Analisi dei Log: le difficoltà e l’importanza

Anche tu trovi difficoltà ad avere una visione chiara e leggibile dei log? Hai notato quanto tempo serve per capire un problema analizzando gli eventi contenuti nei record?

Reti e sistemi sono sempre più articolati e ogni giorno hanno a che fare con gli accessi degli utenti aziendali, la navigazione Web e l’utilizzo di applicazioni di varia natura.

Tutto ciò è regolato da delle policy nonché gestito e controllato tipicamente da un firewall che blocca o permette le azioni degli utenti e tiene traccia di tutti questi eventi nel log.

A questa attività dobbiamo aggiungere la sfera del malware, degli attacchi e delle vulnerabilità, quindi ecco che intervengono l’IPS, l’anti-bot, l’antivirus perimetrale e quello endpoint.

Anche tutti questi servizi scrivono sui log per tenere traccia della loro attività e concorrono a popolarlo di innumerevoli altre informazioni.

Questo è il motivo per cui abbiamo a che fare con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio.

Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con questa situazione all’interno di un ciclo che sembra senza fine, evolve la complessità, evolvono le minacce, evolvono i sistemi per affrontarle e naturalmente crescono i record da analizzare.

Bene, se siamo in guerra allora qual è la nostra postazione di comando?

Chiamiamolo aggregatore, SIEM o con qualsiasi altro nome proprio di chi lo sviluppa, ma deve consistere in una console in grado di leggere i log e presentarci le informazioni in essi contenuti:

• In una forma facilmente leggibile
  
  
• Con una dashboard personalizzabile, nella quale possiamo decidere quali informazioni tenere in maggiore evidenza, in modo tale da poterle capire e interpretare a colpo d’occhio
  
  
• Con un criterio di ricerca flessibile, che attraverso una serie di parametri e attributi utilizzabili anche singolarmente, permetta di restringere al massimo lo scenario in cui si nasconde il nostro obiettivo, ottimizzando così i tempi delle attività di controllo e gestione.

Sul mercato si possono trovare diverse soluzioni atte a questo scopo, tipicamente ogni vendor di firewall o endpoint protection può fornire anche queste console, che per alcuni sono incluse di default e per altri sono prodotti a parte. Oppure esistono anche prodotti terzi che si possono interfacciare ai firewall o antivirus esistenti.

Oggi più che mai l’utilizzo di uno strumento di questo tipo oltre alla sua utilità pratica, assume anche un’importanza particolare in riferimento al nuovo regolamento sulla privacy (GDPR), nel quale il principio dell’accountability prevede non solo di adempiere alle norme adottando misure di sicurezza idonee, ma anche di poterlo dimostrare in caso di verifica.

Uno strumento di questo tipo aiuta anche a reperire velocemente dettagli importanti su un eventuale data breach, consentendo all’azienda di dimostrare di aver implementato misure idonee di sicurezza, di aver mantenuto il controllo ma che queste sono state comunque raggirate e come.

Lo stesso concetto è ripreso anche nel principio della “Privacy by Design”, secondo il quale con l’entrata in vigore di questa nuova normativa ogni sistema informatico deve essere idoneo, ovvero tenere presente, nelle sue funzionalità e caratteristiche, gli aspetti della privacy.

Ecco che un aggregatore o SIEM oltre a portare il vantaggio di aiutare nell’analisi e nelle attività strettamente tecniche, contribuisce alla messa a norma dei sistemi di sicurezza a cui viene associato.

Fortunatamente nel campo della sicurezza informatica queste tecnologie sono arrivate prima sia della normativa che della sensibilità all’ argomento, per cui sono già disponibili e nella maggior parte dei casi non ti obbligano a sostituire le tue attuali soluzioni, ma solo di integrarle con ciò che manca.

Se invece ti sembra di avere tutto sotto controllo e sei sicuro che non ti sta scappando nulla, il mio consiglio per te è un Security Check-Up, nel campo della sicurezza non essere mai troppo convinto di nulla perché commetti un errore.

Guarda questo report, si tratta di un fac-simile di quello che potresti avere a disposizione con i dati reali della tua rete aziendale. Un sottobosco di informazioni ed evidenze su criticità e falle di sistema, che ogni IT Manager quantomeno dovrebbe essere consapevole di avere.