Sicherheitsrisiken durch unzureichendes Logging und Monitoring

Ob eine Anwendung oder ein Server etwas protokolliert oder nicht, ist für einen Angreifer zunächst völlig uninteressant, ebenso ob jemand die protokollierten Daten auswertet oder nicht. Es gibt keine Angriffstechnik, die über eine fehlende Protokollierung das Kompromittieren des Servers erlaubt. Und auch keine Möglichkeit, eine unterlassene Überwachung der Protokolle für Angriffe auf die Benutzer zu nutzen. Das Einzige, was es bisher gab, waren direkte Angriffe über Logfiles: Erlaubt eine XSS-Schwachstelle das Einschleusen von JavaScript-Schadcode in die Logfiles und der Administrator wertet die Logfiles mit einem Tool aus, das JavaScript ausführt, ist darüber ein Angriff möglich, zum Beispiel, um die Webanwendung im Namen des Administrators zu manipulieren oder durch eine Drive-by-Infektion dessen Rechner mit Schadcode zu infizieren.

Nichts wissen ist eine Schwäche

Und trotzdem hat es das "Insufficient Logging & Monitoring" in die Top 10 der OWASP 2017 [1] geschafft – wenn auch nur auf Platz 10. Während ein tatsächlicher Angriff wie die Cross-Site Request Forgery, mit der sich Schaden anrichten lässt, auf Platz 13 steht [2]. Was daran liegt, dass CSRF-Schwachstellen nur noch in etwa fünf Prozent der Anwendungen gefunden wurden, da die meisten Webanwendungen inzwischen mit Frameworks entwickelt werden und diese in der Regel heute einen CSRF-Schutz enthalten. Ein weiterer Grund für die Platzierung ist, dass sich "Insufficient Logging & Monitoring" zwar nicht direkt für Angriffe ausnutzen lässt, jedoch erheblich dazu beiträgt, dass stattfindende Angriffe nicht erkannt werden. Und damit spielt es den Angreifern eben doch in die Hände.

Wie sehr zeigt mitunter schon ein Penetration-Test: Die Aktionen des Testers sollten so umfangreich protokolliert worden sein, dass sich daraus der Angriff und die Folgen nachvollziehen lassen. Ist das nicht

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.