Log Management Cover Giacomo Lanzi

I benefici di un buon log management

Tempo di lettura stimato: 8 minuti

Quando parliamo di log management ci riferiamo a un preciso processo che consiste nella raccolta centralizzata di dati che provengono da diversi ambienti operativi come: dispositivi, database, applicazioni e molto altro ancora. I log vengono prodotti da diversi eventi di sistema, molti particolarmente importanti in ambito aziendale.

Vediamo, quindi, alcuni dettagli importanti che riguardano la gestione del log management.

Log Management AI UEBA

L’importanza della raccolta nel log management

La procedura di raccolta dei dati di log è importante per ottenere diversi obiettivi a livello aziendale. I principali sono: verificare la vulnerabilità; gestire possibili problemi di sicurezza; controllare gli accessi a dati e applicazioni; il monitoring in real time; controllare eventuali malfunzionamenti a livello applicativo.

Dal punto di vista regolamentare, poi, il log management è molto importante a livello aziendale in quanto consente di osservare i principi più importanti che riguardano la protezione dei dati. Questo è stabilito dalla direttiva “UE 95/46/EC”. È richiesto anche dagli obblighi previsti dal “Regolamento Generale sulla Protezione dei Dati Personali (RGPD o GDPR)“.

Quindi, queste caratteristiche fanno capire quanto sia importante una buona gestione dei log e come possa aiutare le aziende a prevenire eventi potenzialmente invasivi prima che si verifichino.

Questo tipo di azione corrisponde a quello che, in gergo, è chiamato “Privacy by Design”. Secondo questo principio, diventa necessario eseguire le giuste strategie per evitare che si creino dei rischi e delle problematiche relative a violazioni.

Le problematiche da affrontare nel log management

Il log management necessita del corretto equilibrio tra disponibilità dinamica di risorse e numero di dati di log che cresce sempre di più. In più, già dal primo step di acquisizione dei dati di log, è opportuno prendere in considerazione diversi elementi. Questi, spesso, generano diverse complessità come, ad esempio: la quantità di sorgenti di cui tener conto; il numero di data log creati; la molteplicità degli eventi che danno vita a data log; i tipi di data log; la metodologia di acquisizione dei data log; la conformità dei sistemi di protezione dei data log.

Oltre a quanto citato, bisogna anche tenere conto di quei principi di riservatezza e disponibilità dei dati che devono essere rispettati. Questo per fare in modo che si evitino violazioni, sia di tipo intenzionale che accidentale.

È quindi opportuno pianificare le strategie che consentono di adottare le soluzioni idonne per il personale che si occupa del log management. In questo modo, i tecnici potranno intervenire rispettando i requisiti che già citati.

Le caratteristiche di un’infrastruttura di log management

L’infrastruttura per il log management è formata dall’unione di elementi hardware, software e di rete che vengono impostati in modo da poter comunicare in modo efficace tra loro. Le comunicazioni tra questi componenti vengono realizzati all’interno della stessa rete che viene usata per le comuni attività dell’azienda.

Nonostante ciò, per un’azienda è importante anche tener conto della possibilità di effettuare la raccolta dei dati utilizzando una rete differente così che eventuali attacchi di spyware o altri incidenti vadano ad alterare, intercettare o eliminare i dati.

Se dal punto logistico e di architettura non è possibile, in un’azienda, effettuare questa seconda possibilità si dovrebbero adottare accorgimenti alternativi come, ad esempio, la crittografia dei dati.

Sintetizzando, quindi, un’infrastruttura di log management dovrebbe assicurare il rispetto dei seguenti requisiti: mantenere informazioni che servono a raggiungere l’obiettivo di raccolta seguendo i principi di “minimizzazione” e “proporzionalità”; far sì che i dati rimangano inalterabili in tutto il loro arco di vita; assicurare l’integrità dei dati raccolti senza che vengano effettuate modifiche; conservare i dati per un lasso temporale limitato.

L’aggregazione dei dati a livello aziendale

Quando le aziende crescono e raggiungono numeri di applicazioni considerevoli all’interno del loro ambiente, la raccolta dei dati diventa una sfida sempre più importante e determinante.

In più se teniamo conto della difficoltà di raccolta dei data log sufficienti per poter rimanere conformi, del rispetto degli standard di privacy e delle problematiche di sicurezza che nascono dalle minacce moderne, ci accorgiamo facilmente di come la raccolta diventa una sfida sempre più complessa.

Quindi, a livello aziendale, la chiave per creare un sistema di raccolta efficiente sta nella capacità di acquisire in modo dinamico i dati in tempo reale da tutte le fonti disponibili. Possedere una soluzione che consenta di inserire i dati in una posizione centrale, come un data lake, e facilitare il filtraggio, la trasformazione, la classificazione, permette di rendere più semplice il compito di log management per l’azienda.

SOCaaS e il sistema di log management avanzato

Una soluzione molto avanzata è quella offerta dal SOCaaS, in particolare dalla sua componente SIEM, che sfrutta l’innovazione dell’intelligenza artificiale. Questa consente di analizzare i dati raccolti così da trovare possibili dati sospetti.

In più, viene sempre reso disponibile un intervenendo di tipo tecnico qualificato in ogni momento della giornata con compiti precisi e non dispersivi. L’intervento consente di poter verificare le notifiche di allarmi che vengono generati dal sistema così da escludere i falsi positivi, intervenendo per eliminare la minaccia e dare report costanti nel tempo.

La raccolta dei dati sempre maggiore e l’analisi dell’intelligenza artificiale consentono di rendere il servizio molto conveniente e completo.

Le potenzialità del sistema SOCaaS per le aziende

Come abbiamo appena visto, per le aziende è molto conveniente affidarsi ad un servizio SOC (SOCaaS). La potenzialità maggiore è rappresentata proprio dall’innovazione apportata dall’intelligenza artificiale che consente di raggiungere il massimo dei risultati per quanto riguarda l’analisi costante e continua dei dati così che ha la sicurezza di identificare le possibili minacce in tempi brevissimi. Grazie a questo sistema, quindi, si andranno a prevenire e mitigare i rischi.

Un valore aggiunto, poi, è il non dover assumere tecnici specializzati con capacità specifiche nell’identificare e verificare le minacce. Chi si affida a questo servizio potrà anche ricevere dei report sulla situazione e notifiche in caso di problemi.

Il SOCaaS, quindi, consente di poter prendere le giuste precauzioni contro quelle tecniche ancora sconosciute e ha la capacità di trovare il collegamento tra i dati che riguardano possibili attacchi con sistemi ancora non conosciuti. Questo grazie all’analisi del comportamento degli utenti e delle intità dell’infrastruttura (UEBA).

Inoltre, la struttura del sistema è realizzata in modo da apportare un costante miglioramento. Il lavoro sinergico tra tecnici e intelligenza artificiale consente di individuare anche i tentativi di breach non convenzionali.

Per le aziende significa migliorare le proprie difese di adeguarle in basi ai dati raccolti in precedenza.

Il SOCaaS è perfetto per quelle aziende che vogliono lavorare in piena sicurezza utilizzando infrastrutture basate sulla rete. Si tratta di una garanzia di difesa contro attacchi informatici.

Log Management Cover

I vantaggi di scegliere il nostro SOCaaS per il log management

Scegliere di affidarsi al nostro SOCaaS ha diversi benefici.

Il primo è quello di risparmiare denaro sia nel breve che lungo termine. Infatti, si eviterà di acquistare hardware dedicati e software specifici. In più, non sarà necessario nemmeno assumere nuovi impiegati o aggiornare le competenze di quelli che già lavorano.

Un altro vantaggio è quello di avere il supporto professionale di tecnici che si aggiornano ogni giorno per avere le competenze per combattere i nuovi tipi di minacce. Questo tipo di assistenza non ha prezzo ed è estremamente difficile da ottenere all’intero dell’organico dell’azienda. Questo è anche dovuto all’attuale scarsità di professionisti nel settore.

Un ulteriore vantaggio è quello di avere a disposizione tecnologia sempre aggiornata. Non ci si dovrà occupare e preoccupare di aggiornare sempre i software, perché questi, unici responsabili della raccolta di dati per il SOCaaS, vengono mantenuti sempre all’ultima versione.

Vuoi ottenere maggiori informazioni per approfondire le funzionalità del SOCaaS di SOD? Contattaci per sapere come possiamo aiutarti a tenere alte le difese della tua azienda.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Backdoor.Win32.Hellza.120 / Authentication Bypass Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/2cbd0fcf4d5fd5fb6c8014390efb0b21_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hellza.120 Vulnerability: Authentication Bypass Description: The malware listens on TCP ports 12122, 21. Third-party adversarys who can reach infected systems can logon using any username/password combination....
  • Backdoor.Win32.Hellza.120 / Unauthorized Remote Command Execution Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/2cbd0fcf4d5fd5fb6c8014390efb0b21.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hellza.120 Vulnerability: Unauthorized Remote Command Execution Description: The malware listens on TCP ports 12122, 21. Third-party adversarys who can reach infected systems can issue commands made available by the...
  • Trojan.Ransom.Ryuk.A / Arbitrary Code Execution Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/5ac0f050f93f86e69026faea1fbb4450.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Ransom.Ryuk.A Vulnerability: Arbitrary Code Execution Description: The ransomware looks for and executes DLLs in its current directory. Therefore, we can potentially hijack a vuln DLL execute our own code, […]
  • Trojan-Dropper.Win32.Corty.10 / Insecure Credential Storage Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/f72138e574743640bdcdb9f102dff0a5.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Dropper.Win32.Corty.10 Vulnerability: Insecure Credential Storage Description: The malware stores its credentials in cleartext within the Windows registry. Family: Corty Type: PE32 MD5: f72138e574743640bdcdb9f102dff0a5 Vuln ID:...
  • Re: over 2000 packages depend on abort()ing libgmp Settembre 20, 2022
    Posted by Matthew Fernandez on Sep 19What is the security boundary being violated here? As a maintainer of some of the packages implicated here, I’m unsure what my actionable tasks are. The threat model(s) for my packages does not consider crashes to be a security violation. On the other side, things like crypto code frequently […]
  • SEC Consult SA-20220915-0 :: Local Privilege Escalation im SAP® SAPControl Web Service Interface (sapuxuserchk) Settembre 16, 2022
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 15SEC Consult Vulnerability Lab Security Advisory < 20220915-0 > ======================================================================= title: Local privilege escalation product: SAP® SAPControl Web Service Interface (sapuxuserchk) vulnerable version: see section "Vulnerable / tested versions" fixed version: see SAP security note 3158619 CVE number: CVE-2022-29614...
  • SEC Consult SA-20220914-0 :: Improper Access Control in SAP® SAProuter Settembre 16, 2022
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 15SEC Consult Vulnerability Lab Security Advisory < 20220914-0 > ======================================================================= title: Improper Access Control product: SAP® SAProuter vulnerable version: see section "Vulnerable / tested versions" fixed version: see SAP security note 3158375 CVE number: CVE-2022-27668 impact: high homepage:...
  • over 2000 packages depend on abort()ing libgmp Settembre 16, 2022
    Posted by Georgi Guninski on Sep 15ping world libgmp is library about big numbers. it is not a library for very big numbers, because if libgmp meets a very big number, it calls abort() and coredumps. 2442 packages depend on libgmp on ubuntu20. [email protected]:~/prim$ apt-cache rdepends libgmp10 | wc -l 2442 gawk crash: [email protected]:~/prim$ gawk […]
  • APPLE-SA-2022-09-12-5 Safari 16 Settembre 12, 2022
    Posted by Apple Product Security via Fulldisclosure on Sep 12APPLE-SA-2022-09-12-5 Safari 16 Safari 16 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213442. Safari Extensions Available for: macOS Big Sur and macOS Monterey Impact: A website may be able to track users through Safari web extensions Description: A logic issue […]
  • APPLE-SA-2022-09-12-4 macOS Monterey 12.6 Settembre 12, 2022
    Posted by Apple Product Security via Fulldisclosure on Sep 12APPLE-SA-2022-09-12-4 macOS Monterey 12.6 macOS Monterey 12.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213444. ATS Available for: macOS Monterey Impact: An app may be able to bypass Privacy preferences Description: A logic issue was addressed with improved state management. […]

Customers

Newsletter