Log Management: aggregare e conservare i log per garantire la sicurezza dei sistemi e ridurre i tempi di rilevamento delle minacce
Log management: che cosa è?
Potremmo definire il log come una classificazione, in ordine cronologico, delle azioni che un utente ha effettuato e degli eventi occorsi su un dato sistema informatico. Registrare queste informazioni aiuta il team IT aziendale a capire cosa e quando è successo, soprattutto in caso di attacco informatico, ma anche per migliorare la postura di sicurezza e di conformità normativa dell’azienda.
I log devono avere tre caratteristiche essenziali:
- completezza;
- possibilità di verifica della loro integrità;
- immutabilità (non deve sussistere la possibilità di alterarli).
Con Log management si indica proprio il processo di gestione e monitoraggio di queste informazioni. Un servizio di Log Management deve consentire di raccogliere log di sistema e/ o sugli applicativi dai dispositivi e applicazioni entro una rete per poi convogliare queste informazioni ad un servizio di raccolta centralizzato. Infatti il Log management è definibile come un processo centralizzato e continuativo di
- raccolta;
- analisi;
- archiviazione;
- cancellazione
dei dati di log.
Il Log Management è un obbligo di legge, ma non solo
Adottare e utilizzare un sistema di Log Management è, per le aziende, un obbligo di legge. Infatti, con il provvedimento 27/11/2008, il Garante italiano per la Protezione dei dati personali ha introdotto l’obbligo di conservare per almeno 6 mesi i log di accesso degli amministratori di sistema. Log che vanno conservati in archivi immodificabili ed inalterabili. L’entrata in vigore del GDPR ha solo riportato in auge una prescrizione già esistente nel nostro ordinamento.
La normativa rende, nei fatti, il Log Management come un’ “area” afferente alla tutela della privacy. Gestire e analizzare correttamente i file di log è necessario per garantire la protezione dei dati personali visto che permette di
- ricostruire l’attività su un sistema informatico;
- individuare eventuali responsabilità in caso di violazione della legge, errore ecc…
Quali informazioni è utile raccogliere nei log?
Un passaggio importante, vista la mole possibile di dati raccoglibili, è quello di stabilire quali tipi di informazione (e con quale livello di dettaglio) i singoli sistemi devono comunicare al server che funge da “raccoglitore” delle informazioni. A grandi linee possiamo dividere i file di Log in queste tipologie più comuni:
- log delle applicazioni, sono generati quando accade un evento nell’applicazione. Gli sviluppatori, ad esempio, possono usarle per comprendere come si comporta un’applicazione sia durante lo sviluppo che dopo il rilascio;
- system log: sono generati entro il sistema operativo. Si va dagli errori dei driver ai login e logut e altre attività ecc…
- log di sicurezza generati ogni volta che si manifesta un evento di sicurezza. Vi rientrano i tentativi falliti di login, la cancellazione dei file, le richieste fallite di autenticazione, la modifica delle password ecc…
Se parliamo di server, ad esempio, l’access log deve contenere:
- orario evento;
- host di provenienza;
- user ID (utente) che effettua o tenta l’accesso;
- tipologia di evento ed esito (login, logout, interrogazione al database ecc..)
Per gli eventi di sicurezza sono dati utili, invece;
- orario evento;
- tipologia evento;
- indirizzo IP o host sorgente;
- indirizzo IP o host di destinazione (se presente) ecc…
Perché raccogliere i log e attivare il Log Management?
Fin qui si potrebbe avere la tentazione di vedere il Log Management come il solito, ennesimo, aggravio burocratico. Questo è un approccio errato e non consente di cogliere invece le possibilità che apre. Aggregare e gestire i log infatti ha lo scopo primario di garantire la sicurezza dei sistemi stessi. Una necessità sempre più stringente data la complessità ormai raggiunta dai sistemi, con un livello di informazioni e dati scambiati sempre crescente.
La raccolta dei log consente di disporre delle informazioni necessarie per verificare eventuali anomalie nella frequenza o modalità degli accessi ai sistemi. L’access log registra gli eventi generati dal sistema di autenticazione, registrando accessi, tentativi di accessi e disconnessioni.
La raccolta e la conservazione die log consente quindi di avere un’idea chiara, in tempo reale, di cosa accade sui sistemi aziendali ma anche, grazie allo storico, di conoscere cosa è successo in passato sugli stessi sistemi. Uno strumento ormai essenziale per gli amministratori di sistema, che altrimenti dovrebbero trovarsi a dover raccogliere e gestire manualmente un gran volume di dati poco intellegibili.
Lo sapevi che esiste una suite di cyber security made in Italy, che integra 4 diversi moduli di sicurezza come WAAP, SOC, CTI e Log Management?