Effettua periodicamente delle revisioni al registro dei log

Effettua periodicamente delle revisioni al registro dei log

Un tema ricorrente in molti incidenti di sicurezza è che le informazioni complete sugli attacchi risiedono nei registri delle organizzazioni colpite, in attesa di essere scoperte e utilizzate. Purtroppo la scoperta di tali informazioni avviene molto tardi, quando il danno è già stato fatto. Una risposta tempestiva può prevenire una violazione più grave se si seguono le procedure di revisione corrette.


Requisiti di base

Per implementare con successo un processo di revisione dei registri di log, è necessario stabilire alcuni requisiti di base:


  • È necessario stabilire una politica di registrazione formale che includa tutti i requisiti normativi e operativi applicabili (come la frequenza di revisione dei registri, i periodi di conservazione e così via);
  • Le opzioni di registrazione devono essere abilitate sui sistemi o sui dispositivi che si desidera monitorare. Non è possibile esaminare i registri se non si registra alcun evento;
  • L'ora e la data di tutti i sistemi da monitorare devono essere sincronizzate. Se i sistemi risiedono in fusi orari diversi, le differenze di orario devono essere documentate e gli strumenti di gestione dei registri devono tenerne conto;
  • La responsabilità di esaminare i registri di un sistema non deve ricadere solo sulle persone le cui azioni vengono registrate in quel sistema;
  • I registri stessi devono essere monitorati e protetti e tutti i tentativi di terminare o alterare i registri devono essere registrati. Tali azioni potrebbero segnalare una violazione della sicurezza nuova o in corso;

Creare una linea di base

Poiché l'obiettivo di un processo di revisione dei registri è quello di rilevare eventi insoliti o anormali, il primo passo da compiere per raggiungere questo obiettivo è quello di determinare cosa sia "normale". L'esatto processo di creazione di una linea di base può variare a seconda del sistema da registrare e dei requisiti dell'organizzazione, ma di solito comporta quanto segue:


Determinare il periodo di tempo per la linea di base


La baseline può essere basata su eventi già acquisiti, ad esempio gli ultimi 30 giorni di eventi. D'altra parte, si può decidere che la linea di base sarà costituita dai successivi 30 giorni di eventi registrati.


Creare un report per gli eventi della linea di base


Una volta acquisiti gli eventi per il periodo di tempo selezionato, è possibile creare un rapporto di riferimento che includa informazioni quali i conteggi per ogni tipo di messaggio e il numero medio di eventi per ora/giorno/settimana. Le informazioni incluse in questo rapporto dovrebbero aiutare a descrivere le condizioni di funzionamento normale dei sistemi.

Nel processo di creazione di una linea di base, è possibile che si verifichino eventi che richiedono indagini o azioni aggiuntive. Questi tipi di eventi e le relative risposte devono essere documentati perché possono essere utilizzati come punto di partenza per l'analisi di nuovi eventi.


Revisione e analisi dei log

Il processo di revisione dei registri deve essere eseguito regolarmente in base ai requisiti, normativi e non, e documentato in modo esauriente nella politica di registrazione. La revisione consiste essenzialmente nel confrontare i nuovi log prodotti con la linea di base documentata. Il modo in cui si esegue il confronto dipende dagli strumenti a disposizione e dal tipo di sistemi che vengono registrati, tra le altre cose. Nella maggior parte dei casi si cerca semplicemente di determinare se un particolare evento o una sequenza di eventi sono stati registrati in precedenza nella linea di base o nelle diverse revisioni.


Se il nuovo evento può essere identificato come parte delle normali operazioni, può essere aggiunto alla baseline. D'altra parte, se durante questa prima indagine l'evento non rientra nel profilo normale, deve essere segnalato e si rende necessaria un'indagine più dettagliata.

A seconda del sistema e del tipo di evento segnalato, l'indagine può richiedere approcci diversi. Ad esempio, durante l'indagine su un evento che coinvolge un account utente, potrebbe essere necessario rivedere la cronologia degli eventi per quel particolare utente; in questo modo, potremmo essere in grado di stabilire un possibile contesto dell'evento specifico. Si potrebbe anche voler determinare se altri utenti hanno generato lo stesso evento o se l'evento si è verificato in un altro sistema, in quel momento o in un altro momento del passato.


Durante l'indagine, potrebbe essere necessario raccogliere informazioni da altre fonti, come i sistemi di gestione delle modifiche, gli antimalware e gli IDS. Un'altra fonte eccellente di informazioni è rappresentata da altre persone dell'organizzazione, che potrebbero fornire informazioni sulla reale natura dell'evento segnalato. Infine, è possibile chiedere al fornitore dell'applicazione informazioni sull'evento, anche se in alcuni casi questa opzione potrebbe non essere praticabile.


Creare un registro di analisi degli eventi

Un registro di analisi degli eventi può aiutarvi a documentare tutto ciò che riguarda l'analisi degli eventi segnalati durante la regolare revisione dei registri. Questo registro può fornire una base di conoscenze per indagini future, può essere utilizzato insieme a un processo di gestione degli incidenti o può essere utilizzato come prova di conformità per alcune normative, come la PCI DSS.


Una voce di questo registro deve contenere:


  1. La data e l'ora di creazione della voce;
  2. Nome della persona che ha creato la voce;
  3. Copia completa della voce di registro analizzata, compresa la data e l'ora e le informazioni sulla fonte (come il nome del sistema, l'indirizzo IP, il nome dell'applicazione e così via);
  4. Azioni intraprese durante l'analisi come quelle descritte in precedenza (ad esempio, ricerca di altri eventi per l'utente nel sistema);
  5. Conclusioni tratte dall'analisi, azioni consigliate o mitigazioni (se applicabili).

La revisione dei log non è solo per la conformità

Sebbene alcune normative impongano un processo di revisione dei registri, tutti i tipi di organizzazioni non regolamentate possono trarre grandi benefici dalla creazione di un processo di revisione dei registri.