L’audit o il registro degli eventi, il documento che registra gli eventi significativi nel sistema IT, può essere una risorsa inestimabile per la comprensione della rete, a condizione che si seguano le migliori pratiche per la registrazione e il monitoraggio. Quando si verifica un problema di capacità, si affronta una minaccia alla sicurezza informatica o si desidera semplicemente cercare modi migliori e più efficienti per allocare le risorse e gestire i sistemi, un registro di controllo adeguatamente mantenuto può fornire tutte le risposte necessarie.

La sfida per i professionisti IT è affrontare un enorme tesoro di registri diversi che possono essere disparati e distribuiti quanto i sistemi stessi. Mantenere e archiviare tutti questi dati per anni può ironicamente contribuire agli stessi problemi di capacità che i professionisti IT vorrebbero utilizzare per risolvere i log di audit. Senza una chiara idea di esattamente quali informazioni dovresti memorizzare, potresti scoprire che i tuoi dati di registro non ti danno le informazioni di cui hai bisogno una volta che arriva il momento di analizzarli.

Questi problemi possono essere facilmente superati con un’introduzione su come creare, gestire e analizzare i log di audit. In questo articolo, tratteremo le basi della gestione del registro eventi , spiegheremo alcune best practice per la registrazione e risponderemo ad alcune domande frequenti sull’efficace conservazione dei registri, sicurezza dei registri di controllo e gestione della memorizzazione dei registri.

Quali informazioni devono contenere i miei registri di controllo?

Qualsiasi evento in un sistema IT può essere incluso in un registro di controllo. Le esigenze ei rischi associati a ogni applicazione e istanza del server saranno molto diversi e sono questi fattori che dovrebbero determinare le informazioni che vengono continuamente registrate e analizzate. Tuttavia, è sicuro affermare che in quasi tutti gli scenari, i registri di controllo dovrebbero contenere questi elementi:

  • ID utente
  • Identità del terminale
  • Data e ora di accesso e disconnessione
  • Sistemi, dati, applicazioni, file e reti a cui si accede
  • Tentativi di accesso a sistemi, dati, applicazioni, file e reti non riusciti
  • Modifiche alle configurazioni di sistema e utilizzo delle utilità di sistema
  • Allarmi e altri eventi di sicurezza
  • Attività degli strumenti di sicurezza informatica come il firewall o il software antivirus

Per quanto tempo devono essere conservati i registri di controllo?

La quantità di tempo per l’archiviazione dei registri eventi dipende dal tipo di registro che si tiene. Il tuo cliente o la tua organizzazione potrebbero avere requisiti e raccomandazioni particolari per quanto riguarda la registrazione degli audit e la maggior parte delle forme di registrazione sono soggette a regolamentazione. Tuttavia, se non sei sicuro di quanto tempo dovresti mantenere un determinato registro di controllo, le migliori pratiche di registrazione suggeriscono di conservare tutto per almeno un anno.

Quando si imposta un periodo di tempo con la gestione del registro eventi , può essere utile ricordare che le reti IT distribuite hanno cambiato in modo significativo la pratica della registrazione e del monitoraggio degli audit. Una rete aziendale di grandi dimensioni può contenere migliaia di istanze di server o contenitori e ciascuna di queste istanze e contenitori genera costantemente registri di controllo. Di conseguenza, oggi vengono creati più dati di registro che mai. Questi volumi di dati sono così enormi che le aziende potrebbero ragionevolmente lottare con la domanda su come gestirli e archiviarli, per non parlare di come controllarli regolarmente per ottenere informazioni importanti sulla sicurezza e le prestazioni della loro rete. Affinché un’azienda possa archiviare correttamente tutti questi dati per mesi o un anno intero, è spesso logisticamente necessario utilizzare una soluzione di servizi gestiti basata su cloud.

Cos’è la registrazione dell’applicazione? 

Proprio come con qualsiasi altro componente della tua rete, l’attività all’interno delle tue applicazioni deve essere regolarmente salvata e analizzata . Tuttavia, una delle principali differenze tra un registro dell’applicazione e altri registri eventi nel sistema IT è che il formato e il contenuto del registro sono determinati dall’applicazione anziché dal sistema operativo. Questo per dire che, a meno che tu non stia sviluppando l’applicazione da solo, hai poco controllo sulle informazioni presenti nei file di registro.

Un’applicazione normalmente contiene codice per scrivere vari tipi di eventi in un file di registro dell’applicazione. Il file di registro può rivelare problemi di flusso di messaggi e problemi dell’applicazione. Può anche contenere informazioni sulle azioni dell’utente e del sistema che si sono verificate. Gli eventi registrati in genere includono quanto segue:

  • Eccezioni dell’applicazione
  • Eventi importanti come avvii, arresti e riavvii, nonché eventi di sicurezza.
  • Eventi di errore che impediscono l’avvio dell’applicazione
  • Alcune informazioni di debug
  • Registri SQL

Che cos’è la sicurezza dei log di controllo?

Nella sicurezza informatica, abbiamo una serie di misure di protezione attiva che possiamo adottare, inclusi software antivirus, qualche forma di autenticazione utente e firewall. Questi strumenti sono a disposizione degli specialisti della sicurezza di rete per impedire a utenti non autorizzati o utenti con intenti dannosi di rubare o distruggere risorse all’interno di quella rete, proteggendo al contempo coloro che sono autorizzati a utilizzare tali reti. Ma cosa succede quando, nonostante tutte queste misure, si verifica un attacco? I professionisti della sicurezza possono rivolgersi ai propri registri eventi per cercare risposte.

Quando la sicurezza si interrompe e la tua applicazione o rete viene compromessa, la registrazione e il monitoraggio degli eventi possono avvisarti dell’esistenza di un problema e del luogo in cui si è verificata la violazione, consentendoti di interrompere o limitare il danno. Può anche aiutarti a comprendere le vulnerabilità che sono state sfruttate da una minaccia esterna in modo da poter tentare di recuperare o proteggere quei dati, o almeno fare ciò che è necessario per evitare violazioni simili in futuro.

Ma la semplice presenza di registri di controllo non è sufficiente per proteggerti dagli attacchi informatici, proprio come le telecamere di sicurezza non possono offrirti alcuna informazione se non sono addestrate sull’area che stai cercando di proteggere. Di seguito sono riportate alcune procedure consigliate per la registrazione e il monitoraggio per garantire che non si stiano solo registrando eventi IT significativi, ma che lo si stia facendo in un modo che sarà più facile da valutare in caso di violazione della sicurezza.

  1. Automatizza le revisioni – Una soluzione software per la gestione dei registri è uno strumento necessario nell’arsenale di qualsiasi manager IT, ma da sola non è sufficiente. I registri non devono solo essere raccolti, ma devono essere esaminati attentamente e, nel caso di applicazioni particolarmente ad alto rischio, queste revisioni dovrebbero essere condotte automaticamente su base oraria. Idealmente, la soluzione che utilizzi per eseguire questa operazione non solo rileva le minacce alla sicurezza nei registri, ma distribuisce risposte automatiche, come il blocco degli indirizzi IP, la modifica dei privilegi e la disabilitazione degli account.
  2. Mantenere i registri dell’amministratore manuali – Poiché gli amministratori dispongono di molte più autorizzazioni rispetto ad altri utenti, i loro account devono essere monitorati e protetti con maggiore attenzione. Questi utenti possono esercitare cautela registrando manualmente le loro attività, comprese le volte in cui si sono collegati e scollegati. Questi registri manuali devono essere gestiti e analizzati con particolare attenzione, se possibile.
  3. Rivedi frequentemente i registri dei guasti – Gli errori segnalati da server, applicazioni o dalle persone che li utilizzano sono incredibilmente vitali per il lavoro di risoluzione dei problemi. Capire se un problema ricorrente è il risultato di un’apparecchiatura difettosa o di un errore dell’utente, ad esempio, può essere incredibilmente difficile senza un registro dei guasti ben mantenuto. I registri per applicazioni incredibilmente importanti e / o ad alto rischio come le piattaforme di e-commerce dovrebbero essere rivisti e analizzati ogni giorno . Altre applicazioni e server possono far controllare i propri log dei guasti ogni settimana circa.
  4. Crea ridondanza del registro – I criminali informatici cercheranno spesso di entrare nei tuoi file di registro per eliminare qualsiasi prova della violazione che hanno commesso. Ecco perché è importante registrare le best practice per registrare i log sia localmente che su un server remoto a cui sarà più difficile l’accesso per i criminali: la discrepanza tra i due file attiverà un allarme e impedirà che una violazione passi inosservata.
  5. Assicurati che gli orologi di sistema siano sincronizzati – Nel mondo della scientifica, la comprensione dell’esatto ordine degli eventi è essenziale per mettere insieme un resoconto accurato di quali crimini sono stati commessi e da chi. Farlo diventa molto difficile se l’orologio di un particolare dispositivo è impreciso, anche se è solo di uno o due minuti. Controlla regolarmente gli orologi di tutti i dispositivi in ​​un sistema per assicurarti che siano tutti sincronizzati.

Cosa rende unico il registro di sicurezza in Windows? 

Microsoft offre un registro delle attività specificamente allo scopo di rilevare i tentativi di accesso non autorizzato. Sebbene il sistema operativo utilizzi i propri criteri per determinare quali eventi sono sufficientemente significativi da essere registrati nel registro di sicurezza, gli amministratori hanno la possibilità di configurare lo strumento per includere qualsiasi attività del sistema operativo che scelgono.

Il problema è che queste specifiche politiche di gestione del registro degli eventi sono diventate anche un obiettivo popolare tra gli hacker. Poiché gli amministratori hanno questa capacità di configurare il registro di sicurezza, ad esempio, è molto comune per gli aggressori tentare di compromettere gli account amministratore e manomettere questi record, spingendo molte aziende a creare ridondanza nella registrazione come consigliato sopra. Allo stesso modo, poiché il registro di sicurezza può contenere solo un certo numero di eventi, gli hacker a volte tentano di sovraccaricare il sistema generando così tanti eventi che le prove incriminanti vengono sovrascritte.

Andando avanti

Queste best practice rappresentano un buon inizio, ma come abbiamo trattato qui, ci sono semplicemente troppe informazioni da analizzare senza l’aiuto di uno strumento efficace. I professionisti IT che desiderano sfruttare tutti i dati del registro di controllo dovrebbero rivolgersi a una soluzione che sia in grado di dimostrare la conformità e di rispondere alle minacce alla sicurezza rilevate nei dati del registro delle attività. La piattaforma deve fornire un’unica vista olistica in modo da poter esaminare meglio i diversi registri degli eventi nell’infrastruttura di rete. La soluzione deve conservare i registri e deve poter analizzare rapidamente migliaia di registri, confrontando gli incidenti con le informazioni sulle minacce note. Con una soluzione creata tenendo a mente le best practice, i tuoi clienti possono essere certi che stai aiutando a mantenere le loro reti aziendali protette.

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP