A09:2025 – Eșecuri de Jurnalizare și Alertare a Securității

Aplicații care nu jurnalizează evenimente critice de securitate, cum ar fi autentificările eșuate, modificările de permisiuni sau accesul la date sensibile. Aceasta face dificilă sau imposibilă detectarea și investigarea incidentelor de securitate.

Aplicații care jurnalizează prea puține informații pentru a fi utile sau prea multe informații, făcând dificilă identificarea evenimentelor relevante. De exemplu, jurnalizarea doar a faptului că a avut loc o eroare, fără detalii despre natura erorii sau contextul în care a apărut.

Aplicații care jurnalizează date sensibile, cum ar fi parole, token-uri de sesiune sau date personale, fără a le masca sau criptă. Aceasta poate duce la expunerea datelor sensibile în cazul accesului neautorizat la jurnale.

Organizații care nu monitorizează activ jurnalele de securitate sau care nu au implementat sisteme de alertare pentru evenimente suspecte. Aceasta permite atacatorilor să opereze nedetectați pentru perioade lungi de timp.

Organizații care nu au implementat procese de răspuns la incidente sau care nu răspund prompt la alertele de securitate. Aceasta permite atacatorilor să persiste în sistem și să cauzeze daune semnificative înainte de a fi opriți.

Serverele au ore diferite și jurnalele au timestamp-uri inconsecvente, dificultând correlarea evenimentelor. Atacatorii pot exploata aceasta pentru a ascunde activitatea lor.

rm -rf /var/log/auth.log # Stergere track-ului de intruziune

Un atacator cu acces filesystem stochează local jurnalele sau le modifică pentru a ascunde urmele. Jurnalele nu sunt protejate și sunt ușor de manipulat.