A10 - Insufficient Logging & Monitoring 紀錄與監控不足風險

即便你做好萬全的準備來防止攻擊者來入侵你的服務，但這世上並沒有不透風的牆，也沒有繞不過的驗證（Ｘ。喔！我又在幹話了）總之，做資安除了要設想如何提升攻擊方的成本之外，還要降低當被入侵時的反應時間，使受害的成本降低。

前者，在前幾天的文章都有防護建議，所以今天我們要來談談後者，依靠紀錄與監控來達到降低入侵時的反應時間。如果攻擊未被發現，攻擊者可能已經破壞系統，影響深遠。為了確保攻擊者的惡意意圖事先得到注意，必須記錄所有活動並監視它以進行任何可疑行為。

舉例：

• 來自特定來源的失敗登錄嘗試太多

• 來自特定來源的請求太多，而且不論速度異常地快、慢或固定，都可能是攻擊者嘗試發動 DoS 攻擊。要做檢查和採取行動。

• 垃圾流量

• 在沒有預期的情況下出現高峰流量

• 需快速提供微服務，故沒針對應用程式做登錄檔的監控。

防護建議

• 確保所有使用者登入、存取控制失敗和伺服器端輸入驗證失敗皆進行記錄
• 以利識別可疑或惡意的帳戶，並且保留足夠的時間允許延遲進行數位鑑識分析