Wat is Insufficient Logging and Monitoring?

Een logboek is als een dagboek voor u en mij. Het geeft inzichten in de activiteiten van je dagelijks doen en laten. Maar in plaats van dat er staat dat je afgelopen dinsdag met Annemiek hebt afgesproken, staat een logboek vol met activiteiten van de organisatie. Zo kan een organisatie aan de hand van gegenereerde logboeken en auditrails problemen oplossen, gebeurtenissen volgen, incidenten detecteren en het wettelijke vereiste handhaven. Maar wat is Insufficient Logging and Monitoring dan? Dat is in vrij letterlijke zin het ontbreken van logboeken met kritieke beveiligingsinformatie of het ontbreken van de juiste log-indeling, context, opslag, beveiliging en tijdige reactie om een incident of inbreuk te detecteren.

Waarom is dit dan zo belangrijk? Logboeken lijken in de wereld van allerlei nare injecties en phishing-aanvallen niet heel belangrijk toch? Een logische reactie, maar niet correct. Zo kwam naar voren in het IBM inbreukrapport van 2020 dat de gemiddelde tijd om een datalek te beheren en te beheersen 280 dagen is. Logboeken zijn een zeer belangrijk onderdeel van incidentrespons. Goed logboekbeheer zorgt dus voor een snellere detectie en beperking van inbraken. En dan nu het argument dat de echte Nederlander vaak pas echt wakker schudt: het scheelt u veel geld (en tijd en reputatie).

Wat zijn de gevolgen van Insufficient Logging and Monitoring?

Wanneer de logging en monitoring niet op orde zijn kan dat vergaande en vervelende (indirecte) gevolgen hebben. Tegelijkertijd kan het, wanneer dit wel goed staat ingesteld, beveiligingsincidenten flink beperken. Voldoende logboekregistratie kan zelfs APT’s tansomwares, malware, insider-bedreigingen, DOS-, DNS-aanvallen en nog meer flink verminderen.

Is dit niet in orde? Dan gaat dit onder andere ten koste van de vertrouwelijkheid. Logboeken bevatten namelijk vaak gevoelige informatie welke niet gelezen zou mogen worden door aanvallers. Dat dit vervolgens ook weer ten koste van de integriteit gaat, dat moge duidelijk zijn. Wanneer een aanvaller logboekbestanden kan inzien, dan kan hij of zij er ook mee knoeien. Tegelijkertijd wanneer er niet voldoende wordt gelogd kan dat ook leiden tot het ontraceerbaar maken van aanvallen en aanvallers. Wilt u een leuk voorbeeld van het gevolg van gebrekkige logging en monitoring? In 2016 lekte bij de CIA een lading data (onder de noemer ‘Vault 7′) waarbij 180 GB en 34 Terabyte op straat kwam te liggen. De oorzaak? Gebruikersactiviteit werd niet gecontroleerd. Het duurde namelijk maar liefst een jaar voordat de inbreuk werd ontdekt.

Hoe voorkom je een aanval?

Stel allereerst een duidelijk beleid op met betrekking tot je logboek. Wat wordt er gelogd? Denk hierbij bijvoorbeeld aan mislukte aanmeldingen, verdachte of afwijkende activiteiten op het netwerk, endpoints en cloud. Daarnaast dient het, of elk, logboek correct te zijn opgemaakt. Zorg ervoor dat elk logboek op identieke wijze is opgebouwd. Tevens is het ook goed om een gecentraliseerd logboekbeheersysteem te hebben waar alle logboeken op een dezelfde plek worden verzameld. Dit kan bijvoorbeeld een SIEM tool zijn.

Iets dat vaak over het hoofd wordt gezien is het synchroniseren van de tijd (UTC) en het beveiligen van de logboeken. Dit is redelijk essentieel natuurlijk. Bewaar de logboeken ook overeenkomstig met de compliance- en zakelijke vereisten. Bewaak ook de gebruikersactiviteit. Is er sprake van verdacht of afwijkend gedrag? Zorg dan dat er ergens een alarm afgaat. Tot slot adviseren we dat er een incidentenresponsplan is. In het geval er toch iets gebeurd is dan in ieder geval wel duidelijk wat er moet gebeuren.

Twijfel je of uw organisatie voldoet aan bepaalde compliance eisen? Onze partners van Beschermheren helpen je graag verder. Wil je liever op technisch vlak kijken naar de inrichting van je systemen en op zoek gaan naar verbeterpunten? Neem dan met ons contact op.

Rootsec legt uit | Wat is Insufficient Logging and Monitoring?

Paul Franken

Geef hackers geen kans