novembre 26, 2023

Carence des systèmes de contrôle et de journalisation

Home / J’Ecris / DevSecOps

Carence des systèmes de contrôle et de journalisation

La carence des systèmes de contrôle et de journalisation représente un risque majeur pour la sécurité des applications web. Les systèmes de contrôle et de journalisation sont essentiels pour surveiller les activités, détecter les incidents de sécurité et faciliter la réponse aux incidents. Voici quelques aspects liés à la carence des systèmes de contrôle et de journalisation, avec des exemples concrets :

1. Absence de Surveillance des Activités Anormales :

  • Explication : Si les activités de l’application ne sont pas surveillées de manière proactive, les attaques et les comportements malveillants peuvent passer inaperçus.
  • Exemple : Un système qui ne génère pas d’alertes pour des tentatives répétées d’accès non autorisé.

2. Manque de Journalisation des Événements Importants :

  • Explication : Ne pas journaliser les événements importants rend difficile la reconstruction des activités, la détection des failles de sécurité et la réponse aux incidents.
  • Exemple : L’absence de journalisation des tentatives d’accès, des modifications de configuration, ou des erreurs système.

3. Conservation Inadéquate des Journaux :

  • Explication : La conservation inadéquate des journaux peut entraîner la perte d’informations cruciales pour la rétro-ingénierie des incidents.
  • Exemple : Définir une politique de conservation de journaux trop courte qui ne permet pas de remonter dans le temps pour analyser les activités suspectes.

4. Manque d’Alertes Temps Réel :

  • Explication : L’absence d’alertes en temps réel peut retarder la détection des incidents, permettant aux attaquants de prolonger leurs activités malveillantes.
  • Exemple : Ne pas générer d’alertes immédiates lorsqu’un comportement anormal est détecté.

5. Non-Identification des Anomalies de Performance :

  • Explication : Ignorer les anomalies de performance dans les journaux peut conduire à la méconnaissance des attaques de type déni de service ou d’autres manipulations du trafic.
  • Exemple : Ne pas détecter une augmentation soudaine du trafic qui pourrait indiquer une attaque.

6. Absence de Corrélation des Événements :

  • Explication : La corrélation des événements est cruciale pour comprendre les attaques complexes qui impliquent plusieurs actions sur une période de temps.
  • Exemple : Ne pas corréler les événements tels que les tentatives d’authentification infructueuses et les scans de ports.

7. Manque de Journalisation dans les Couches Applicatives :

  • Explication : L’absence de journalisation au niveau des couches applicatives peut rendre difficile la compréhension des comportements spécifiques aux applications.
  • Exemple : Ne pas enregistrer les actions des utilisateurs au-delà des activités de base, telles que les tentatives de manipulation de données.

8. Journalisation Non Sécurisée :

  • Explication : Si les journaux ne sont pas protégés adéquatement, ils pourraient être sujets à des manipulations par des attaquants pour masquer leurs traces.
  • Exemple : Des journaux accessibles en écriture par tous les utilisateurs, permettant à un attaquant de les modifier.

9. Manque d’Audit des Modifications de Configuration :

  • Explication : Ignorer les changements de configuration peut conduire à une méconnaissance des modifications non autorisées qui pourraient affecter la sécurité.
  • Exemple : Ne pas auditer les modifications apportées aux paramètres de sécurité d’une application.

10. Non-Examen Régulier des Journaux :

  • Explication : Si les journaux ne sont pas régulièrement examinés, les activités suspectes peuvent rester non détectées pendant longtemps.
  • Exemple : Ne pas effectuer de revues régulières des journaux pour identifier des tendances ou des comportements anormaux.

Pour remédier à la carence des systèmes de contrôle et de journalisation, il est essentiel de mettre en place des mécanismes de surveillance proactive, de configurer des alertes en temps réel, de conserver les journaux de manière sécurisée, d’effectuer des audits réguliers, et de mettre en œuvre des politiques de conservation des journaux appropriées. La journalisation efficace et la surveillance des activités sont des composants essentiels de toute stratégie de sécurité des applications web.

Posted in DevSecOps by muzdusTaggs: