2017 OWASP A10 : 불충분한 로깅 및 모니터링

오늘도 벌이 날라왔따! 위이이이잉~ 🌼🐝

 

오늘도 굉장히 한눈에 알아볼수 없을 애매한 단어로 되어있는 녀석에 대해서 탐구하도록 하자.

A10항목은 새롭게 생겼으며 업계의 설문조사를 통해서 상위 10에 올라왔습니다.

한줄요약으로 오늘은 정리가 가능하다.

 

불충분한 로깅 및 모니터링

: 사용자들의 로그를 남기고 모니터링을 함에 있어서 부실할 때 발생하는 취약점들

 

사실 이 말을 이해하신다면 OWASP에서 어떻게 적어놨는지 쉽게 이해하실 수 있으실 겁니다.

 

""

불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는 것을 보여주고, 이는 일반적으로 내부 프로세스와 모니터링보다 외부 기관이 탐지합니다. 

""

 

A10 불충분한 로깅 및 모니터링의 위험도는 다음과 같습니다.

 

공격 가능성 : 2

불충분한 로깅과 모니터링에 대한 공격은 거의 모든 보안사고의 기반이 된다.

공격자는 탐지기록이 남지 않고 모니터링이 느슨한 곳을 파고들게됩니다.

 

확산 정도 : 3

탐지 가능성 : 1

충분한 모니터링을 하고 있는지 판단하기 위한 하나의 전력안 침투 테스트 후 로그를 검사하는 것으로 테스트 이후에 로그가 남지 않는다면 취약점 탐지에 성공한 것이다.

 

기술 2

공격에 성공하기 위해서는 취약한 부분을 탐지하는 것에서 부터 시작합니다.

그런데 이러한 탐지를 들키지 않고 지속적으로 하게 되면 성공율은 100% 근사값에 다다를 수 있습니다.

한 예로 2016년에 일어난 어떤 보안 사고를 알아차리는데 191이나 걸렷다고 한다.

 

 

 

취약점 확인 방법

- 로그인 시도에 대한 기록이 남는가?

- 경고 및 오류에 대해 로그 메세지가 없지는 않은지

- 의심되는 활동의 애플리케이션이나 API 로그 모니터링이 이루어지는지

- 적절한 경고 임계값과 응답 에스컬레이션 프로세스가 적절하지 않는지

- DAST 도구 (ex: OWASP ZAP)를 통한 침투 테스트 및 검사가 경고를 알려주는지

- 애플리케이션은 실시간으로 유효한 공격을 탐지, 경고할 수 있는지

- 사용자나 공격자에게 로깅이나 경고 이벤트가 보여진다면 정보 유출로 취약하다.

 

보안 대책

- 모든 로그인, 접근 통제 실패, 그리고 서버 측면의 입력값 검증 실패 등이 의심스럽거나 악의적인 계정을 식별할 수 있는 충분한 사용자 문맥으로 기록될 수 있는지를 확실히 해야한다. 또한 지연된 포렌식 분석을 허용햘 수 있는 충분한 시간을 확보해야한다.

- 중앙 집중적 로그 관리 솔루션에 의해 쉽게 사용될 수 있는 형식의 로그가 생성되는지 확실히 해야한다.

- 부가 가치가 높은 거래에는 단지 추가만 가능한 데이터베이스 테이블 혹은 유사한 것과 같은 변조나 삭제를 방지하기 위한 무결성 통제 기능을 갖춘 감사 추적 기능을 확실히 해야한다.

- 의심스러운 활동을 빠르게 탐지하고 대응할 수 있도록 모니터링과 경고 설정을 강화시켜야 한다.

- NIST800-61rev2이상과 같은 사고 대응 및 복구 계획을 수립하거나 채택하십시오. OWASP AppSensor와 같은 상용 혹은 오픈소스 애플리케이션 보호 프레임워크, OWASP ModSecurity 핵심 룰셋을 가진 ModSecurity와 같은 웹 어플리케이션 방화벽, 그리고 개별 대쉬보드와 경고를 갖고 로그 상관분석 소프트웨어가 있다.

 

 

공격 시나리오 예제 

시나리오 #1

소규모 팀이 운영하는 오픈소스 프로젝트 포럼 소프트웨어는 그 소프트웨어 내 결함이 악용되어 해킹당했습니다. 공격자는 다음 버전과 모든 포럼 내용이 포함된 내부 소스코드 저장소를 삭제했습니다. 소스코드를 복구할 수 있었지만, 모니터링, 로깅 혹은 경고의 부재는 훨씬 더 큰 불이익을 초래했습니다. 이 문제로 인해 포럼 소프트웨어 프로젝트가 더 이상 활성되지 않았습니다. 

 

시나리오 #2

공격자는 공통 암호를 사용하는 사용자를 찾기 위해 스캔을 합니다. 이 암호를 사용하여 모든 계정을 탈취할 수 있습니다. 다른 모든 사용자의 경우, 이 스캔은 단지 하나의 잘못된 로그인 기록만을 남깁니다. 며칠 후 다른 비밀번호로 이 작업을 반복할 수 있습니다. 

 

시나리오 #3

미국의 한 주요 소매 업체는 첨부 파일을 분석하는 내부 악성코드 분석 샌드박스를 갖고 있었습니다. 샌드박스 소프트웨어는 잠재적으로 원치않은 소프트웨어를 탐지했지만, 아무도 이 탐지에 대응하지 않았습니다. 샌드박스는 외부 은행에 의한 사기성 카드 거래로 인해 그 보안사고가 탐지되기 전까지 얼마 동안 경고를 표시했습니다