• 036 760 04 51
  • [email protected]
RootsecRootsecRootsecRootsec
  • Platform
  • Diensten
    • SOAR
    • Penetratietesten
    • Security Assessment
    • Vulnerability Assessment
    • Vulnerability Management
    • Webapplicatie Monitoring
    • Endpoint Protection
  • Kennis
    • Media
    • Blogs
    • Whitepapers
  • Producten
    • Cynet
    • Reblaze
    • Tenable.io
  • Rootsec
    • Over ons
    • Vacatures
  • Contact
  • Er wordt steeds meer thuisgewerkt, hoe zorg ik ervoor dat al onze medewerkers ook thuis veilig zijn?
  • Er wordt op de werkvloer steeds meer in de Cloud gewerkt, hoe zorg ik ervoor dat dit goed beveiligd is en blijft?
  • Ik wil graag snel inzichtelijk wat de huidige staat van mijn IT-security is. Welke dienst raden jullie aan?
  • Wij twijfelen over welke stappen we moeten zetten op het gebied van IT-security. Kunnen jullie ons hierbij helpen?
  • Ik wil dat jullie mijn systeem tot op de bodem onderzoeken en aanvallen om kwetsbaarheden te ontdekken. Welke dienst past hierbij?
✕
24/7 Incident Response
  • Penetration testing
  • Vulnerability Assessment
  • Security Assessment
  • Reblaze Monitoring
  • Cynet Endpoint Protection

Zoekt u misschien naar deze vragen?

  • Er wordt steeds meer thuisgewerkt, hoe zorg ik ervoor dat al onze medewerkers ook thuis veilig zijn?
  • Er wordt op de werkvloer steeds meer in de Cloud gewerkt, hoe zorg ik ervoor dat dit goed beveiligd is en blijft?
  • Ik wil graag snel inzichtelijk wat de huidige staat van mijn IT-security is. Welke dienst raden jullie aan?
  • Wij twijfelen over welke stappen we moeten zetten op het gebied van IT-security. Kunnen jullie ons hierbij helpen?
  • Ik wil dat jullie mijn systeem tot op de bodem onderzoeken en aanvallen om kwetsbaarheden te ontdekken. Welke dienst past hierbij?

Rootsec legt uit | Wat is Insufficient Logging and Monitoring?

  • Home
  • Awareness
  • Rootsec legt uit | Wat is Insufficient Logging and Monitoring?
Rootsec legt uit
Rootsec legt uit | Wat is ‘Using Components with Known Vulnerabilities?’
26 januari 2021
microtargeting
Politieke partijen gebruiken ‘microtargeting’ om stemmers te werven?
17 februari 2021
Published by Paul Franken on 2 februari 2021
Categories
  • Awareness
  • Bewustzijn
  • Dreigingen
  • Hacken
  • Monitoring
  • Onderzoek
  • Pentesting
  • Security
Tags
Rootsec legt uit

Het is dan eindelijk zo ver gekomen dat we bij nummer 10 zijn aangekomen van de OWASP top 10. Nu ik erover nadenk, hadden we hier beter kunnen beginnen om vervolgens toe te werken naar de meest ‘dreigende dreiging’. Maar goed, les geleerd voor later. Vandaag leg ik je in ieder geval uit wat “Insufficient Logging and Monitoring” is. Spannend hé?

Wat is Insufficient Logging and Monitoring?

Een logboek is als een dagboek voor u en mij. Het geeft inzichten in de activiteiten van je dagelijks doen en laten. Maar in plaats van dat er staat dat je afgelopen dinsdag met Annemiek hebt afgesproken, staat een logboek vol met activiteiten van de organisatie. Zo kan een organisatie aan de hand van gegenereerde logboeken en auditrails problemen oplossen, gebeurtenissen volgen, incidenten detecteren en het wettelijke vereiste handhaven. Maar wat is Insufficient Logging and Monitoring dan? Dat is in vrij letterlijke zin het ontbreken van logboeken met kritieke beveiligingsinformatie of het ontbreken van de juiste log-indeling, context, opslag, beveiliging en tijdige reactie om een incident of inbreuk te detecteren.

Waarom is dit dan zo belangrijk? Logboeken lijken in de wereld van allerlei nare injecties en phishing-aanvallen niet heel belangrijk toch? Een logische reactie, maar niet correct. Zo kwam naar voren in het IBM inbreukrapport van 2020 dat de gemiddelde tijd om een datalek te beheren en te beheersen 280 dagen is. Logboeken zijn een zeer belangrijk onderdeel van incidentrespons. Goed logboekbeheer zorgt dus voor een snellere detectie en beperking van inbraken. En dan nu het argument dat de echte Nederlander vaak pas echt wakker schudt: het scheelt u veel geld (en tijd en reputatie).

Wat zijn de gevolgen van Insufficient Logging and Monitoring?

Wanneer de logging en monitoring niet op orde zijn kan dat vergaande en vervelende (indirecte) gevolgen hebben. Tegelijkertijd kan het, wanneer dit wel goed staat ingesteld, beveiligingsincidenten flink beperken. Voldoende logboekregistratie kan zelfs APT’s tansomwares, malware, insider-bedreigingen, DOS-, DNS-aanvallen en nog meer flink verminderen.

Is dit niet in orde? Dan gaat dit onder andere ten koste van de vertrouwelijkheid. Logboeken bevatten namelijk vaak gevoelige informatie welke niet gelezen zou mogen worden door aanvallers. Dat dit vervolgens ook weer ten koste van de integriteit gaat, dat moge duidelijk zijn. Wanneer een aanvaller logboekbestanden kan inzien, dan kan hij of zij er ook mee knoeien. Tegelijkertijd wanneer er niet voldoende wordt gelogd kan dat ook leiden tot het ontraceerbaar maken van aanvallen en aanvallers. Wilt u een leuk voorbeeld van het gevolg van gebrekkige logging en monitoring? In 2016 lekte bij de CIA een lading data (onder de noemer ‘Vault 7′) waarbij 180 GB en 34 Terabyte op straat kwam te liggen. De oorzaak? Gebruikersactiviteit werd niet gecontroleerd. Het duurde namelijk maar liefst een jaar voordat de inbreuk werd ontdekt.

Hoe voorkom je een aanval?

Stel allereerst een duidelijk beleid op met betrekking tot je logboek. Wat wordt er gelogd? Denk hierbij bijvoorbeeld aan mislukte aanmeldingen, verdachte of afwijkende activiteiten op het netwerk, endpoints en cloud. Daarnaast dient het, of elk, logboek correct te zijn opgemaakt. Zorg ervoor dat elk logboek op identieke wijze is opgebouwd. Tevens is het ook goed om een gecentraliseerd logboekbeheersysteem te hebben waar alle logboeken op een dezelfde plek worden verzameld. Dit kan bijvoorbeeld een SIEM tool zijn.

Iets dat vaak over het hoofd wordt gezien is het synchroniseren van de tijd (UTC) en het beveiligen van de logboeken. Dit is redelijk essentieel natuurlijk. Bewaar de logboeken ook overeenkomstig met de compliance- en zakelijke vereisten. Bewaak ook de gebruikersactiviteit. Is er sprake van verdacht of afwijkend gedrag? Zorg dan dat er ergens een alarm afgaat. Tot slot adviseren we dat er een incidentenresponsplan is. In het geval er toch iets gebeurd is dan in ieder geval wel duidelijk wat er moet gebeuren.

Twijfel je of uw organisatie voldoet aan bepaalde compliance eisen? Onze partners van Beschermheren helpen je graag verder. Wil je liever op technisch vlak kijken naar de inrichting van je systemen en op zoek gaan naar verbeterpunten? Neem dan met ons contact op.

 

Share
0
Paul Franken
Paul Franken

Geef hackers geen kans

Laat uw systemen beveiligen door Rootsec

Neem Contact Op

Rootsec B.V.

Randstad 21 – 45,
1314BG Almere

                            036 760 04 51
                          [email protected]

                           Privacy  Voorwaarden

 

                      

           © 2022 Rootsec B.V.

Klachtenformulier Disclaimer

 

 

 

24/7 Incident Response