Logging ו-Monitoring — אי אפשר להגן על מה שלא רואים
צוות CyberHub · לפני 14 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
תיעוד (logging) וניטור הם הבסיס לזיהוי מתקפות. בלי לוגים טובים, פריצה יכולה לעבור חודשים בלי שאף אחד ישים לב.
אחת הקטגוריות ב-OWASP Top 10 היא דווקא "כישלון בתיעוד וניטור". למה זה כל כך חשוב?
הכלל
אי אפשר לזהות, לחקור או לעצור מה שלא תיעדת. הזמן הממוצע לגילוי פריצה הוא חודשים — בעיקר כי אין לוגים טובים.
מה כדאי לתעד?
- התחברויות (הצלחות וכשלונות).
- שינויי הרשאות ופעולות אדמין.
- גישה לנתונים רגישים.
- שגיאות ואירועים חריגים.
מה לא לתעד?
סיסמאות, מספרי כרטיס, נתונים אישיים גולמיים — לוג יכול בעצמו לדלוף.
עקרונות
- ריכוז — שלחו לוגים למקום מרכזי (SIEM), לא רק מקומית (תוקף ימחק מקומיים).
- שלמות — לוגים שאי אפשר לשנות.
- התראות — לוג בלי שמישהו מסתכל עליו = חסר ערך. הגדירו התראות על דפוסים חשודים.
- שמירה — לתקופה מספקת לחקירה.
הלקח: לוגים הם "מצלמות האבטחה" של המערכת. בלעדיהם אתם עיוורים.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🛡️ עוד הגנה
Defense in Depth — למה הגנה אחת אף פעם לא מספיקה
הגנה לעומק (Defense in Depth) היא אסטרטגיה של שכבות הגנה מרובות, כך שאם אחת נכשלת — האחרות עדיין מגנות. עיקרון יסוד באבטחה.
כלל 3-2-1 לגיבויים — ההגנה הכי טובה מפני כופרה
מתקפת כופרה (Ransomware) מצפינה את הקבצים שלכם ודורשת תשלום. הגנה אמיתית אחת עובדת תמיד: גיבוי טוב. כלל 3-2-1 הוא הסטנדרט.
סיסמאות חזקות ו-2FA: ההגנה שכל אחד חייב
רוב הפריצות לחשבונות פרטיים לא דורשות 'האקר גאון' — אלא סיסמה חלשה או כזו שדלפה. הנה איך מגינים על עצמכם ב-10 דקות.