Hvorfor er sikkerhet logging og overvåking viktig?

Question

Accepted Answer

**Sikkerhet logging og overvåking** muliggjør oppdagelse og respons på sikkerhetstrusler og hendelser. Uten tilstrekkelig logging/overvåking, går angrep uoppdaget — som er hvorfor "utilstrekkelig logging og overvåking" er gjenkjent som en sikkerhetsrisiko (OWASP).

## Hvorfor logging og overvåking er viktig for sikkerhet

```text
You can't respond to (or even know about) attacks you can't DETECT:
  → without logging/monitoring, breaches go UNNOTICED (often for months) → far more damage
  → "Security Logging and Monitoring Failures" is an OWASP Top 10 risk
→ detection is essential — you can't stop every attack, but you must DETECT and respond.
```

## Hva som skal logges og overvåkes

```text
✓ AUTHENTICATION events → logins, failures, lockouts (detect brute force/credential stuffing)
✓ ACCESS to sensitive data/actions → audit trail (who did what, when)
✓ AUTHORIZATION failures → repeated denied access (probing/attacks)
✓ Anomalies → unusual patterns, spikes, suspicious behavior, errors
✓ ADMINISTRATIVE/privileged actions; config changes; security-relevant events
⚠️ but DON'T log sensitive data (passwords, full card numbers, secrets) — that's a risk itself
```

## Oppdagelse og respons

```text
✓ ALERTING → notify on suspicious activity (so you can respond quickly)
✓ SIEM tools → aggregate/analyze logs; correlate events; detect threats
✓ Centralized, tamper-resistant logs (attackers try to delete logs); retention
✓ Connect to INCIDENT RESPONSE → detection triggers the response process
✓ Regular review; baseline normal to spot anomalies; threat detection (GuardDuty etc.)
```

## Hvorfor det er viktig

Å forstå hvorfor sikkerhet logging og overvåking er viktig er verdifull kunnskap på seniorni og, fordi **oppdagelse er essensiell for sikkerhet** — du kan ikke respondere på trusler du ikke kan se — så det er viktig for å beskytte systemer, gjenkjent som en sikkerhetsrisiko i seg selv.

Det grunnleggende innsiktet er at **du kan ikke respondere på eller engang vite om angrep du ikke kan oppdage**, og uten tilstrekkelig logging og overvåking, **gå brudd uoppdaget (ofte i flere måneder), noe som forårsaker langt mer skade** — som er hvorfor "Sikkerhet Logging og Overvåkings feil" er en OWASP Top 10 risiko.

Siden du ikke kan forhindre alle angrep, er oppdagelse og respons essensiell, noe som gjør logging og overvåking til en kritisk sikkerhetsevne.

Å forstå **hva som skal logges og overvåkes** — autentiserings hendelser (oppdagelse av brute force og legitimasregning snylting), tilgang til sensitive data og handlinger (revisjons spor), autorisasjons feil (oppdagelse av sondering), anomalier (uvanlige mønstre og atferd), og administrative/privilegerte handlinger — dekker sikkerhets relevante hendelser som skal fanges, med det viktige forbehold å **ikke logge sensitive data** (passord, kortnumre, hemmeligheter — selv en risiko).

Å forstå **oppdagelse og respons** — **varsling** (varsling om mistenkelig aktivitet for rask respons), **SIEM verktøy** (samlende og korrelering av logger for å oppdage trusler), holde logger **sentralisert og manipulasjonsbestandig** (siden angripere prøver å slette logger), koble oppdagelse til **hendelse respons**, og referanse normal atferd for å oppdage anomalier — reflekterer hvordan overvåking muliggjør faktisk trussels oppdagelse og respons.

Logging og overvåking er det som gjør brudd oppdagelse og hendelse respons mulig, og gjør usynlige angrep til detekterbare, svarbare hendelser.

Siden oppdagelse er essensiell for sikkerhet (du kan ikke respondere på udetekterte angrep, og udetekterte brudd forårsaker langt mer skade) og logging/overvåking (fangst av sikkerhets hendelser, varsling, SIEM, kobling til hendelse respons) er det som muliggjør det, og siden utilstrekkelig logging/overvåking er en gjenkjent risiko, er å forstå hvorfor sikkerhet logging og overvåking er viktig verdifull kunnskap på seniorni og — essensiell for å oppdage og respondere på angrep som vil oppstå, gjenkjent som en sikkerhetsrisiko i seg selv, og reflekterer den operasjonelle sikkerhets bevissthet som forventes for senior roller ansvarlig for systemer som må oppdage og respondere på trusler, ikke bare prøve å forhindre dem.