Vijf fouten die tijdens log analyse gemaakt worden
Om het bedrijfsnetwerk tegen kwaadwillenden en allerlei malware te beschermen hebben bedrijven vandaag de dag de beschikking over talloze oplossingen. Al die apparaten genereren gigantische hoeveelheden audit gegevens, waarschuwingen en andere logs. Gegevens die geanalyseerd moet worden, maar tijdens het analyse proces wil er nog wel eens wat misgaan. Dit artikel bekijkt 5 fouten die tijdens het analyseren van loggegevens gemaakt worden:
1. Het niet bekijken van de logs
2. Logs te kort opslaan
3. Het niet normaliseren van logs
4. Het niet prioritiseren van loggegevens
5. Alleen maar letten op de gevaarlijke dingen
loggegevens? Dit wordt natuurlijk ook vaak veroorzaakt door punt 2:
ontbrekende logs kun je moeilijk bekijken.
Als je een grote website hebt met veel bezoekers krijg je ook gigantische
veel en grote logs. Wat verwacht je nou van mensen met dat soort servers,
dat ze elk letterje van de log bekijken? Dan kan je net zo goed 30
werknemers inhuren die alleen maar de hele dag je logs nakijken.
Nummer 0: Geen gesynchroniseerde tijd.
Erg sterk en zeker waar ;-)
Ik heb het zelf een paar keer gehad, nou dan zijn je logs
waardeloos. Daar kom je pas achter als je zoiets
vanzelfsprekends verwacht op een server en je collega daar
simpelweg gewoon geen bal om geeft.
Een server moet gewoon een ntp client hebben en zo hoog
mogelijk in de NTP chain zitten.
Echter krijgen sommige administrators weinig tijd of
resources om dit soort dingen aan te pakken. Allerlei kul
als het resetten van paswoorden zijn belangrijker kennelijk.
Het gesnoeid inrichten van een netwerkomgeving begint bij
het bij kunnen houden van hoe het netwerk belast/gebruikt
wordt.
Gewoon implementeren en er niet meer naar omkijken is vragen
om problemen. Sterker nog, je komt met problemen te zitten
die dagen kunnen kosten voordat je weet wat er aan de hand
is of was. Terwijl je dat voorkomt als je een systematisch
ingericht analyse lab hebt en ook gebruikt.
Tja, want logs........ die zijn er toch enkel voor *ALS* er
wat gebeurd en toch niet *VOORDAT* er wat gebeurd?
Als je zo denkt, dan ben je zeker van mening dat tools als
Snort en cons(n)orten voor niets actief loggen en analyses
outputten, fingerprints van aanvallen bijhouden en eigen
netwerkgedrag controleren?
- Unomi -
Hebben ze bij security niks beters te melden dan top 5 dingen die je wel of
niet moet doen?
O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5 dingen die je wel of
niet moet doen?
open te trappen. Althans, voor een beetje security pro zijn dit open deuren.
Er zijn hier echter ook regelmatig bezoekers die nog niet zo pro zijn...
O o wat weten wij ze het allemaal goed.
Hebben ze bij security niks beters te melden dan top 5
dingen die je wel of
niet moet doen?
open deuren
open te trappen. Althans, voor een beetje security pro zijn
dit open deuren.
Er zijn hier echter ook regelmatig bezoekers die nog niet zo
pro zijn...
En nog een goeie reactie van SirDice...... ;-)
Leren is een kwestie van herhalen van de te leren stof. Hoe
vaker het herhaald wordt, hoe meer het voor mensen gaat leven.
Ook mensen die er zelf weinig mee te maken hebben momenteel,
zullen later zich fragmenten kunnen herinneren van wat er
toen stond. Dan hebben ze er zelf misschien wel mee te maken
(zijn ze misschien zelf admin geworden) en gaan ze de
gelezen stof ook snappen en zelf toepassen. Maar eh.... waar
stond dat artikel ook alweer?
Dan is het fijn en goed en verstandig hier en daar het nog
eens herhaald te hebben.
Er worden in tijdschriften nog steeds tutorials geplaatst
over het zelf bouwen van websites en het snappen van HTML.
Nou, na zoveel jaar toch echt wel een open deur hoor. Maar
dat wij en misschien jezelf ook voorop lopen met bepaalde
zaken, wil niet zeggen dat het voor anderen ook gebakken
koek is.
Ikzelf ben ook blij als bepaalde zaken herhaald worden om
het nog maar eens op te frissen. Het hoge "oh ja, dat was/is
ook zo" gehalte en daarachter meteen de "gut, dat is ook
zo,hoe zat het ook alweer" erlebnis. Geen problemen mee hoor.
- Unomi -
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.