Apa itu Logging & Alerting Failures?
Logging & Alerting Failures adalah kondisi di mana aplikasi dan infrastruktur gagal mencatat aktivitas keamanan yang penting, atau mencatatnya tetapi tidak menghasilkan alert yang tepat waktu dan tepat sasaran kepada pihak yang harus merespons.
Ini adalah satu-satunya kategori dalam OWASP Top 10 yang bukan tentang bagaimana penyerang masuk ke sistem, melainkan tentang mengapa kita tidak mengetahuinya ketika mereka masuk. Logging dan alerting yang baik tidak mencegah serangan — tetapi menentukan apakah serangan tersebut ditemukan dalam hitungan menit atau bertahun-tahun kemudian.
Dalam bahasa bisnis: ini adalah perbedaan antara mengetahui bahwa kebakaran terjadi di menit pertama (dengan detektor asap dan sprinkler) versus mengetahuinya setelah gedung sudah rata dengan tanah. Sistem keamanan tanpa logging dan alerting yang efektif tidak memiliki kemampuan deteksi dan respons — dan dalam keamanan modern, kemampuan deteksi sama pentingnya dengan kemampuan pencegahan.
Mengapa Logging dan Alerting Sering Gagal?
Paradoks Kesederhanaan
Logging terlihat mudah: tinggal catat semua kejadian. Namun logging keamanan yang efektif membutuhkan keputusan yang tidak trivial: apa yang dicatat, seberapa detail, disimpan di mana, berapa lama, dan kapan harus menghasilkan alert. Setiap keputusan ini memiliki trade-off antara visibilitas, storage cost, dan signal-to-noise ratio.
Alert Fatigue
Sistem yang menghasilkan terlalu banyak alert palsu (false positive) menghasilkan tim yang akhirnya mengabaikan semua alert — termasuk yang nyata. Ini adalah paradoks yang sangat umum: lebih banyak monitoring kadang menghasilkan lebih sedikit deteksi efektif.
Kurangnya Standar
Tidak ada standar logging yang universal diadopsi oleh semua aplikasi. Setiap tim, setiap aplikasi, setiap vendor memiliki format dan level detail logging yang berbeda — membuat korelasi lintas sistem menjadi sangat sulit.
Logging Dianggap Overhead
Dalam banyak tim engineering, logging diperlakukan sebagai fitur non-fungsional yang bisa "ditambahkan nanti" — dan sering kali "nanti" tidak pernah datang.
Apa yang Seharusnya Dicatat?
Kategori Log yang Kritis untuk Keamanan
Authentication Events:
Login berhasil: user, timestamp, IP, device, lokasi
Login gagal: semua percobaan, termasuk username yang dicoba
Logout
Perubahan password atau kredensial
Aktivasi/deaktivasi MFA
Permintaan dan penggunaan reset password