Log di sicurezza e dispositivi di sicurezza

Log di sicurezza e dispositivi di sicurezza

Introduzione ai log di sicurezza

Log di sicurezza e dispositivi di sicurezza

La sicurezza costituisce un elemento sempre più importante nell’ambito di aziende e pubblica amministrazione, soprattutto in seguito alla sempre maggior interconnessione tra i sistemi e all’aumento dei servizi Internet. Per questo motivo negli ultimi anni si è assistito ad un proliferare di sistemi di sicurezza, passando da un modello basato su pochi dispositivi posti sul perimetro della rete, ad un modello di sicurezza distribuita, in cui tutti gli end-point della rete collaborano alla sicurezza.

Il continuo aumento del numero e dell’assortimento dei dispositivi di sicurezza presenti in azienda, e in generale l’aumento della complessità del sistema informativo aziendale fa sì che che i team dedicati alla sicurezza siano alle prese con un flusso di eventi continuamente crescente e spesso ingestibile. Gli amministratori di sicurezza, di sistema e di rete, sotto la cui responsabilità ricade tradizionalmente l’analisi dei log, considerano tale attività come un’attività a bassa priorità, noiosa e poco produttiva rispetto al dispendio di tempo ed energia richiesti. Questo è in parte motivato dal fatto che su milioni di log prodotti giornalmente, solo poche decine hanno un interesse reale e senza strumenti automatici è impossibile distinguerli dal rumore di fondo.

La necessità di rilevare prontamente eventuali attacchi e violazione delle policy, il rispetto di normative e di “best practice” sulla sicurezza delle informazioni rendono indispensabile la presenza di un’infrastruttura di log management robusta e affidabile, che automatizzi anche alcune operazioni di analisi impossibili da svolgere a mano.

Software di sicurezza

All’interno delle organizzazioni sono presenti diversi dispositivi di sicurezza che hanno lo scopo di evidenziare e di proteggere da attività malevole. Occorre partire da queste tipologie di log nella realizzazione di un’infrastruttura di log management (gestione dei log).

Descriviamo brevemente scopi e caratteristiche delle principali tipologie di dispositivi di sicurezza, al fine di comprendere che tipo di informazioni è possibile estrarne.

  • Firewall. I firewall sono dispositivi che, basandosi su policy definite più o meno complesse, bloccano o permettono il passaggio di traffico di Generalmente viene generato un record di log per ogni pacchetto o per ogni sessione del traffico di rete che attraversa il firewall, con la policy che viene applicata.
  • Sistemi AntiMalware. I software antimalware più comuni sono i software antivirus. Tipicamente registrano tutte le istanze di malware, file e sistemi disinfestati e file messi in In più, i software antivirus possono anche registrare quando vengono effettuate scansioni alla ricerca di malware e quando viene fatto l’update del database delle signature.
  • Sistemi di Intrusion Prevention e Intrusion Detection. I sistemi di Intrusion Detection e Intrusion Prevention hanno lo scopo di segnalare (Intrusion Detection) e/o di bloccare (Intrusion Prevention) eventuali attacchi alle reti o ai sistemi, generalmente basando il riconoscimento su signature e/o anomalie nel I log registrano informazioni sui sospetti tentativi di attacco e sulle azioni intraprese per bloccarli.
  • Virtual Private Network software. Le VPN garantiscono l’accesso remoto in modalità sicura alle risorse aziendali. I log di tali sistemi contengono generalmente tentativi di autenticazioni, sia falliti che andati a buon fine, durata e provenienza delle connessioni, le risorse a cui l’utente ha avuto accesso.
  • Web Proxy. I web proxy sono sistemi che fungono da intermediari nell’accesso alle risorse web, mantenendo una cache locale delle pagine web e restringerndo l’accesso ad alcune risorse web basandosi su policy definite, proteggendo così la rete dell’organizzazione. I log registrano gli url a cui gli utenti hanno avuto accesso attraverso il web proxy.
  • Sistemi di autenticazione. Tipicamente directory server, radius server e server di single sign on, registrano le autenticazioni andate a buon fine e i tentativi di autenticazione falliti, con lo username dell’utente, il timestamp, il sistema di provenienza.
  • Software per la gestione delle vulnerabilità. In questa categoria sono compresi i software per la gestione delle patch di sicurezza e i software per il vulnerability. I log contengono dunque la storia delle patch installate e lo stato delle vulnerabilità di ogni host.

Sistemi operativi

Anche i sistemi operativi presenti su server, workstation e apparati di rete producono log significativi dal punto di vista della sicurezza, appartenenti alle categorie di seguito elencate. I log dei sistemi operativi contengono inoltre log dei software di sicurezza e delle applicazioni installate sul sistema: tali log rientrano nelle tipologie trattate al paragrafo precedente e al paragrafo successivo.

  • Eventi di sistema. Gli eventi di sistema sono azioni svolte dai singoli componenti dei sistemi operativi. Tipicamente vengono registrati gli eventi falliti e gli eventi più significativi che hanno avuto Alcuni sistemi operativi permettono all’amministratore di definire i tipi di eventi di cui tenere traccia. I log contengono un timestamp, il nome del sistema e altre informazioni che possono variare enormemente da sistema a sistema, come descrizione dell’evento, stato, codici di errore.
  • Audit Record. Contengono eventi relativi alla sicurezza, come tentativi di autenticazione andati a buon fine o falliti, utilizzo di privilegi amministrativi da parte dell’utente, accesso a file critici, modifica di policy di sicurezza, creazione, modifica, cancellazione di account e variazione nella composizione di gruppi. Gli amministratori dei sistemi operativi in genere possono specificare quali tipi di eventi possono essere soggetti ad audit e se tenere traccia di alcune azioni andate a buon fine o fallite.

I log del sistema operativo sono importanti soprattutto nel caso di attacchi verso un host specifico. Se per esempio da parte di un software di sicurezza viene segnalato un’attività sospetta, sui log del sistema operativo possono essere trovati maggiori dettagli sull’attività segnalata. La maggior parte dei sistemi operativi produce log in formato syslog, mentre, altri, come per esempio Microsoft Windows, utilizzano un formato proprietario.

Applicazioni

Le applicazioni, usate all’interno delle organizzazioni per memorizzare, accedere e manipolare i dati usati dai processi di business, possono generare i loro log o utilizzare le funzionalità di log del sistema operativo. Le informazioni contenute all’interno dei log cambiano enormemente a seconda del tipo di applicazione. Di seguito vengono elencati tipologie di informazioni che possono essere contenute all’interno dei file di log di applicazioni e che possono riguardare il monitoraggio della sicurezza.

  • Richieste del client e risposte del server. Possono essere molto utili per ricostruire sequenze di eventi e il loro esito, in caso di investigazione sugli incidenti, nelle operazioni di audit e in fase di verifiche sulle conformità alle policy.
  • Informazioni su account. Contengono informazioni come tentativi di autenticazione che hanno avuto successo o che sono falliti, modifiche sugli account, uso di privilegi. Possono essere utilizzati per individuare attacchi di forza bruta o escalation di privilegi e per verificare chi ha utilizzato l’applicazione e in quali momenti.
  • Informazioni sull’uso. Contengono informazioni come il numero di transazioni in un certo periodo di tempo e la grandezza delle transazioni. Possono essere utilizzati per alcuni tipi di monitoraggio, quando si verificano variazioni significative rispetto al normale utilizzo.
  • Azioni significative. Contengono informazioni come l’avvio o lo stop dell’applicazione, errori dell’applicazione o le principali modifiche nella configurazione. Possono essere utilizzate per verificare le compromissioni della sicurezza e malfunzionamenti.

Tali log sono importanti soprattutto in caso di incidenti che coinvolgono le applicazioni; spesso però sono in formato proprietario, cosa che rende difficile il loro utilizzo.

Precedente Monitoraggio della sicurezza mediante la gestione dei log Successivo Principali scopi di un'infrastruttura di log management

Lascia un commento

*