Seleziona una pagina

LOG MANAGEMENT E GDPR

da | Sicurezza Informatica

LOG MANAGEMENT E GDPR

Un LOG è la registrazione degli accessi e di altre operazioni effettuate dai sistemi informatici, con l’avvento del GDPR dotarsi di strumenti di log management diventa imprescindibile e praticamente obbligatorio per le aziende.

Vediamo perchè…

LOG MANAGEMENT: i requisiti del GDPR

Infatti, la normativa GDPR introduce il principio di accountability (2 comma, art. 5 Gdpr), cioè l’obbligo di dimostrare il rispetto della normativa e monitorare tutti i sistemi aziendali per adeguarsi alla normativa.

Sarà quindi necessario tenere traccia delle operazioni effettuate dai sistemi, affinché, in caso di controllo o di incidente, sia possibile dimostrare che si sono compiute tutte le azioni di tutela e di difesa dei dati.

Un servizio di LOG MANAGEMENT può quindi:

  • Raccogliere file di log in modo GDPR compliance tramite un software che registri le operazioni dei tuoi sitemi e li invi in un luogo sicuro per la conservazione.
  • Conservare i file di log in un Datacenter sicuro per un periodo adeguato e garantire che questa conservazione rimanga inalterata.

LOG MANAGEMENT: ad ognuno il suo…

Un servizio di LOG MANAGEMENT, come vedremo più avanti, può essere molto semplice o molto complesso, dipende dalle tue esigenze, ciò che fa la differenza è l’utilizzo o meno della correlazione degli eventi real time.

  • LOG MANAGEMENT “semplice”: significa raccogliere i tuoi LOG in forma aggregata e conservarli in modo sicuro presso un datacenter certificato. L’eventuale correlazione avviene offline.
  • LOG MANAGEMENT con correlazione real time, tutti i dati vengono analizzati real time e correlati tra di loro per rilevare potenziali incidenti o attacchi.

Ma cos’è la correlazione dei dati ?

Per spiegarlo devo fare un passo indietro e parlarti dei sistemi SIEM…

SIEM e correlazione degli eventi

Un sistema SIEM (acronimo di Security Information Event Management) si occupa di raccogliere una svariata quantità di dati all’interno della tua rete, ed è l’unione di due tipi di soluzione:

  • SIM: raccoglie i log dei tuo sistemi e li invia ad un server centralizzato conservandoli, come detto prima, in uno spazio sicuro e controllato (datacenter ed altre infrastrutture cloud).
  • SEM invece si spinge molto più avanti: analizza i LOG e gestisce gli eventi che accadono all’interno della tua rete fornendo una correlazione real time tra di essi.

Un SIEM può raccogliere dati praticamente da ogni dispositivo, hardware o software che sia, per esempio:

  • Sistemi di security: sistemi EDR (Endpoint detection e response) sistemi antivirus e antimalware, firewall (incluso IPS e IDS), etc
  • Networking: router, switch, wireless access point, etc,
  • Server di autenticazione: active directory, Domain controller, DNS server
  • Applicazioni: database, applicazioni web, applicazioni legacy, etc
  • Sistemi industriali

Quali sono le differenze tra SIEM e sistemi EDR?

Come visto ora, un SIEM può essere usato per raccogliere dati da differenti tipi di sorgenti e creare correlazioni tra eventi, log management ed analisi forensi.

Un sistema EDR estende le funzioni di collection e correlazione di un SIEM, in quanto gioca un ruolo più attivo: si occupa di investigare, scoprire, dare priorità e rispondere ad attacchi complessi partendo dai dati raccolti sugli end-point.

SIEM ed EDR sono utilizzati all’interno dei servizi di sicurezza gestita MDR.

Correlazione real time oppure off line?

Un esempio di correlazione real time potrebbe essere: se un sistema EDR segnala movimenti “strani” su di un PC della tua rete, un SIEM ben impostato potrà correlare tale segnale con il traffico e le richieste che vengono gestite da un firewall, verificando se sono attive connessioni VPN ed IP del mittente, e se e come questo utente è autenticato sull’Active Directory aziendale.

In questo caso il SIEM invierà tale segnalazione ad un analista SOC che potrà approfondire ed intraprendere le azioni del caso.

La correlazione off line è invece un’attività che viene fatta in caso di controlli, e/o incidenti e relative analisi forensi: su tua richiesta, un’analista dovrà “sbrogliare” la “matassa” dei dati aggregati e ricercare la correlazione tra gli eventi.

LOG MANAGEMENT: alcuni servizi sul mercato…

La correlazione real time è quindi una modalità molto importante per scovare sul nascere tentativi di attacco e di intrusione, ma come potrai capire, si tratta di un tema complesso che necessita di una fase di set-up e di tuning che deve essere accurata ed approfondita.

Tale fase (ed i costi relativi) si giustificano per organizzazioni complesse che necessitano di tenere tutto sotto controllo.

Il più delle volte può essere invece sufficiente adottare un semplice sistema di raccolta dei LOG, per poi analizzare e correlare i dati in caso di necessità.

Vediamo quindi alcuni esempi di servizi “pronti all’uso” sul mercato

  • LOG MANAGEMENT di FASTWEB
  • AWS CloudTrail

FASTWEB LOG MANAGEMENT: descrizione del servizio

Il servizio è applicabile in qualsiasi sistema, sia esso on premise presso la tua sede, sul cloud FASTWEB piuttosto che su altri public cloud.

A meno che tu non abbia un numero elevato di sistemi da monitorare, è sufficiente installare una VM (che agirà da collector dei log) presso la tua infrastruttura.

Il collector, attraverso un canale di comunicazione sicuro, invia i log raccolti direttamente nel Datacenter di Fastweb per la conservazione sicura.

Il servizio è erogato e gestito dal SOC FASTWEB,  potrai quindi anche avvalerti di un struttura di specialisti, riducendo quindi notevolmente i costi di gestione e garantendo integrità, confidenzialità e inalterabilità dei dati raccolti.

Inoltre, in fase di setup del servizio viene svolta un’attività di analisi per focalizzare le sorgenti di log oggetto della raccolta.

Se poi, in caso di bisogno e/o di incidente, (non te lo auguro!), dovessi avere bisogno di analisi forensi o altro, i dati saranno pronti per essere analizzati dai nostri esperti.

  • Il servizio ti permette l’adeguamento alla normativa in modo semplice ed economico.
  • Essendo erogato dal cloud di FASTWEB non dovrai fare alcun investimento ne alterare la tua infrastruttura.
  • Per poche centinaia di euro all’anno potrai essere conforme al GDPR
  • Gli specialisti del SOC sono a disposizione per analizzare i dati e creare report personalizzati.

AWS CloudTrail: Log e GDPR nel cloud Amazon

Se invece stai valutando AWS oppure la tua infrastruttura gira già sul cloud Amazon, conoscere AWS CloudTrail può essere molto importante per risolvere le incombenze relative alla compliance.

CloudTrail è uno dei tantissimi servizi che puoi trovare in AWS: uno strumento che registra l’attività degli utenti e le chiamate API, tenendo traccia di ogni azione effettuata all’interno della tua infrastruttura AWS. Ogni volta che qualcuno accede a una risorsa, modifica una configurazione o lancia un servizio, CloudTrail registra l’evento.

AWS CloudTrail, genera quindi una vasta quantità di dati e di default conserva gli eventi registrati per 90 giorni.

Se hai esigenze di conservazione dei dati che vanno oltre questo termine (pur non essendoci imposizioni, in un’ottica GDPR  compliant, è bene conservare i dati per almeno 180 giorni), CloudTrail ti permette di archiviare i log degli eventi in un bucket Amazon S3.

Questa è una funzionalità particolarmente utile perché:

  1. Personalizzazione della durata di conservazione: Puoi definire politiche di conservazione specifiche nel tuo bucket S3, decidendo per quanto tempo conservare i dati prima che vengano automaticamente eliminati.
  2. Riduzione dei costi: puoi spostare i log più vecchi in storage meno costosi.
  3. Sicurezza avanzata: Puoi sfruttare le funzionalità di sicurezza di S3, come la cifratura dei dati e le politiche di accesso, per proteggere i tuoi log.

Allineati subito al GDPR…e non solo!

Oltre al GDPR, ci sono molte altre normative a livello globale che richiedono una rigorosa protezione dei dati e trasparenza nelle operazioni.

Che si tratti di HIPAA (per la protezione dei dati sanitari negli Stati Uniti) o di altre leggi specifiche di un Paese nella quale la tua Azienda potrà trovarsi ad operare, la conservazione dei LOG può aiutarti a dimostrare che le tue operazioni siano conformi.

FASTWEB ha investito parecchie risorse per creare Competence Center specifici per supportarti in ambito Cyber Security e nel mondo AWS.

Metti i tuoi LOG al sicuro, potrai essere in linea con il GDPR e…dormire sonni tranquilli!

Compila il form sotto che ne parliamo…

«
»