← A08: Software and Data Inte…A10: Server-Side Request Fo… →

A09: Security Logging and Monitoring Failures

Если атаку никто не видит, она длится месяцами — логирование и мониторинг превращают молчание в сигнал тревоги.

Security Logging and Monitoring Failures — недостаточное журналирование и наблюдение, из-за которого инциденты не обнаруживаются и не расследуются вовремя.

Эта категория про «невидимые» атаки. Можно отбить взлом, но если вы о нём не узнали, злоумышленник спокойно сидит в системе. Среднее время обнаружения вторжения в индустрии измеряется месяцами — во многом из-за слабого мониторинга.

Что логировать

  • Входы и выходы, особенно неудачные попытки и блокировки.
  • Отказы в доступе (403) и ошибки авторизации.
  • Изменения прав, ролей, критичных настроек.
  • Серверные ошибки и исключения с идентификатором запроса.
2026-06-22T10:00 WARN auth login_failed user=anna ip=... attempt=5
2026-06-22T10:00 WARN authz access_denied user=anna resource=/admin
// всплеск таких записей — повод для алерта

Мониторинг и оповещения

Логи бесполезны, если их никто не смотрит. Нужны автоматические алерты на подозрительные паттерны: всплеск неудачных входов, массовые 403, аномальный трафик. Алерт должен будить дежурного, а не теряться в потоке.

Не утечь данные в логи

Парадокс: логи сами могут стать утечкой. Никогда не пишите в логи пароли, токены, номера карт, персональные данные. Логи часто хранятся менее защищённо, чем база, и доступны большему числу людей.

Как защищаться

  • Логируйте события безопасности с достаточным контекстом (кто, что, когда, откуда).
  • Настройте алерты на аномалии и реально на них реагируйте.
  • Защищайте сами логи: контроль доступа, неизменяемость, отдельное хранилище.
  • Маскируйте чувствительные данные перед записью.
  • Имейте план реагирования на инцидент (кто что делает при тревоге).

Частые ошибки разработчиков

  • Логируют всё подряд, включая пароли и токены, превращая логи в утечку.
  • Пишут логи, но никто их не читает и нет алертов — мониторинга фактически нет.
  • Хранят логи без защиты и ротации, теряя их именно тогда, когда они нужны для расследования.

Итог

  • Без логирования и мониторинга атаки остаются незамеченными надолго.
  • Логируйте события безопасности и настраивайте алерты на аномалии.
  • Не пишите в логи секреты и персональные данные; защищайте сами логи.
Проверьте себя
1. Какое главное последствие слабого логирования и мониторинга?
AСайт работает медленнее
BАтаки остаются незамеченными и длятся долго
CРастёт счёт за хостинг
DНичего не меняется
2. Что нельзя записывать в логи?
AВремя события
BПароли, токены, номера карт, персональные данные
CIP-адрес запроса
DКод ответа сервера