Skip to main content

Security Logging & Monitoring Failures

  • Penjelasan Singkat: Kegagalan sistem dalam mencatat aktivitas mencurigakan, membuat serangan sulit dideteksi (Blind Spot).

Mode Pada Project Ini

  • Mode Vuln (Rentang): Tidak ada pencatatan log saat serangan terjadi.
  • Mode Fix (Aman): Sistem menerapkan Centralized Logging (SIEM Sederhana).
    • Mitigasi: Setiap kali ada kegagalan login atau percobaan akses ilegal (IDOR), sistem mencatat IP, Username, dan Waktu kejadian ke database security_logs.

🧠 Penjelasan Sederhana

Bayangkan rumah Anda tidak memiliki kamera pengawas atau alarm. Jika maling masuk, Anda tidak akan tahu:

  • Kapan kejadiannya
  • Barang apa saja yang dicuri
  • Ciri-ciri pelakunya
  • Bahkan tidak sadar rumah sudah dibobol sampai seminggu kemudian!

Security Logging & Monitoring Failures adalah:

  • Kegagalan sistem dalam mencatat aktivitas mencurigakan
  • Tidak ada alarm saat terjadi serangan (brute force, IDOR, dll)
  • Tim keamanan "buta" sehingga serangan bisa berlangsung berhari-hari tanpa terdeteksi

🔍 Kategori Keamanan (OWASP)

Termasuk dalam:
OWASP Top 10 2021
Kategori: A09:2021 - Security Logging and Monitoring Failures

Mengapa masuk Top 10?
Tanpa logging yang baik, semua mitigasi keamanan lain (seperti rate limiting atau access control) menjadi tidak berguna karena tim tidak bisa:

  • Mendeteksi serangan sedang berlangsung
  • Melacak sumber serangan
  • Menganalisis kerusakan pasca-serangan

🌍 Di Mana Biasa Terjadi?

Kegagalan logging umum ditemukan di:

  1. Endpoint kritis
    • Halaman login (/login, /api/auth)
    • Fungsi akses data sensitif (/view-medical-record, /download-invoice)
  2. Sistem dengan asumsi "tidak akan diserang"
    • Aplikasi internal perusahaan
    • Sistem legacy yang tidak pernah diaudit
  3. API tanpa audit trail
    • Tidak ada pencatatan siapa yang mengakses/mengubah data

💥 Mengapa Sangat Berbahaya?

  1. Deteksi Terlambat: Rata-rata serangan baru terdeteksi 207 hari setelah terjadi (IBM Cost of Data Breach 2023)
  2. Kerugian Membengkak: Biaya kebocoran data
  3. Forensik Mustahil: Tanpa log, tim tidak bisa:
    • Mengetahui data apa saja yang dicuri
    • Memulihkan sistem ke kondisi aman
    • Memenuhi kewajiban hukum (GDPR/PerMenKominfo)
  4. Serangan Berulang: Penyerang tahu sistem "buta" dan akan kembali menyerang

🛡️ Cara Mencegah (Best Practices)

  1. Catat Semua Aktivitas Kritis

    • Minimal: Login gagal, akses data sensitif, perubahan hak akses, penghapusan data
    • Format wajib: Waktu (timestamp), IP, User ID, Tipe event, Detail aktivitas

  2. Simpan Log di Database

    • Gunakan database untuk menyimpan data log

  3. Pasang Alarm Real-Time

    • Contoh trigger:
      • 10+ login gagal dari 1 IP dalam 1 menit
      • Akses ke 50+ data berbeda dalam 30 detik (potensi IDOR massal)
    • Kirim notifikasi ke Slack/Telegram/email tim keamanan

  4. Lakukan Simulasi Serangan Bulanan

    • Uji apakah logging bekerja dengan mencoba:
      • Brute force 3x di login page
      • Akses URL dengan ID ilegal (/profile?id=99999)
    • Verifikasi log muncul di dashboard monitoring