Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Che cosa sono i file log e perché non c’è sicurezza senza log management

pittogramma Zerouno

Log Management

Che cosa sono i file log e perché non c’è sicurezza senza log management

14 Giu 2017

di TechTarget

I file di log offrono informazioni importantissime in merito alle attività implicite ed esplicite di un qualsiasi sistema informatico hardware e software. Questo tipo di record riporta tutte le informazioni sul normale funzionamento di una macchina o di un programma, aiutando a intercettare anomalie e problemi, supportando la sicurezza

Che cosa sono i log e perché sono così importanti? Un log è la registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico (server, storage, client, applicazioni o qualsiasi altro dispositivo informatizzato o programma).

Queste operazioni possono essere effettuate da un utente, oppure avvenire in modo totalmente automatizzato. Le procedure di logging sono tipicamente quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano per eventuali riutilizzi successivi: queste registrazioni sono chiamate, per l’appunto, file di log. I file di log sono file che contengono messaggi relativi al sistema, compreso il kernel, i servizi e le applicazioni in funzione.

I record conservano tutte le informazioni sul normale funzionamento della macchina e, soprattutto, le registrazioni di errori e problemi. La riga inizia sempre con l’indicazione del momento in cui viene effettuata la registrazione, il nome del computer su cui gira il programma che ha generato il log, spesso anche il nome del programma stesso. A seconda del sistema di logging, cambia la tipologia di informazioni. Un file di log, dunque, è sequenziale e sempre aperto alla scrittura. Una volta chiuso, viene conservato con una periodicità regolare, diventando così disponibile a supporto delle attività di monitoraggio (logging) e di amministrazione funzionale. Leggendo i file di log, insomma, si ottengono dettagli importanti.

Esistono vari tipi di file di log: quello predefinito per il sistema, quello relativo ai messaggi associati alla sicurezza e via dicendo. I file di log, dunque, possono rivelarsi molto utili a supporto della diagnostica, accelerando la risoluzione dei problemi legati all’uso dei sistemi. Un caso per tutti? Quando si va a cercare un log non autorizzato.

L’importanza dei log per la sicurezza

La gestione dei log, infatti, permette di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware. I log, in sintesi, sono un asset importanti per far fronte efficacemente alle necessità di data protection e continuità di servizio. Non solo: a livello internazionale, tutte le normative sulla sicurezza informatica prevedono la creazione di precise policy di logging. Risulta pertanto di facile intuizione comprendere il motivo per cui i log rappresentino un asset fondamentale per far fronte efficacemente alle necessità di sicurezza e compliance aziendale.

Non a caso le previsioni degli analisti dicono che il mercato del Log Management passerà dai 707 milioni di dollari di quest’anno ai 1248,9 entro il 2022, segnando un tasso di crescita annuo composto (CAGR) del 12,1% (Fonte: MarketsandMarkets 2017). Questa crescita così consistente si spiega per via del ruolo sempre più importanti che i sistemi di Log Management rivesto nell’era digitale. Negli ultimi anni, infatti, il mondo IT è stato protagonista di una vera e propria rivoluzione: tecnologia mobile, BYOD, cloud e Internet of Things hanno aumentato in maniera esponenziale la quantità di dati in circolazione sulle reti e le operazioni IT nelle aziende, di conseguenza, sono diventate via via più complesse. In questo contesto sempre più caotico, è cresciuto il bisogno di garantire sicurezza, protezione dei dati e continuità di servizio. Il Log Management rappresenta un efficace strumento per far fronte a queste necessità in maniera semplice ed efficace.

Attraverso un buon sistema di Log Management (come, per esempio, IBM Security QRadar Security Log Manager), le aziende possono soddisfare le disposizioni normative, contare su uno strumento ottimale di monitoraggio e controllo, sfruttare i benefici della Business Intelligence e garantire alti standard di sicurezza.

Gli errori commessi dalle aziende

Nonostante tutti i benefici sopra descritti, la gestione dei log sembra essere ancora troppo spesso sottovalutata dalle aziende. Quando si ricorre a una soluzione di Log Management rischia di essere troppo tardi: le aziende, infatti, sfruttano questo sistema quando ormai il problema o l’attacco hacker si è verificato. Non solo: può capitare anche di dover fornire in modo rapido ed efficace precise informazioni ai dirigenti aziendali o perfino alle forze dell’ordine. Si tratta di situazioni in cui, in ogni caso, un sistema di Log Management offre la possibilità di far fronte alle necessità senza troppi grattacapi, in modo semplice e con tempistiche rapide.

I vantaggi del Log Management

Le soluzioni di Log Management sono in grado di fornire snapshot sullo stato degli host e dei servizi, dando evidenza di eventuali comportamenti insoliti che potrebbero rivelarsi indizi di pericolo. Non solo: avere a disposizione una copia remota dei file di log permette di analizzare eventuali problemi relativi a un dato sistema, anche se quest’ultimo non dovesse risultare accessibile e di evitare la perdita dei dati (sia nel caso di un guasto hardware che software).

Corrette prassi di Log Management, inoltre, possono apportare benefici non soltanto in termini strettamente operativi, ma anche dal punto di vista del marketing. I dati, come è noto, rappresentano un valore prezioso per il business e il Log Management può fornire importanti informazioni relative, per esempio, alle abitudini e alle tempistiche di accesso ai relativi portali web, alle pagine più visitate  e al tipo di comunicazioni che entrano ed escono dall’azienda.

Il caso d’uso: come aumentare la sicurezza con il log management

Come aumentare la sicurezza aziendale e proteggere l’infrastruttura da malware, vulnerabilità delle applicazioni, perdite di dati e di reputazione e altri pericoli che la minacciano quotidianamente? È da questa domanda posta da un’azienda cliente che VM Sistemi ha realizzato un progetto rivolto a migliorare la protezione dell’infrastruttura ICT e a ridurre, in maniera incrementale nel tempo, il rischio di attacchi.

Dovendo gestire una vasta quantità di dati sensibili relativi agli utenti finali dell’azienda, sono state inizialmente evidenziate le esigenze di business e, in seguito, individuare le contromisure tecnologiche da mettere in campo per risolvere le criticità esplicite e implicite. Sono emersi dunque diversi fronti su cui intervenire per raggiungere gli obiettivi di sicurezza richiesti: intercettare in maniera globale e puntuale incidenti di sicurezza e anomalie, analizzare il comportamento degli utenti, migliorare le funzionalità di investigazione sul perimetro dell’infrastruttura aziendale, ottenere visibilità e reportistica delle attività utente rispetto all’utilizzo delle risorse aziendali,  intercettare e mitigare le problematiche causate da malware sulle postazioni utente, gestire i log, rilevare le anomalie, analizzare e rispondere agli incidenti, gestire configurazione e vulnerabilità.

A seguito di un’attenta analisi, si è scelto di puntare su una soluzione iper-integrata di Event& Log Management  – in cui convergono diverse tecnologie messe a disposizione da una selezionata rete di partner – che prevede sistemi di gestione di eventi syslog, Windows e log, soluzioni di Security intelligence e Sense Analytics, un servizio gestito di monitoraggio e generazione reportistica, un servizio di attività evolutiva e analisi degli incidenti di sicurezza e l’Integrazione con le funzionalità di analisi avanzate offerte da IBM Watson for Cybersecurity. Una tale iper-integrazione sia di componenti che di servizi proattivi ha permesso all’azienda cliente di sfruttare appieno l’innovatività delle tecnologie acquisite.

 

 

 

TechTarget

Articolo 1 di 5