Monitoraggio della sicurezza mediante la gestione dei log

Monitoraggio della sicurezza mediante la gestione dei log

Con il termine log si intende un record di eventi che si verificano all’interno dei sistemi informatici e delle reti di un’organizzazione. I log sono composti da entries; ogni entry contiene informazioni relative ad uno specifico evento che si è verificato all’interno di un sistema o di una rete. In origine i log erano usati soprattutto per la risoluzione dei problemi, ma attualmente i log espletano varie funzioni all’interno delle organizzazioni, come l’ottimizzazione delle prestazioni dei sistemi e delle reti, la registrazione delle azioni degli utenti, l’investigazione sulle attività malevole. Molti di questi log contengono informazioni relative alla sicurezza dei sistemi; esempi di questo tipo di log sono gli audit log, che tengono traccia dei tentativi di autenticazione degli utenti e i log dei dispositivi di sicurezza, che registrano possibili attacchi.

In seguito all’aumento del numero di dispositivi connessi alla rete e all’aumento delle minacce a tali sistemi, il numero di log è andato via via aumentando, fino a richiedere un vero e proprio processo di log management. Con log management si intende il processo di generazione, trasmissione, memorizzazione, analisi e messa a disposizione dei log di sicurezza.

Con infrastruttura di log management si intende l’insieme di hardware, software, reti e media utilizzati per il log management (gestione dei log).

Monitoraggio della sicurezza mediante la gestione dei log

Tipologie e gestione dei log di sicurezza

Le varie tipologie di sistemi presenti all’interno di un’organizzazione producono log che contengono diverse tipologie di informazioni. Alcune tipologie di log sono più indicate di altre ai fini di indivuare attacchi, frodi e usi inappropriati. Per ogni tipo di situazione, certi log sono più pertinenti di altri nel contenere informazioni dettagliate sulle attività in questione. Altri tipi di log contengono informazioni meno dettagliate, ma sono comunque utili per correlare i log con quelli del tipo principale. Per esempio, un sistema di intrusion detection può rilevare comandi malevoli inviati ad un server da un host esterno: questa sarà la fonte primaria di informazioni. Può essere quindi utile cercare all’interno dei log di un firewall altre connessioni tentate dallo stesso IP sorgente: questa sarà la fonte secondaria di informazione sull’attacco. A tal proposito è utile la lettura dell’articolo Log di sicurezza e dispositivi di sicurezza e di quello circa il Monitoraggio della sicurezza informatica mediante analisi dei rischi.

 

Precedente Pensiero computazionale: l'importanza dell'informatica e della programmazione Successivo Log di sicurezza e dispositivi di sicurezza

Lascia un commento

*