Analisi, gestione e protezione dei log di sicurezza

Analisi, gestione e protezione dei log di sicurezza

La gestione dei log all’interno delle organizzazioni presenta diverse sfide, che si possono riassumere con la considerazione che le risorse per la gestione e la protezione dei log sono sempre meno e meno preparate, mentre il numero e la varietà dei log è in aumento. Vediamo più in dettaglio quali sono le problematiche.

Analisi dei log

All’interno della maggior parte delle organizzazioni, gli amministratori di sistema e di rete sono stati tradizionalmente responsabili dell’analisi dei log, studiando i log per identificare eventi di interesse. L’analisi dei log è spesso stata trattata come attività a bassa priorità da amministratori e dal management, perché altre attività degli amministratori necessitavano di risposte più rapide.

Gli amministratori che effettuano l’analisi dei log spesso non ricevono formazione adeguata per effettuare l’analisi efficacemente ed efficientemente, particolarmente per quel che riguarda la prioritarizzazione. Inoltre molti amministratori non hanno a disposizione tool che siano efficaci nell’automatizzazione dei processi di analisi. Molti di questi tool sono particolarmente efficaci nel trovare pattern che gli umani non possono vedere facilmente, come la correlazione di eventi da diverse sorgenti che si riferiscono allo stesso evento. Un altro problema consiste nel fatto che molti amministratori considerano l’attività di analisi dei log noiosa e poco proficua rispetto al tempo richiesto. L’analisi dei log è spesso trattata come reattiva, spesso fatta dopo che un problema è stato già identificato mediante altri mezzi, piuttosto che proattiva, per identificare problemi imminenti. Tradizionalmente, la maggior parte dei log non viene analizzata in realtime.

Gestione e registrazione dei log

I log sono prodotti e risiedono su molti host all’interno dell’organizzazione, rendendo necessaria l’implementazione di un sistema di log management. Una stessa sorgente di log può inoltre generare molteplici log, per esempio un’applicazione può registrare gli eventi di autenticazione in un log e l’attività di rete in un’altra.

Ogni sorgente di log registra solo alcune informazioni all’interno dei propri log, come l’indirizzo IP dell’host e lo username. Per efficienza, spesso la sorgente di log registra solo la parte di informazione ritenuta più importante. Questo può rendere difficile registrare gli eventi provenienti da diverse sorgenti (ad esempio la sorgente 1 registra l’indirizzo IP, ma non lo username e viceversa). Ogni tipo di log può inoltre rappresentare i valori in maniera diversa.

Ogni sorgente di log registra eventi associando un timestamp basato sul suo orologio interno. Se l’orologio interno non è preciso, l’evento verrà registrato con un timestamp non preciso, che in fase di analisi dei log potrebbe portare che una certa sequenza di eventi si sia svolta con un ordine diverso da quanto avvenuto realmente.

Molte sorgenti di log usano diversi formati, come campi separati da virgola, campi separati da tabulazioni, database, syslog, snmp, file xml, file binari. Alcuni formati di log sono pensati per essere letti da umani, altri no. Alcuni log, come le trap snmp, non sono pensati per la memorizzazione in un file, ma per la trasmissione via rete ad altri sistemi.

Formati e contenuti inconsistenti rappresentano un problema in fase di revisione dei log, in quanto occorre comprendere il significato di tutti i campi dati in tutti i log. Per facilitare l’analisi dei log, occorre implementare sistemi automatici per convertire log che hanno contenuti e formati differenti verso un formato standard con una rappresentazione coerente dei campi dati.

Protezione dei log

I log provenienti dai diversi sistemi dell’organizzazione possono contenere dati delicati dal punto di vista della sicurezza o della privacy, come password di utenti, dati relativi alla navigazione o alle mail. Occorre quindi che i log siano protetti (protezione dei log) adeguatamente sia durante la trasmissione che durante la registrazione, sia dal punto di vista della confidenzialità che dell’integrità. I log infatti non devono essere alterabili, per esempio da parte di malintenzionati che vogliano coprire le loro tracce.

Occorre inoltre garantire la disponibilità dei dati. Per esempio molti sistemi sono configurati in modo che i file di log abbiano una dimensione massima e che, raggiunta tale dimensione, i file di log siano sovrascritti. Per garantire il rispetto delle policy di retention, le organizzazioni devono conservare i log per un periodo di tempo maggiore rispetto a quello di persistenza sui sistemi di origine.

Precedente Requisiti di base della cartella clinica elettronica e dei sistemi di gestione Successivo I modelli dei log di sicurezza: Syslog e SIEM

Lascia un commento

*