A9:2017 - Using Components with Known Vulnerabilities

- Định nghĩa : Là những rủi ro khi sử dụng mà không kiểm duyệt các thư viện,
plug-in, ứng dụng… đã tồn tại lỗ hổng (thường là mã nguồn mở công cộng).

- Nguyên nhân : 
 Không nắm được phiên bản các thành phần trong hệ thống
 Phần mềm dễ bị tấn công, không được hỗ trợ hoặc lỗi thời. Điều này bao
gồm hệ điều hành, máy chủ web / ứng dụng, hệ thống quản lý cơ sở dữ
liệu (DBMS), các ứng dụng, API và tất cả các thành phần, môi trường
thời gian chạy và thư viện.
 Không quét lỗ hổng thường xuyên và đăng ký nhận các bản tin bảo mật
liên quan đến các thành phần bạn sử dụng.
 Không sửa chữa hoặc nâng cấp nền tảng, khuôn khổ và phụ thuộc cơ
bản theo cách kịp thời, dựa trên rủi ro. Điều này thường xảy ra trong các
môi trường khi vá lỗi là nhiệm vụ hàng tháng hoặc hàng quý dưới sự
kiểm soát thay đổi, điều này khiến các tổ chức có thể tiếp xúc nhiều
ngày hoặc nhiều tháng không cần thiết với các lỗ hổng cố định.
 Nhà phát triển phần mềm không kiểm tra khả năng tương thích của các
thư viện được cập nhật, nâng cấp hoặc bản vá.
 

- Tác hại : Từ những lỗ hổng trên, tin tắc có thể khai thác và thực hiện các hình
thức tấn công hệ thống gây hậu quả nghiêm trọng. Phổ biến nhất là SQLi và
XSS.

- Cách thức giảm thiểu, phòng chống : 

 Có quy trình quản lý bản vá giúp phát hiện và vá các thành phần dễ bị
tấn công bằng cách sử dụng cơ sở dữ liệu CVE công khai.
 Áp dụng một số phân tích hành vi để phát hiện bất kỳ hoạt động bất
thường nào. 
 Loại bỏ các phụ thuộc không sử dụng, các tính năng, thành phần, tệp và
tài liệu không cần thiết.
 Liên tục kiểm kê các phiên bản của cả thành phần trong hệ thống.
 Giám sát các thư viện và thành phần không bị lỗi hoặc không tạo các
bản vá bảo mật cho các phiên bản cũ hơn. Nếu không thể vá lỗi, hãy
xem xét triển khai một bản vá ảo để theo dõi, phát hiện hoặc bảo vệ
chống lại sự cố đã phát hiện.

A10:2017 - Insufficient Logging & Monitoring

Logging : là hoạt động ghi và quản lý tất cả dữ liệu nhật ký được tạo ra hệ thống.

Monitoring : là hoạt động theo dõi các hoạt động đã và đang xảy ra trên hệ thống.

Mục đích : quản lý các hoạt động của hệ thống và phát hiện lỗi trong quá trình hệ
thống hoạt động.

Tóm lại :

- Logging cho bạn biết điều gì đã xảy ra và cung cấp cho bạn dữ liệu thô để theo
dõi sự cố.
- Monitoring cho biết biết ứng dụng của bạn đang hoạt động như thế nào và có
thể cảnh báo bạn khi có vấn đề.

Insufficient Logging & Monitoring : dịch ra là giám sát và ghi nhật ký không đầy
đủ. Nghĩa là trong quá trình giám sát hoặc ghi lại nhật ký, dữ liệu log thu về đã bị
thiếu đi hay không đáp ứng được các yêu cầu so với thực tế. Hệ thống giám sát hoạt
động không đúng như kế hoạch và không thu thập được đầy đủ như yêu cầu của người
dùng. Điều này sẽ khiến hệ thống không được đảm bảo về an toàn, và có thể dẫn đến
các hệ quả xấu.

Một số ví dụ và nguyên nhân :

- Sự kiện chưa được ghi lại : đăng nhập không thành công, các giao dịch
có giá trị lớn nhưng không được ghi chú cụ thể, dẫn đến khó khăn cho
giám sát viên.
- Nhật ký không được sao lưu (những kẻ xâm nhập truy cập vào hệ thống
thường sẽ xóa nhật ký để che khuất chuyển động của chúng, do đó bạn
sẽ không thể truy tìm nguồn gốc của xâm nhập)
- Phân loại và xử lý log yếu, phần mềm không cảnh báo về các sự kiện
dường như không quan trọng, ví dụ: đăng nhập không thành công hoặc
sự kiện chỉ đọc có vẻ vô hại.
- Đào tạo ghi nhật ký và giám sát không đầy đủ.
- Không có các khuôn khổ bảo mật kiểm tra và giám sát tự động; thiếu
nhân viên bảo mật có kỹ năng để phân tích dữ liệu nhật ký.
- Quản lý xác thực kém.
- Trang web không thể thông báo kịp thời với các cuộc tấn công thời gian
thức, khiến bị thụ động trong quá trình bảo về trang web.
- Không xuất hiện cảnh báo theo thời gian thực khi bị thâm nhập và quét
bởi các công cụ dò tìm lỗi.
- Logs chỉ được lưu trữ cục bộ.

Làm cách nào để phát hiện ghi nhật ký và giám sát không đầy đủ?

- Thường xuyên thực hiện các cuộc kiểm thử hệ thống.

- Xây dựng hệ thống phát hiện xâm nhập.

Biện pháp khắc phục :

- Thường xuyên cập nhật hệ thống giám sát và tiến hành các cuộc kiểm
thử.
- Đảm bảo log được tạo ở định dạng có thể dễ dàng sử dụng bằng giải
pháp quản lý log tập trung.
- Xây dựng hệ thống giám sát theo thời gian thực, kết hợp với thiết lập ghi
lại logs một cách rõ ràng, theo chính sách bảo mật.