Correlazione dei log: attività di compliance o beneficio concreto di business?

Molte aziende alla domanda inerente la sicurezza informatica “Quanto vi sentite sicuri? non sanno rispondere. La verità è che non si è mai sicuri al 100% e questo è un dato di fatto, ma bisognerebbe sempre essere consapevoli della propria situazione.

Se dal 2008 con la normativa del Garante circa la stesura del DPS un po’ tutti si sono attrezzati per la tracciatura di log-on/log-off e tentativi di access, quanti in realtà hanno utilizzato per altri scopi i dati raccolti?

La quantità di log che produce ogni azienda, pur piccola che sia, è molto alta. Se solo pensiamo che quasi tutti hanno almeno un firewall ridondato, almeno uno switch ridondato, almeno due server ecc e che ognuno di questi device produce pagine di log al minuto…risulta facile farsi un’idea.
La correlazione dei log in tempo reale, per quanto possa apparire un’attività di grande dispendio di tempo, può essere semplificata da software user-friendly, non necessariamente a costi enterprise, che rilasciano report utili al business.
In particolare i programmi di Security Information and Event Management, grazie anche a sistemi di alert personalizzabili, forniscono risposte immediate in caso di fermi, violazione delle policy, minacce interne, monitoraggio dell’integrità dei file, ecc. Questo è fondamentale non solo per rispondere alle richieste normative, ma soprattutto per una agevole gestione interna degli incident.

 

Oggigiorno non ci si pone più il dubbio se mai saremo attaccati, ma bisogna porsi la domanda: Dovesse succedere a noi, saremmo pronti a reagire tempestivamente con il minimo impatto sul lavoro degli utenti?”  Le aziende devono formulare delle policy da attuare in caso di attacco e questo compito può essere assistito da una buona implementazione di SIEM.
Dall’ultimo report pubblicato da Mandiant il  numero medio di giorni trascorsi dall’attacco a quando l’azienda ne diviene consapevole è di 229. Significa che un attaccante può tranquillamente girare all’interno della rete per circa 7 mesi. In questi casi un servizio/prodotto di SIEM può essere una tutela concreta in quanto le attività sospette vengono subito comunicate tramite alarm e il reparto IT può concentrarsi sulla mitigazione del rischio in un tempo sicuramente minore.

Chi non l’avesse ancora fatto dovrebbe cogliere l’occasione per implementare questo tipo di sistema poichè in caso di Data Breach, come previsto dall’imminente arrivo del GDPR sarà obbligatorio risalire all’evento nel dettaglio.

Avere la visibilità immediata della tracciatura dei log tramite una dashboard piuttosto che dalle pagine di log integrali può essere di grande aiuto per identificare dove abbiamo subìto l’attacco. I SIEM, in questo senso, possono assistere dando una chiara visione di cosa è successo e quali dati sono stati intercettati, così da poter poi facilmente individuare i log da inviare agli organi vigilanti.

  • Eloina Pesce

On 24-03-2017 0 92

Lascia un Commento