You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Access keys of an administrative API were leaked on a public repository. The
23
-
repository owner was notified by email about the potential leak, but took more
24
-
than 48 hours to act upon the incident, and access keys exposure may have
25
-
allowed access to sensitive data. Due to insufficient logging, the company is
26
-
not able to assess what data was accessed by malicious actors.
27
-
28
-
### Scenario #2
29
-
30
-
A video-sharing platform was hit by a “large-scale” credential stuffing attack.
31
-
Despite failed logins being logged, no alerts were triggered during the timespan
32
-
of the attack. As a reaction to user complaints, API logs were analyzed and the
33
-
attack was detected. The company had to make a public announcement asking users
34
-
to reset their passwords, and report the incident to regulatory authorities.
35
-
36
-
## How To Prevent
37
-
38
-
* Log all failed authentication attempts, denied access, and input validation
39
-
errors.
40
-
* Logs should be written using a format suited to be consumed by a log
41
-
management solution, and should include enough detail to identify the
42
-
malicious actor.
43
-
* Logs should be handled as sensitive data, and their integrity should be
44
-
guaranteed at rest and transit.
45
-
* Configure a monitoring system to continuously monitor the infrastructure,
46
-
network, and the API functioning.
47
-
* Use a Security Information and Event Management (SIEM) system to aggregate and
48
-
manage logs from all components of the API stack and hosts.
49
-
* Configure custom dashboards and alerts, enabling suspicious activities to be
50
-
detected and responded to earlier.
51
-
52
-
## References
53
-
54
-
### OWASP
22
+
Τα κλειδιά πρόσβασης ενός API διαχείρισης διέρρευσαν σε ένα δημόσιο χώρο αποθήκευσης (public repository).
23
+
Ο κάτοχος του αποθετηρίου ειδοποιήθηκε μέσω email σχετικά με την πιθανή διαρροή,
24
+
αλλά χρειάστηκαν περισσότερες από 48 ώρες για να αντιμετωπιστεί το συμβάν και η έκθεση των κλειδιών
25
+
πρόσβασης μπορεί να επέτρεψε την πρόσβαση σε ευαίσθητα δεδομένα. Λόγω ανεπαρκούς καταγραφής,
26
+
η εταιρεία δεν είναι σε θέση να αξιολογήσει σε ποια δεδομένα είχαν πρόσβαση κακόβουλοι παράγοντες.
27
+
28
+
### Σενάριο Επίθεσης #2
29
+
30
+
Μια πλατφόρμα κοινής χρήσης βίντεο χτυπήθηκε από μια «μεγάλης κλίμακας» επίθεση γεμίσματος διαπιστευτηρίων.
31
+
Παρά τις αποτυχημένες συνδέσεις που καταγράφηκαν, δεν ενεργοποιήθηκαν ειδοποιήσεις κατά τη διάρκεια του χρόνου της επίθεσης.
32
+
Ως αντίδραση σε παράπονα χρηστών, τα αρχεία καταγραφής API αναλύθηκαν και η επίθεση εντοπίστηκε.
33
+
Η εταιρεία έπρεπε να κάνει μια δημόσια ανακοίνωση ζητώντας από τους χρήστες να επαναφέρουν τους κωδικούς πρόσβασής
34
+
τους και να αναφέρουν το περιστατικό στις ρυθμιστικές αρχές.
35
+
36
+
## Τρόπος Πρόληψης
37
+
38
+
* Καταγράψτε όλες τις αποτυχημένες προσπάθειες ελέγχου ταυτότητας, την άρνηση πρόσβασης και τα σφάλματα επικύρωσης εισαγωγής (input validation errors).
39
+
* Τα αρχεία καταγραφής πρέπει να συντάσσονται χρησιμοποιώντας μια μορφή κατάλληλη για κατανάλωση από μια εφαρμογή διαχείρισης αρχείων καταγραφής (log management solution) και θα πρέπει να περιλαμβάνουν αρκετές λεπτομέρειες για τον εντοπισμό του κακόβουλου παράγοντα.
40
+
* Τα αρχεία καταγραφής θα πρέπει να αντιμετωπίζονται ως ευαίσθητα δεδομένα και η ακεραιότητά τους θα πρέπει να είναι εγγυημένη κατά την αποθήκευση και τη μεταφορά.
41
+
* Διαμορφώστε ένα σύστημα παρακολούθησης (monitoring system) για συνεχή παρακολούθηση της υποδομής, του δικτύου και της λειτουργίας του API.
42
+
* Χρησιμοποιήστε ένα σύστημα διαχείρισης πληροφοριών ασφαλείας και συμβάντων (SIEM) για να συγκεντρώσετε και να διαχειριστείτε αρχεία καταγραφής από όλα τα στοιχεία των API και των κεντρικών υπολογιστών.
43
+
* Διαμορφώστε προσαρμοσμένους πίνακες εργαλείων (dashboards) και ειδοποιήσεις (alerts), επιτρέποντας νωρίτερα τον εντοπισμό και την απόκριση ύποπτων δραστηριοτήτων.
44
+
45
+
## Αναφορές (References)
46
+
47
+
### Αναφορές OWASP
55
48
56
49
*[OWASP Logging Cheat Sheet][2]
57
50
*[OWASP Proactive Controls: Implement Logging and Intrusion Detection][3]
58
51
*[OWASP Application Security Verification Standard: V7: Error Handling and
59
52
Logging Verification Requirements][4]
60
53
61
-
### External
54
+
### Εξωτερικές Αναφορές
62
55
63
56
*[CWE-223: Omission of Security-relevant Information][5]
0 commit comments