre à jour leurs informations d'identification. En fait, sans journalisation et surveillance appropriées, il devient très difficile, voire impossible, de détecter et d'arrêter les attaques avant qu'elles ne causent des dégâts importants.

Êtes-vous prêt à tester vos compétences en relevant un défi dès maintenant ? Consultez ceci :

Comment les attaquants exploitent-ils l'insuffisance de la journalisation et de la surveillance ?

Toute API est vulnérable à une journalisation et à une surveillance insuffisantes si le niveau de journalisation n'est pas défini correctement, s'il est défini trop bas, si les messages d'erreur ne contiennent pas suffisamment de détails ou si aucune fonction de journalisation n'est présente.

Un exemple intéressant serait si un pirate informatique obtenait une longue liste de noms d'utilisateur compromis pour un site Web ou un service. Grâce à des expériences, ils ont pu découvrir qu'il faut trois tentatives de connexion infructueuses avant que l'accès au système ne soit bloqué et avant que le personnel de cybersécurité n'en soit averti.

Armés de ces informations, au lieu d'essayer de forcer des comptes individuels par force brute, ils pourraient écrire un script pour essayer de se connecter à chaque nom de leur liste compromise en utilisant des mots de passe courants tels que « 123456 » ou « mot de passe ». L'astuce, c'est qu'ils n'essayent chaque nom d'utilisateur qu'une, voire deux fois, en restant en dessous du seuil de verrouillage et d'alerte. S'ils ont de la chance, ils compromettront au moins quelques mots de passe dès le départ. Après cela, ils attendent simplement un jour que le compteur de connexion se réinitialise et relancent le processus en utilisant des mots de passe différents tels que « qwerty » ou « god ». Si les administrateurs ne détectent jamais ce qu'ils font, les attaquants peuvent parcourir la liste à de nombreuses reprises et finir par compromettre la plupart des comptes avec des mots de passe faibles.

Cela s'est produit dans l'exemple fourni par l'OWASP où une plateforme de partage de vidéos a été attaquée à l'aide d'une attaque par bourrage d'informations d'identification qui exploitait la vulnérabilité de journalisation et de surveillance insuffisantes. Jusqu'à ce que l'entreprise commence à recevoir des plaintes d'utilisateurs, elle n'avait aucune idée de la réalité de l'attaque. Finalement, ils ont trouvé des preuves dans les journaux de l'API et ont dû envoyer une notification de changement de mot de passe forcé à tous leurs utilisateurs, ainsi que signaler l'attaque aux autorités réglementaires.

Élimination de la vulnérabilité de journalisation et de surveillance insuffisantes

L'automatisation et la surveillance constante peuvent contribuer à mettre fin à cette vulnérabilité. Pour commencer, toutes les tentatives d'authentification ayant échoué doivent être enregistrées. Et ce journal doit être placé dans un format lisible par machine, comme STIX et TAXII, afin qu'il puisse être ingéré dans un système de gestion des informations et des événements de sécurité (SIEM) formé pour détecter les attaques, quels que soient les seuils utilisés.

Vous devez également protéger vos fichiers journaux. Traitez-les comme des informations sensibles et protégez-les contre leur suppression ou leur modification par des attaquants. Une bonne politique consiste à sauvegarder les fichiers journaux et à les crypter.

Enfin, créez des tableaux de bord et des alertes personnalisés afin que toute activité suspecte puisse être détectée et traitée le plus rapidement possible. Si vous réduisez le temps passé par un attaquant à utiliser le système, vous lui ôtez la capacité d'utiliser des techniques d'attaque lente et lente pour ne pas être détecté.

Consultez le Secure Code Warrior pages de blog pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayez une démo de la plateforme de formation Secure Code Warrior pour maintenir toutes vos compétences en cybersécurité à jour et à jour.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo
trust score