Sommario:

1. Tamponare l'emergenza o cogliere l'occasione per fare una scelta vantaggiosa?

2. Cosa chiede il Garante, in sintesi.

3. Che vantaggi offre adottare standards aperti?

4. I componenti l'architettura:

   1. Acquisizione

   2. Centralizzazione

   3. Analisi e ricerche

   4. Elenco amministratori e incombenze organizzative

   5. Utili soluzioni accessorie

   
   

   ---

1. I tempi sono stretti e la fretta è una pessima consigliera:

• Si può “tamponare” l'emergenza adattando soluzioni che non risolvono radicalmente il problema, che comportano comunque dei costi, spesso con carenze che lasciano dubbi sulla conformità della soluzione rispetto ai requisiti, dovendo probabilmente affrontare una revisione in futuro con vanificazione degli investimenti già effettuati.

• Oppure si può scegliere una soluzione progettata appositamente, aziendalmente utile oltre che obbligatoria, che possibilmente apporti vantaggi nel tempo con una riduzione dei costi e un aumento del livello di sicurezza.

2. In estrema sintesi, il garante chiede:

• Che vengano registrati gli accessi amministrativi in modo “completo, inalterabile e con possibilità di verifica dell'integrità”.

• Che vengano conservati con possibilità di ricerca per almeno 6 mesi.

• Che venga redatto un elenco delle persone fisiche con ruolo di amministratori di sistema, con l'elenco delle funzioni ad essi attribuite e con i riferimenti alla valutazione delle rispettive caratteristiche soggettive.

3. Un buon progetto dipende anche dalla scelta degli standards.

Per i log, abbiamo scelto lo standard syslog, nella forma definita da IETF come syslog-signed, questo garantisce molti vantaggi:

• Syslog-signed è compatibile con syslog, lo standard aperto di riferimento in materia.

• Ampia scelta di programmi di ricerca, analisi, correlazione, ecc., senza doversi necessariamente legare al fornitore di uno standard proprietario.

• Syslog è uno standard aperto e pubblico, chiunque può scrivere un programma che lo interfaccia.

• Un formato omogeneo di log agevola le verifiche e le analisi successive.

• Syslog agevola la raccolta dei log in server appositi, diversi dai sistemi che li generano, è fondamentale per evitare che gli amministratori possano alterare le tracce.

• Scegliere uno standard implicitamente riduce i costi delle apparecchiature, che possono essere scelte sul mercato senza legarsi ad uno specifico fornitore.

• Lo standard syslog include nativamente la possibilità di categorizzare dettagliatamente i messaggi, compresa la priorità per differenziare allarmi e altri messaggi.

4. Il progetto vale di più se ha un'architettura aperta, senza vincoli a implementazioni future.

4.1 La raccolta.

• L'acquisizione degli eventi e dei log è eseguita dai “relay”, programmi che leggono i log o catturano gli eventi in qualsiasi formato essi siano, e li inviano ai server syslog dopo avere:

  • Controllato alla fonte che le registrazioni rimangano abilitate: ad esempio, in Windows è possibile abilitare l'audit degli eventi di amministrazione usando le policies al momento del logon, ma così non c'è alcun controllo che gli audit vengano disabilitati successivamente da un amministratore, e poi riabilitati; un relay può controllare costantemente che le impostazioni non vengano eluse, generando allarmi in caso di necessità.

  • Filtrato: per molti sistemi, spesso ad iniziare da quelli Windows, ma anche per proxy, web filtering, DB, ecc., la raccolta integrale dei log è controproducente se non troppo costosa da realizzare.

  • Controllato gli eventi aggiuntivi, non richiesti dal Garante ma utili per monitorare la sicurezza aziendale, come ad esempio l'utilizzo di memorie USB, la connessione a reti multiple (es. chiavette per internet, wifi, bluetooth, modem analogici, ecc.).

  • Firmato alla fonte: firmare gli eventi alla fonte invece che all'atto dell'archiviazione da maggiori garanzie di inalterabilità, come richiesto dal Garante.

  • Raggruppato: per ridurre il traffico di rete, il relay può raggruppare gli eventi ed inoltrarli al raggiungimento di una quantità configurata o comunque di un tempo massimo (nell'ordine dei secondi).

  • Bufferizzato (off-line): il relay evita che vengano persi eventi (come nel caso di syslog standard UDP) in caso di indisponibilità dei server di raccolta o del collegamento in rete.

  • Classificato per priorità: ci sono venti più importanti di altri, ed è utile inoltrarli anche a server specifici dove possono essere raccolti e controllati più agevolmente, anche con un monitor in tempo reale.

  • Inoltrato a server multipli (per sicurezza) e diversificati per priorità, controllando che i server li abbiano recepiti...

• Grazie ad un'architettura aperta basata su standards pubblici, si può sempre aggiungere un relay per acquisire informazioni posto che sia... “umanamente fattibile” (es. esistano le specifiche o le si possano ricavare analizzando il sistema). La parte elaborativa dei relay (filtro, bufferizzazione, ecc.) è comune sui diversi sistemi interfacciati (v. punto precedente).
  In questo modo si possono quindi adottare relay per apparati di rete, Data Base (es. DB2 via SMF, Oracle, Sybase,  MySql, MS-Sql, ed altri di cui si dispongano le specifiche), Firewall, bilanciatori, proxy, web content filters, ed altri sistemi in grado di produrre log già in formato syslog (il relay li filtra, firma, bufferizza, classifica, ecc.), o in grado di produrre tabelle, file sequenziali o forniti di API/librerie per la rilevazione degli eventi.

• Ogni relay può essere eseguito sullo stesso computer che genera gli eventi/log, o su computer diversi (come nel caso degli apparati di rete, dove non è pensabile di installare un software aggiuntivo).

• La soluzione è allo stesso tempo “agent” e “agent-less” a seconda del posizionamento dei relay rispettivamente sugli stessi computer o su altri. I relay agent e agent-less possono coesistere nello stesso sito.

• Grazie all'azione immediata e alla fonte del relay, nonché alle sue capacità di filtro, il dimensionamento dei log dei computer diventa ininfluente, e possono essere convenientemente abilitati con dimensione fissa “a ricopertura”.

• Il relay garantisce l'acquisizione e la certificazione “alla fonte” degli eventi, come richiesto dal Garante. Soluzioni di mera raccolta centralizzata dei log potrebbero non soddisfare tali requisiti, infatti senza certificazione alla fonte un amministratore può alterare i log prima che giungano ai server centrali.

4.2 L'archiviazione.

• A breve termine. Il server di raccolta conviene sia dimensionato per tenere on-line i 6 mesi di log richiesti dal Garante. A tale proposito diventa fondamentale la capacità di filtro dei relay.

• A medio/lungo termine. I log raccolti più vecchi di 6 mesi possono essere archiviati su supporti off-line, per far fronte ad eventuali richieste della Magistratura (che richiede un orizzonte temporale più lungo) o a controlli interni.

4.3 Analisi e ricerche:

• Strumenti obbligatori. Devono consentire la ricerca parametrica e flessibile nei log centrali.

• Monitor in tempo reale. Cercare nei log è impegnativo, per gli allarmi prioritari è utile disporre di un monitor real-time che li evidenzi.

• Funzioni aggiuntive. Grazie all'adozione di uno standard aperto reporting specifici, analisi e correlazioni potranno essere sempre aggiunte in futuro scegliendo il fornitore o lo sviluppatore più gradito.

4.4 Elenco degli amministratori. Deve supportare:

• Acquisizione: automatica, da importazione, manuale.

• Controllo dei dati.

• Generazione automatica di lettere di incarico, e altri documenti.

• Reportistica da includere nel DPS.

• Controllo di congruenza con i log acquisiti.

4.5 Soluzioni accessorie:

• Logipo: per autenticare e registrare gli accessi degli amministratori che devono necessariamente accedere ai sistemi Windows con utente comuni.
  

• Utipo: per condividere un pool di utenze fra più amministratori, con identificazione e assegnazione temporanea dei diritti.

Per ulteriori informazioni o richiedere documentazione contattare NEST allo 0444-303040.