La log analysis, o analisi dei file di log, consente di ottenere informazioni importantissime in merito alle attività compiute in un qualsiasi sistema informatico: nei file di log, infatti, sono contenute tutte le informazioni sul normale funzionamento di una macchina o di un programma che aiutano ad individuare eventuali anomalie e problemi, a supporto della sicurezza del sistema ma anche della data protection.
La protezione delle informazioni è infatti un processo che deve essere messo in atto sin dal momento in cui l’informazione da proteggere è generata. L’intero processo deve estendersi per tutto il ciclo di vita dell’informazione, indipendentemente dalle modalità in cui l’informazione è generata, trasmessa, archiviata o, più in generale, utilizzata.
Il rischio connesso all’operazione di trattamento dell’informazione è strettamente legato all’impatto che un evento anomalo può comportare sull’oggetto dell’informazione ed alle probabilità che tale evento si verifichi.
Diventa pertanto fondamentale riuscire ad individuare tutte quelle variabili che possono far concretizzare una minaccia nel nostro processo di trattamento delle informazioni.
Indice degli argomenti
Il tracciamento degli eventi: generazione di un log file
La registrazione cronologica di eventi occorsi su singoli sistemi, aventi formati e tecnologie anche differenti, risponde all’esigenza di poter ricostruire, a posteriori, i comportamenti dei sistemi e/o degli utilizzatori dei sistemi medesimi. Tale registrazione è comunemente conosciuta come “file di log”.
Generalmente i file di log contengono informazioni quali:
- eventi di accesso generati dal sistema (c.d. access log), al fine di garantire, per ciascun sistema, la completa tracciabilità di tutti gli accessi e verificare eventuali anomalie nelle modalità e nella durata degli accessi stessi;
- eventi inerenti tutte le attività effettuate dagli utenti sui sistemi (c.d. audit log) al fine di garantire, per ciascun sistema, il massimo livello di tracciabilità possibile per tutte le operazioni effettuate sul sistema;
- eventi che supportano la gestione dell’infrastruttura IT e comprendono log di sistema operativo, log legati ai servizi, alle comunicazioni fra server, alle failure di sistema, allo stato dell’hardware, a cambi di struttura del database, alle performance, a cambi di configurazione ecc.;
- eventi che permettono di identificare e prevenire comportamenti abusivi o illegittimi, quali ad esempio eventi generati da server di stampa, file share aziendali, Mobile Device Management (MDM), Intrusion Prevention System, firewall e via dicendo.
È bene precisare che il contenuto dei file di log deve essere pertinente allo scopo per il quale viene generato, riducendo al minimo indispensabile le informazioni tracciate, onde evitare che la mole di dati sia tale da essere controproducente, rendendo di fatto difficile sia la conservazione delle informazioni, che le analisi sulle stesse.
Il file di log, infatti, deve essere tecnicamente fruibile, non solo durante il verificarsi di un evento, ma anche successivamente all’evento di interesse.
Questo significa che il file di log deve essere generato, ed in generale trattato, tenendo conto non solo delle esigenze di tutela del patrimonio aziendale, ma anche di eventuali necessità di compliance alle normative e standard vigenti, nonché dello scopo per cui si stanno registrando determinati eventi.
Il tracciamento di eventi ed il conseguente monitoraggio, solitamente comporta un trattamento di dati personali, registrando informazioni riferite all’utente, come ad esempio lo userid o l’indirizzo IP.
Questo significa che gli stessi file di log dovranno sottostare alle prescrizioni dell’ormai ben noto GDPR, e dovranno essere protetti con misure di sicurezza idonee e preventive a mitigare i rischi per i diritti e le libertà degli interessati quali, a puro titolo esemplificativo minimizzazione dei dati raccolti, limitazione di numero e qualità degli utenti abilitati ad accedere e meccanismi di controllo degli accessi, cifratura dei file, utilizzo di meccanismi di hashing a garanzia dell’integrità, conservazione separata dei log eccetera.
Le modalità di generazione, archiviazioni ed analisi, nonché tempi di conservazione, devono essere pensate in modo tale da permettere di raggiungere gli obiettivi preposti, generalmente indirizzati all’individuazione di eventi anomali e comprensione della natura dell’incidente prima che questo possa causare gravi danni.
Una log analysis efficace
I file di log generati da applicazioni/sistemi potrebbero talvolta non essere autoconsistenti e quindi potrebbero non fornire tutte le informazioni necessarie ad individuare un evento anomalo.
Per ovviare a questo problema, una modalità di log analysis spesso utilizzata prevede la correlazione di eventi generati dai diversi sistemi/applicazioni, indipendentemente dalle finalità per le quali erano stati raccolti.
La correlazione di più eventi darebbe, soprattutto in contesti molto critici, un valore aggiunto di notevole importanza. La generazione di allarmi originati (mediante apposti software) dalle correlazioni di eventi provenienti da diverse sorgenti permette all’organizzazione di ricevere le informazioni collocate nel proprio contesto, accelerando i processi decisionali dei tecnici a fronte dell’evento rilevato, aiutando a neutralizzare i falsi positivi.
In questi contesti, in cui all’elevata criticità dei sistemi si unisce un’elevata frequenza di generazione dati, potrebbe essere efficace l’adozione di sistemi basati su machine learning che automatizzano la correlazione delle informazioni, rilevando pattern difficilmente identificabili dall’essere umano.
È bene precisare che il ciclo di vita di gestione dei log (accesso, estrazioni, correlazioni ed analisi) deve essere eseguito in linea sia con le best practice previste per la conduzione di analisi forensi, in modo tale da limitare il più possibile la possibilità di manomissione di eventuali evidenze utili per procedere, se del caso, in sede di giudizio sia secondo normativa vigente in tema di esecuzione di indagini.
Diventa quindi fondamentale per l’azienda dotarsi di un sistema gestione log che la supporti nelle analisi offrendo al contempo elevate prestazioni, al fine di garantire i tempi di risposta in linea gli obiettivi preposti.
Un sistema di normalizzazione dei dati ed una visualizzazione unificata dei log generati dall’intera infrastruttura, integrato con le risultanze emerse da sistemi di security assessment o da attività di raccolta di informazioni provenienti di fonti esterne all’organizzazione (ad esempio: attività di Open Source INTelligence – OSINT) permette di rilevare anche potenziali attività di Information Gathering, che un ipotetico attaccante potrebbe svolgere o verificare se una vulnerabilità riscontrata su un sistema è stata sfruttata.
La costruzione di un modello di controllo integrato unisce le esigenze tecniche di gestione e monitoraggio dell’infrastruttura con le esigenze di sicurezza dell’organizzazione. Esigenze che devono poi essere bilanciate e, se del caso integrate, con i requisiti dettati dalle normative vigenti (es. ex art. 4 Statuto dei lavoratori e GDPR).
Un sistema di gestione log diventa quindi uno strumento essenziale a supporto delle analisi che un’organizzazione deve effettuare sui file di log, configurandosi al contempo, uno strumento per dimostrare la propria accountability, non solo nell’ambito della data protection, ma anche nella mitigazione dei rischi di commissione di reati, che, se commessi nell’interesse o a vantaggio dell’organizzazione, determinano la responsabilità amministrativa degli enti (ad esempio: reati informatici, frodi e via dicendo).
